Supportnet Computer
Planet of Tech

Supportnet / Forum / Windows2000

Dauernde Meldung des AntiViren-scanner: TR/rootkit.L





Frage

Hallo, da draussen, Jedesmal nach neustart kommt ca 15 - 25 mal die meldung vom AV-scanner, daß der folgende wurm/trojaner gefunden wurde: TR/rootkit.L Auf die entsprechenden optionen wie ´komplett löschen´, ´unter quarantäne stellen´, ´zugriff verweigern´, ´zugriff erlauben´, oder ´reparieren´, etc kommt nur die meldung einige sek. - min. später erneut, option auswählen bringt also garnix! Das einzige was hilft, ist ins verzeichnis gehen, unter dauerndem aufgehalten-werden (das meldungsfenster erzwingt sich immer wieder in den vordergrund), die entsprechende datei ´rdriv.sys´ mit dem editor aufmachen, den Inhalt markieren und löschen! (den Inhalt hab ich schon mal auf einem externen Speicherchip gesichert, könnte von dort ev. zurückkopiert werden, falls dies eine Datei ist, die W2000 brauchen würde) Wenn der inhalt der datei rdriv.sys gelöscht ist, gibt der AV-scanner ruhe. Aber jeder neustart verursacht diesen nervtötenden kampf gegen die viren. Ist wie hindernis-parcours, nur vir-tuell. AV-scanner hat die allerneueste Aktualisierung! Wenn jemand weiß was das ist, bitte dringend melden, ist echt tierisch nervig!!!! liebe grüße, revrav (my system: compaq armada M700 - w2k, SP4, FireFox 1.5, Opera 8.5, MS IE6, OE6, 750MHz, 40 GB HDD (3 partitionen), 320 MB RAM, 56kmodem, discountsurfer, Sygatefirewall, Antivir, Spybot, etc)

Antwort 1 von Das_Urmel

rdrive.sys ist ein Rootkit, trägt sich unter Diensten ein
und rennt demnach auch gleich beim Systemstart.

http://www.sophos.de/virusinfo/analyses/w32rbotaic.html

Unter Erweitert siehst du, was das Tierchen macht, wo es sich reinklinkt - unbedachtes entfernen killt dein System zuverläßig da es einen wichtigen Dienst ersetzt

Das Vorhandensein dieses Schädlings zeigt aber auch, du hast es nicht für nötig befunden, dein System auf einem aktuellen Stand zu halten, diese Schelte must du dir gefallen lassen.
Viel Erfolg
Michael

Antwort 2 von Rojda

Hallo!

Ich habe gleiches Problem. Wenn ich rictig verstanden habe, muss man Windows neu installieren?
Ich habe leider davon nicht so viel Ahnung! Ich habe normalerweise Win98SE. Vor paar Jahren hat ein Bekannter auf meinem PC auch Win2000Prof. installiert, d.h. ich habe zwei Betriebssystem. Win2000 CD habe ich nicht mehr, d.h. einzige Möglichkeit Win98SE. Bei dem ist der komische, dass die CD´s (ich weiss nicht wie man sagt) nicht vollständig sind, z.B. andere können mit meiner CD´s Win98 nicht installieren. Wie ich verstanden habe, sind Restdateien im Rechener??????

- wie kann ich Win2000 deinstallieren?
- wie kann ich Win98 neu intallieren?
- durch neu installation ist das Problem wirklich gelöst?

Ich brauche wirklich eine gute Bedienungsanletung oder ein Buch. Was könntet Ihr mir empfehlen???

Vielen Dank im Voraus!

Gruß
rojda

Antwort 3 von stoitschkov

Das darf doch nicht wahr sein, dass man diesen Mist-Trojaner nicht anders los wird als durch Neu-Installation des Betriebsystems!!??
Gruß
Stoitschkov

Antwort 4 von stoitschkov

Habe auch den TR/Rootkit.L auf der Datei rdriv.sys in C:/winnt/system32 drin.
Antivir bringt dauernd die Meldung, kann den Trojaner nicht eliminieren und blockiert den Rechner mit dem nervigen Fenster.
Habe dann Ad-Aware draufgespielt, das erkennt den Trojaner und blockiert den Rechner beim Versuch des Entfernens. Nicht mal mehr Runterfahren ist möglich.
1. Frage: Schafft es evt. "Regfreeze" oder ist es ratsamer zu formatieren und Win2000 neu aufzuspielen.
2. Frage: Was schützt mich in Zukunft vor dem Mistkerl?
Gruß
stoitschkov

Antwort 5 von rojda

Ich habe antivir deinstalliert, daher bekomme ich keine nervige Meldungen mehr. Ich kann weiter surfen, aber auf eigener Gefahr.
Lösung!: Festplatte formatieren und Betriebssytem neu aufsetzen!
Da ich es nie gemacht habe, traue ich mich nicht, anzufangen. Ich bin dabei über google mich schlau zu machen!
Ich wäre sehr dankbar für die Hilfe!

Gruß
rojda

Antwort 6 von stoitschkov

Habe inzwischen formatiert, XP aufgespielt, neuestes Antivir direkt von free-av.de runtergeladen, Firewall von XP aktiviert und Ruhe ist.

Antwort 7 von DerP@te

Ich habe meinen Rechner 2 mal neu formatiert und der virus ist immer noch da. Habe auch schon alle Foren durchforscht , hat aber alles nicht geklappt :(

Antwort 8 von Vogelgrippe

Zitat:
und der virus ist immer noch da


Eher wieder da, weil du den gleichen Trojaner
wieder installiert hast.

Formatiert: dann ist der mit tödlicher Sicherheit Vergangenheit, ausser du installierst den gleich wieder.

cu
Grippe

Antwort 9 von DerP@te

Ich habe Rechner formatiert , dann erst Viren Programm drauf und dann Internet. 2 mal soviel pech und den direkt wieder drauf wäre echt komisch :(

Antwort 10 von Vogelgrippe

Zitat:
ch habe Rechner formatiert , dann erst Viren Programm drauf und dann Internet


Genau da liegt das Problem.
XP installieren, Servicepack 2 drauf, Firewall aktivieren, weitere Updates installieren und Scanner drauf.

Ansonsten passiert dir das auch noch 10 x - keine 10 Minuten mit XP und IE im Internet und es ist passiert.

cu
Grippe

Antwort 11 von LordNoir

solche viren, die sich als dienst oder treiber ins system einnisten, wird man auch OHNE neusinstallation des systems los.

Folgende Schritte am besten dabei machen:
1. Systemwiederherstellung deaktivieren...so werden alle Wiederherstellungspunkte gelöscht und der Schädling der sich da auch eingenistet haben könnte ist da erstmal weg.
2. Windows im abgesicherten Modus starten, somit werden nur die absolut zum Betrieb nötigen Dienste und Treiber geladen.
3. Den Scan durchführen. Nun müßte das AntiViren Programm in der Lage sein, den Virus/Trojaner/Wurm von der Platte zu verbannen....
Neuinstallation gespart.

Antwort 12 von DerP@te

Super Lord Noir hat gut geklappt. Virus ist VERNICHTET :)

Antwort 13 von gallocampo

... klappt aber nur unter XP.

Lösung für W2k?

cu
gallo

Antwort 14 von Saturnring

Zitat:
Lösung für W2k?


zunächst Ad-Aware und Antivir einfach im abgesicherten Modus starten. ... ich meine W2K im abgesicherten und dann die Proggis laufen lassen.... Finden sie den Schädling........ löschen lassen.
Danach bei Ad-Aware den Wiederherstellungsordner leeren.
Rechner runterfahren und das gleiche Spielchen noch mal.
Finden sie nix, den Rechner normal hochfahren (ohne I-Net-Anschluss) und nochmals scannen. Dürfte alles weg sein.

Gruß
Saturnring

Antwort 15 von gallocampo

Hi Saturnring,

nee, bringt nichts. Habe 2 Stunden lang einen kompletten Sys-check im abgesicherten Modus laufen lassen. Hat auch tatsächlich was im recycler gefunden, war aber trotzdem insgesamt nicht hilfreich.

Aber etwas anderes hat geholfen:

Ein Prog namens blbeta.exe (steht für blacklight Beta Version).

Das hat das verseuchte Programmteil gefunden und erfolgreich isoliert.

... guckst Du hier:
www.f-secure.com/blacklight/

cu
gallo

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: