Trojanische Pferd TR/Rootkit.L

geh mal in den abgesicherten modus und scanne da deinen rechner nach viren usw...dann müßtest du es entfernen können.....

Hi
Und stelle hier mal ein HJT Logfile.
Den Download und was das überhaupt ist das findest du in diesen link:


http://nikita.eddys-domain.de/hijackthis.html


mfg
misskissyou

Hallo. Hab das selbe Problem mit diesem Trojaner. Er lässt sich auch nicht im abgesicherten Modus löschen, er erscheint immer wieder. Deshalb hab ich mal diese HiJack Datei erstellt:

Logfile of HijackThis v1.99.0
Scan saved at 21:40:27, on 24.07.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Danny\Desktop\Downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BFC464D-3641-458B-B36A-9F776F2E6CDC}: NameServer = 217.237.148.1 217.237.148.17
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Hardware Clock Driver - Unknown - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ampi32 - Unknown - C:\WINDOWS\msvcrt.exe

O23 - Service: Hardware Clock Driver - Unknown - C:\WINDOWS\System32\hwclock.exe (file missing)

Das solltest Du Dir einmal genauer ansehen!!Scanne mal im abgesicherten Modus mit aktualisierter Software...

Das ist allerdings ein anderer Trojaner:!!Klick!!

Hi DannyK

Du kannst deine HJT Logfile unter:

http://www.hijackthis.de/

selber auswerten.


mfg
misskissyou

Hi Leute.
Hab den selben Virus gehabt und es tut mir Leid das sagen zu müssen:

Es gibt keine andere Möglichkeit als Format C.
dieser Trojaner generiert Hintertürchen auf eurem Computer bis er schwrz wird.
Also wenn euch eure Kontonummern und pws lieb sind formatiert lieber.
Selbst wenn ihr den Trojaner entfernt, können (bzw. ist es höchst wahrscheinlich)
dass der Hacker Hintertürchen (backdoors) auf Eurem Rechner erstellt hat. Diese kann er nach allen Regeln der Kunst verstecken, so dass sie nicht gefunden werden können. ALso FORMAT C!!!!!

Ich habs gemacht und es ist zwar sch...e das alles weg ist, aber das ist die EINZIGE Möglichkeit

Euer Mathi

sry mein natürlich Trojaner^^ nicht Virus

Noch einmal es ist die EINZIGE MÖGLICHKEIT!!!!

Fragen beantworte ich gerne

HILFE WEIS AUCH NET WIE ICH DAS TR/Rootkit.L entfernen soll, weisst du schon was !

Schaut einfach auch mal hier rein:
http://www.computerhilfen.de/hilfen-17-78293-0.html

hi,

nach dem neuaufsetzten des system is der

tr.rootkit.l

immernich da...

hab dann alle partitionen platt gemacht
c: erst als fat formatiert
danach nochmal ntfs

trotzdem ******* virus immernoch da

HILFE

PS: beim ganzen formatieren hab ich ausversehen ein partition gelöscht auf meiner externen festplatte, aber nicht formatiert wie kann ich die wieder herstellen???

Der Trojaner TR/Rootkit.l ist auch mir bekannt. Er ist lästig, aber besiegbar. Und zwar gibt es einen einfachen Weg, in los zu werden:

Erstmal ist das Programm EWIDO sehr nützlich, da es effektiver sucht als AntiVir. Damit lässt sich der Trojaner lokalisieren und eventuell sogar entfernen. Ist auf jeden Fall einen Versuch wert.

Einen sicheren Weg beschreibe ich jetzt hier:

AntiVir findet den Trojaner in der Datei "rdriv.sys" im Ordner Windows\system32. Jetzt wist ihr, wo er ist. Die datei kann allerdings so ohne weiteres nicht glöscht werden. Hier der Lösungsweg:

1. Startet Windows im Abgesicherten Modus
2. Sucht nach der Datei "rdriv.sys"
3. Im Abgesicherten Modus kann die Datei gelöscht werden, allerdings wird nach einem Neustart eine neue datei erzeugt, der trojaner wäre wieder da.
4. Um dies zu verhindern, erstellt ihr einfach eine Neue Datei, z.B. ein Textdokument ohne Inhalt, benennt es um in "rdriv.sys" und setzt es in den Eigenschaften aus "schreibgeschützt". Diese Datei verschiebt ihr nun in den Ordner Windows\System32, da vo der Trojaner war. (alles im abgesicherten Modus)
5. Startet Windows ganz normal neu, und lasst eure Virenscanner (oder EWIDO) nach infizierten Dateien suchen. Sie dürften nichts finden.

Anmerkung: Wird der Status "schreibgeschützt" nicht gesetzt, ist der Trojaner möglicherweise wieder da, da er die datei überschreiben kann.

Jetzt solltet ihr das Ding los sein.

Ich hab das Problem auch! Der kommt immer wieder, auch wenn ich ihn lösch!

so einfach rechte maustaste auf die Datei "Öffnen mit " Editor und den sch... in der datei löschen... und dann abspeichern, schon geht da nix mehr !

Der einzig richtige Weg ist, die Datei "MsMedia.exe" zu löschen. Das ist die wirkliche Virendatei. Die Datei rdriv.sys wird nur andauernd neu erstellt. Und zwar durch die Datei MSMEDIA.exe. Hab die Ratte von Trojaner schon 2mal entfernt, und nur so bekam ich ihn los. In der Registry sind auch zwei oder drei Schlüssel. Sucht einfach nach MSMEDIA.exe und löscht den Mist. Danach kann man im die Datei rdriv.sys löschen und Ruhe is vor dem Drecksding.

Viel Spaß mit euerem (wieder) Trojaner-freiem PC.

Greetz Joe

Tja, das zum Thema, formatieren sei die EINZIGE Lösung. 

Es gibt IMMER einen Weg, solch Dreck los zu werden, eine Aussage von Formatierung ist einfach nur nervig und unkreativ.

Thankx to gxt200 !!!

Bin im Netz auf ein Programm "ErrorSafe" gestoßen; heruntergeladen zum späteren installieren.

Offline fand AntiVir PE Classic heraus:it´s TR/RKit.Agen.AF.2A.
- Konnte aber offensichtlich nicht alle SetUp Dateien dazu löschen, denn jedesmal beim Start von Windows erschien ein SetUp Fenster für ErrorSafe.

Die Antwort war EWIDO. Es hat endlich offenbar alles erwischt.Seit Tagen erstmals wieder normaler Windowsstart.

hallo, hab auch diesen virus und finde die datei msmedia nicht. wo versteckt sich denn der drecks trojaner?

hi,
nun wenn der virus immer noch da , trotz löschens aller partitionen der festplatte, und des master boot records , dann MUSS sich der virus im bios befinden, oder er gammelt im RAM rum, was ich allerdings nicht so recht glauben mag. eine chance wäre es mit ner linux cd zu booten und das bios neu zu schreiben (wenn wirklich alle stricke reißen). ich denk es dürfte für den kleinen recht schwer sein auch noch die linux signaturen inne zu haben. das wäre mein vorschlag.

greetz,
zapf2000

so sollte es gehen

antivir findet den trojaner--mit vorher eine textdatei mit dem namen erstellen rdriv.sys

mit antivir ( in dem moment wo antivir sich meldet) umbenennen ( das macht antivir)  und dann die erstellte textdatei im systemordner einfügen.

fertig

hab es gerade so gemacht und bisher ist ruhe

hat funktioniert--nach dem umbenennen durch antivir und einfügen einer schreibgeschützen datei--hat sich der wurm noch 2x umbenannt--die konnte man dann komplett löschen