Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/ Rootkit.L

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.07.2005, 02:35   #1
Thagor
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



Nabend,

gerade eben zeigte AntiVir mir einen Trojaner mit den Namen Rootkit.L an, wenn ich AntiVir den Befehl zum löschen gebe, ploppt das Fenster sofort wieder auf.

Ich habe echt keine Ahnung wie ich den wegbekomme.


Bitte bitte helft mir, ich bin am verzweifeln.


Ihr seid die besten! :aplaus:

Alt 09.07.2005, 02:41   #2
cronos
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



Wo wurde das Rootkit gefunden(Pfadangabe)?
Poste zunächst auch einen Hijackthis-Log
__________________

__________________

Alt 09.07.2005, 02:47   #3
Thagor
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



Hallo,

hier der HijackThis-Log:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 03:49:00, on 09.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\CTsvcCDA.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\upnpdrv.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\MsPMSPSv.exe
D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
D:\WINDOWS\System32\CTHELPER.EXE
D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\D-Tools\daemon.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
D:\Programme\Logitech\SetPoint\KEM.exe
D:\Programme\Logitech\SetPoint\KHALMNPR.EXE
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\image.exe
D:\Programme\AVPersonal\GUARDGUI.EXE
D:\DOKUME~1\Tim\LOKALE~1\Temp\Rar$EX00.985\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0EAAC62D-5210-8CF0-E04B-A01210A23114} - D:\Programme\cdmweb\skomafqetv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] D:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] D:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Google Search - res://d:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: WIN32 (image) - Unknown owner - D:\WINDOWS\image.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - D:\WINDOWS\System32\upnpdrv.exe
und die Pfadangabe:
D:\WINDOWS\SYSTEM32\RDRIV.SYS

Wenn ich versuche die Datei manuell zu löschen sagt er mir, das er die datei nicht löschen kann da sie von einem anderen programm verwendet wird.
Habe das ganze auch schon im AAbgesicherten Modus probiert, und alle Tasks im Taskmanager mit Benutzerrechten abgeschossen, er sagt trotzdem immer wieder das er den nicht löschen kann.
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB
__________________

Geändert von Cidre (09.07.2005 um 09:57 Uhr)

Alt 09.07.2005, 02:56   #4
cronos
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



Kopier zunächst diese Pfadangabe:

D:\WINDOWS\SYSTEM32\RDRIV.SYS

in das Eingabefeld von:

http://virusscan.jotti.org/de/

klicke auf "abschicken" und teile uns das Ergebnis mit.
__________________
Only cronos endures

Alt 09.07.2005, 22:36   #5
Thagor
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



Zitat:
Zitat von cronos
Kopier zunächst diese Pfadangabe:

D:\WINDOWS\SYSTEM32\RDRIV.SYS

in das Eingabefeld von:

http://virusscan.jotti.org/de/

klicke auf "abschicken" und teile uns das Ergebnis mit.
Hallo,

der Rootkit unterbindet das wohl da ich da keine Datei hochladen kann, Firewall und Router können von als Ursache dafür ausgeschlossen werden.


Alt 10.07.2005, 13:55   #6
The Saint
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



http://www.sophos.de/virusinfo/analy...2sdbotbpz.html

W32/Sdbot-BPZ legt außerdem eine Datei als rdriv.sys ab. Sophos Anti-Virus erkennt rdriv.sys als Troj/Rootkit-W.

Daher http://www.trojaner-board.de/showthread.php?t=12154

Begründung: http://de.wikipedia.org/wiki/Botnet

SORRY muß mich revidieren da müßte die winsmc.exe im windows Ordner vorhanden sein.

Geändert von The Saint (10.07.2005 um 14:04 Uhr)

Alt 27.07.2005, 10:45   #7
SireY
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



moin leute das ding is zwar teuflisch aber man bekommt es weg ....
ich hab mal alles nnachgeguggt und ich nehme an das der durch sasser oder lovesan auf den pc kommt (er öffnet die ports für die würmer).
also ...man gehe in ausführen-`msconfig`eingeben und dann auf boot.ini da klickt man dann safeboot an ...den pc neustarten und dann als admin die datei rdriv.sys löschen .... dann eine textdatei erstellen und irgendwas reinschreiben diese datei dann umbennenen in rdriv.sys und die datei als admin schreibgeschützt stellen... dann wieder zur boot.ini und das häckchen am safeboot weg und neustart so dann in windows is das dingen dann weg und kommt nich mehr wieder in die datei.... einzigstes problem is das dann immer wieder so kleine ableger irgendwie von nem trojan den man nicht entdecken kann sich zbs. in der systemfolder wiederfinden ...diese kann man allerdings auch ohne weiteres löschen. leider gibt es bei diesem fiesen ding keine möglichkeit es mit virenprogrammen zu fixen ..... wennn doch der möge mir schreiben....

mfg SireY

Alt 27.07.2005, 11:01   #8
cronos
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



Wenn du diesen Backdoor auf dem rechner hast, hilft auch löschen im abgesicherten Modus nichts.
Hier geht es nicht darum, ob die Datei gelöscht wurde oder nicht.Das die datei auf den rechner gekommen ist, ist vielmehr entscheident.
Das System ist als kompromittiert zu betrachten und daher asap neu aufzusetzen.
Hier ein wenig Lektüre:

http://oschad.de/wiki/index.php/Kompromittierung
http://www.mathematik.uni-marburg.de...c-removal.html
http://www.trojaner-board.de/showthread.php?t=12154
http://www.microsoft.com/technet/com...mt/sm0504.mspx
http://www.microsoft.com/technet/com...mt/sm0704.mspx
__________________
Only cronos endures

Alt 27.07.2005, 11:09   #9
dartus
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



@cronos,

FULL ACK!!

@SireY,

die Datei, die Du "erfolgreich" gelöscht hast, ist nur ein Ableger!!
Der Backdoor ist immer noch aktiv!
Zitat:
einzigstes problem is das dann immer wieder so kleine ableger irgendwie von nem trojan den man nicht entdecken kann sich zbs. in der systemfolder wiederfinden.
dartus
__________________
Kein Support per PN

Alt 28.07.2005, 11:07   #10
SireY
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



also bei mir gibts es keine ableger davon mehr das backdoorprogramm meldet sich auch nicht mehr. die datei rdriv.sys konnte ichh auch wieder löschen ohne das sie erneut ersetzt wird also mit meinen admin rechten (die selbst erstellte datei).ich sagte ja auch nicht das es nur reicht die datei im abgesichterten modus zu löschen sondern man muss sie ja auch ersetzten und als schreibgeschützt setzten.
also ich bin das dingen glaub ich los....
zumindest gibt es keine anzeichen mehr dafür..mein HijackThis log ist auch clean... (HAPPY IS)

Alt 28.07.2005, 11:45   #11
Gigamail
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



@ SireY

das mag ja deine Meinung sein, aber wer gibt dir die Sicherheit damit nicht noch andere Dateien auf deinem Rechner verändert wurden. Rootkits sind dafür bekannt sich gut zu verstecken, lese dazu mal hier http://de.wikipedia.org/wiki/Rootkit
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 28.07.2005, 16:20   #12
heli2005
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



besser du machst das was dir empfohlen wurde,zu deiner eigenen Sicherheit
-Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung
http://www.trojaner-board.de/showthread.php?t=12154

Alt 29.07.2005, 08:14   #13
big_surfer
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



Für Rootkits gibt es auch noch einige spezielle Aufspürungsprogramme, die man ausprobieren kann. Z.b. RootkitRevealer oder Blacklight. Downloadlinks findest du hier: http://www.comsafe.de/download.html.

Aber ich muss der anderen Threadern beipflichten:
Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte. Eine Anleitung findest du hier http://www.trojaner-board.de/showthread.php?t=16918.
.

Alt 29.07.2005, 15:59   #14
SireY
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



ich habe meinen laptop meinem administrator in der firma gegeben ... der soll machen was er für richtig hält. vlt habt ihr recht ....

Alt 29.07.2005, 16:09   #15
SireY
 
TR/ Rootkit.L - Standard

TR/ Rootkit.L



so der admin meinte der pc sein clean. hab auch schon mit blacklight und RootkitRevealer durchsucht und wurde nichts gefunden. dann hab ich wohl doch glück gehabt=)

Antwort

Themen zu TR/ Rootkit.L
abend, ahnung, antivir, befehl, beste, besten, fenster, helft, keine ahnung, löschen, namen, ploppt, sofort, troja, trojaner, verzweifel



Ähnliche Themen: TR/ Rootkit.L


  1. - Rootkit entdeckt ! Win7 - Anti-Rootkit o. Neuinstallation ?
    Plagegeister aller Art und deren Bekämpfung - 15.02.2014 (13)
  2. GMER - Rootkit Scanner - VMAUTHSERVICE Rootkit
    Log-Analyse und Auswertung - 27.10.2013 (5)
  3. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  4. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  5. Rootkit.0Access / Rootkit.Agent
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  6. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  7. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  8. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  9. Pc Absturz durch Rootkit bei GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (20)
  10. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  11. TR/Rootkit.Gen
    Plagegeister aller Art und deren Bekämpfung - 05.04.2010 (12)
  12. Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?
    Log-Analyse und Auswertung - 06.03.2010 (41)
  13. MBR Rootkit? Was nun tun?
    Plagegeister aller Art und deren Bekämpfung - 07.06.2009 (1)
  14. TR/Crypt.XDR.gen, Rootkit.Kobcka.B, Trojan/Win32.Agent, Rootkit-Agent.CW atd.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (1)
  15. TR/Rootkit.Gen
    Antiviren-, Firewall- und andere Schutzprogramme - 31.03.2009 (1)
  16. TR/Rootkit.Gen
    Plagegeister aller Art und deren Bekämpfung - 14.09.2006 (1)
  17. Rootkit?!
    Log-Analyse und Auswertung - 12.08.2006 (2)

Zum Thema TR/ Rootkit.L - Nabend, gerade eben zeigte AntiVir mir einen Trojaner mit den Namen Rootkit.L an, wenn ich AntiVir den Befehl zum löschen gebe, ploppt das Fenster sofort wieder auf. Ich habe echt - TR/ Rootkit.L...
Archiv
Du betrachtest: TR/ Rootkit.L auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.