Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner Rdriv.sys entgangen - oder doch nicht?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.07.2005, 15:05   #1
Holger96
 
Trojaner Rdriv.sys entgangen - oder doch nicht? - Frage

Trojaner Rdriv.sys entgangen - oder doch nicht?



Hallo,
wenn ich micht nicht irre, hat heute dieser Trojaner versucht meinen PC zu erobern, ist aber gescheitert. Was Letzteres angeht wäre ich aber gerne zu 100% sicher.
Folgendes ist passiert:
Beim Surfen mit Firefox 1.0.2 kam plötzlich die Meldung von der Firewall, dass ein Programm namens edit.exe (in c:\winnnt) aufs Internet zugreifen will. Das habe ich natürlich abgelehnt.
Kurz danach meldete sich Sophos (von alleine), dass in der Datei C:\winnt\system32\rdriv.sys ein Virus gefunden und der Zugriff verweigert wurde. Nach kurzer Information habe ich mich entschlossen, die beiden Dateien einfach mal zu löschen. Das hat auch geklappt! Auch nach einem Neustart waren sie NICHT wieder da. Ein Komplett-Scan mit Sophos brachte keinen Treffer.
Kann es sein, dass Sophos den Trojaner erfolgreich am Starten gehindert hat und ich wirklich gerade noch mal so davongekommen bin?

Und was mich fast noch mehr interessiert: Wie bekommt man den denn? E-Mail, Kazaa und Windows Freigaben scheiden in meinem Fall aus. Kann ich mir den beim Surfen eingefangen haben? Firefox 1.0.2 ist ja nicht super-aktuell. Weiß jemand wie sich das Teil verbreitet?

Zum Schluss noch die Logfile-Infos:

Logfile of HijackThis v1.99.1
Scan saved at 15:36:29, on 22.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
e:\programme\Sophos\Remote Update\cachemgr.exe
C:\Programme\Cisco Systems VPN Client\cvpnd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\system32\internat.exe
E:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
E:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\SpamPal\spampal.exe
C:\Programme\Wireless Security Corporation WSC PSK\WscPsk.exe
E:\Programme\Sophos\Remote Update\iupdate.exe
E:\Programme\Sophos\Remote Update\iupdate.exe
C:\temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: BTTray.lnk = E:\Programme\MSI\Bluetooth Software\BTTray.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = E:\Programme\Sophos\Remote Update\imonitor.exe
O4 - Global Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: WSC WPA Assistant.lnk = C:\Programme\Wireless Security Corporation WSC PSK\WscPsk.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {1B51CC54-F369-460B-9184-22D51ABCF807} (empfaenger Element) -
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - E:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - e:\programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems VPN Client\cvpnd.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINNT\Edit.exe (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Wenn mir jemand zu diesen Fragen eine Antwort oder ein paar Tipps geben könnte, würde mich das sehr freuen.

Vielen Dank schon mal und schönen Gruß,
Holger

Alt 22.07.2005, 15:22   #2
felix1
/// Helfer-Team
 
Trojaner Rdriv.sys entgangen - oder doch nicht? - Standard

Trojaner Rdriv.sys entgangen - oder doch nicht?



Durch das Löschen der edit.exe dürfte das nicht mehr funktionieren:
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINNT\Edit.exe (file missing)

Hast Du es bewusst installiert?

Um mehr Sicherheit zu haben, kannst Du auch mal gegenprüfen:
http://www.trojaner-board.de/showthread.php?t=17492
__________________


Alt 22.07.2005, 16:26   #3
Holger96
 
Trojaner Rdriv.sys entgangen - oder doch nicht? - Standard

Trojaner Rdriv.sys entgangen - oder doch nicht?



Hallo,
danke für die schnelle Antwort.

Zitat:
Zitat von felix1
Durch das Löschen der edit.exe dürfte das nicht mehr funktionieren:
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINNT\Edit.exe (file missing)

Hast Du es bewusst installiert?
Na, ich bin ja ein Held .... da steht es ja

Aber ich wüsste nicht, dass ich das bewusst installiert habe. Ich verstehe auch nicht, was es ist, und konnte bislang auch nichts im Web über diesen Service finden. Oder das vielleicht ein ganz normaler Standard-Service von Windows?

In der Registrierung befinden sich die Einträge unter HKLM / SYSTEM / ControlSet001 / Services / HexadecimaRepresentation und sehen so aus:



Zitat:
Zitat von felix1
Um mehr Sicherheit zu haben, kannst Du auch mal gegenprüfen:
http://www.trojaner-board.de/showthread.php?t=17492
Aber das ist auch nur ein Virenscanner, oder? Sophos hatte ich ja schon angesetzt, aber der hatte nichts gefunden. Oder kann dieses Programm was Besonderes?

Gruß, Holger
__________________

Alt 22.07.2005, 16:38   #4
felix1
/// Helfer-Team
 
Trojaner Rdriv.sys entgangen - oder doch nicht? - Standard

Trojaner Rdriv.sys entgangen - oder doch nicht?



Also wenn ich nach hexadecimal google, werde ich fündig.
Zum escan: Verschiedene Antivirenprogramme suchen unterschiedlich auf Grund verschiedener Datenbanken. Leider weiss ich jetzt nicht, mit welcher Sophos sucht. Escan sucht mit Kasperski.

Alt 25.07.2005, 00:54   #5
Holger96
 
Trojaner Rdriv.sys entgangen - oder doch nicht? - Standard

Trojaner Rdriv.sys entgangen - oder doch nicht?



Guten Abend,

Zitat:
Zitat von felix1
Also wenn ich nach hexadecimal google, werde ich fündig.
Hmmm, ich finde natürlich auch jede Menge, aber auch zu einem Windows-Service ...?

Zitat:
Zitat von felix1
Zum escan: Verschiedene Antivirenprogramme suchen unterschiedlich auf Grund verschiedener Datenbanken. Leider weiss ich jetzt nicht, mit welcher Sophos sucht. Escan sucht mit Kasperski.
Ich habe e-scan mal auf meinen Rechner losgelassen und war doch erstaunt, was der noch alles gefunden hat. Einiges habe ich schon bereinigt (Viren in alten Mailboxen, Alexa), jetzt sieht das Logfile so aus:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 25 00:49:55 2005 => File C:\Dokumente und

Einstellungen\gnest\Anwendungsdaten\Thunderbird\Profiles\gf1q2uck.default\Mail\Local Folders\Eudora Mail.sbd\In infected by "Trojan-Spy.HTML.Sunfraud.c" Virus! Action Taken: No Action Taken.
Mon Jul 25 01:14:12 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "ERROR"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 25 00:33:11 2005 => ERROR!!! Invalid Entry SCRNSAVE.EXE = (Kein) (in key Control Panel\Desktop). No Action Taken.
Mon Jul 25 00:33:14 2005 => ERROR!!! Invalid Entry system32\DRIVERS\btwhid.sys in SYSTEM\CurrentControlSet\Services\btwhid...
Mon Jul 25 00:33:16 2005 => ERROR!!! Invalid Entry "C:\WINNT\Edit.exe" in SYSTEM\CurrentControlSet\Services\HexadecimaRepresentation...
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "invalid"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 25 00:34:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "%JavaDir%\QTJava.zip". Action Taken: No Action Taken.
Mon Jul 25 00:34:58 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\ZoneLabs\html.tdr". Action Taken: No Action Taken.
Mon Jul 25 00:35:08 2005 => Entry "HKCR\CLSID\{A4845882-333F-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
Mon Jul 25 00:35:11 2005 => Entry "HKCR\CLSID\{E07D3492-32B5-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 25 01:14:12 2005 => Total Virus(es) Found: 1
Mon Jul 25 01:14:12 2005 => Total Errors: 7
Mon Jul 25 01:14:12 2005 => Time Elapsed: 00:32:43
Mon Jul 25 01:14:12 2005 => Total Objects Scanned: 33923
Mon Jul 25 01:16:58 2005 => Virus Database Date: 2005/07/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Fällt dir oder irgend jemanden anders dazu was ein?
Was die Datei edit.exe angeht habe ich auch immer noch nicht verstanden, wo sie herkommt und was sie macht.

Vielen Dank schon mal bis hier, mein Rechner sieht schon viel sauberer aus!
Gruß, Holger


Alt 25.07.2005, 09:17   #6
felix1
/// Helfer-Team
 
Trojaner Rdriv.sys entgangen - oder doch nicht? - Standard

Trojaner Rdriv.sys entgangen - oder doch nicht?



Vielleicht hilft Dir dieser Thread weiter:
http://www.trojaner-board.de/showthread.php?t=9768

Antwort

Themen zu Trojaner Rdriv.sys entgangen - oder doch nicht?
100%, adobe, bho, e-mail, explorer, firefox, firewall, frage, hijack, hijackthis, internet, internet explorer, neustart, programm, programme, security, software, starten, surfen, system, temp, trojaner, virus, virus gefunden, windows, zugriff verweigert



Ähnliche Themen: Trojaner Rdriv.sys entgangen - oder doch nicht?


  1. Sicherheitslücke oder doch nicht?
    Plagegeister aller Art und deren Bekämpfung - 23.02.2014 (1)
  2. Alles ok oder doch nicht?
    Log-Analyse und Auswertung - 11.01.2014 (11)
  3. BKA Virus - oder doch nicht?
    Plagegeister aller Art und deren Bekämpfung - 24.10.2013 (23)
  4. Qv06 enfternt oder doch nicht?
    Log-Analyse und Auswertung - 22.08.2013 (9)
  5. Infiziert oder doch nicht?
    Plagegeister aller Art und deren Bekämpfung - 25.05.2013 (23)
  6. System Sauber oder doch nicht?
    Log-Analyse und Auswertung - 26.10.2012 (16)
  7. Verschlüsselungs Trojaner, oder doch nicht? Nichts geht mehr II
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (7)
  8. VIRUS oder doch nicht
    Plagegeister aller Art und deren Bekämpfung - 06.08.2011 (1)
  9. Virus oder doch nicht?
    Plagegeister aller Art und deren Bekämpfung - 21.07.2011 (44)
  10. Antimalware Doctor ist weg oder doch nicht?
    Plagegeister aller Art und deren Bekämpfung - 17.06.2010 (27)
  11. Backdoor trojaner, gestern bereinigt, jetzt nicht mehr da, oder doch noch?
    Log-Analyse und Auswertung - 20.02.2010 (1)
  12. Phisbank.ATD! Hab nun einen Trojaner oder doch nicht?
    Log-Analyse und Auswertung - 11.03.2007 (1)
  13. Trojaner, oder doch nicht (Win32.Small.dna)???
    Plagegeister aller Art und deren Bekämpfung - 18.08.2006 (1)
  14. Zlob weg..oder doch nicht??
    Log-Analyse und Auswertung - 03.08.2006 (1)
  15. Net Sky, oder doch nicht?
    Plagegeister aller Art und deren Bekämpfung - 19.12.2005 (3)
  16. Noch ein Trojaner-Opfer -oder doch nicht?
    Plagegeister aller Art und deren Bekämpfung - 21.03.2005 (4)
  17. Offene Ports.. Na und? Oder doch nicht?
    Antiviren-, Firewall- und andere Schutzprogramme - 22.06.2004 (5)

Zum Thema Trojaner Rdriv.sys entgangen - oder doch nicht? - Hallo, wenn ich micht nicht irre, hat heute dieser Trojaner versucht meinen PC zu erobern, ist aber gescheitert. Was Letzteres angeht wäre ich aber gerne zu 100% sicher. Folgendes ist - Trojaner Rdriv.sys entgangen - oder doch nicht?...
Archiv
Du betrachtest: Trojaner Rdriv.sys entgangen - oder doch nicht? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.