Trojaner-Board - Trojaner Rdriv.sys entgangen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner Rdriv.sys entgangen - oder doch nicht? (https://www.trojaner-board.de/20080-trojaner-rdriv-sys-entgangen.html)

Trojaner Rdriv.sys entgangen - oder doch nicht?

Hallo,
wenn ich micht nicht irre, hat heute dieser Trojaner versucht meinen PC zu erobern, ist aber gescheitert. Was Letzteres angeht wäre ich aber gerne zu 100% sicher.
Folgendes ist passiert:
Beim Surfen mit Firefox 1.0.2 kam plötzlich die Meldung von der Firewall, dass ein Programm namens edit.exe (in c:\winnnt) aufs Internet zugreifen will. Das habe ich natürlich abgelehnt.
Kurz danach meldete sich Sophos (von alleine), dass in der Datei C:\winnt\system32\rdriv.sys ein Virus gefunden und der Zugriff verweigert wurde. Nach kurzer Information habe ich mich entschlossen, die beiden Dateien einfach mal zu löschen. Das hat auch geklappt! Auch nach einem Neustart waren sie NICHT wieder da. Ein Komplett-Scan mit Sophos brachte keinen Treffer.
Kann es sein, dass Sophos den Trojaner erfolgreich am Starten gehindert hat und ich wirklich gerade noch mal so davongekommen bin?

Und was mich fast noch mehr interessiert: Wie bekommt man den denn? E-Mail, Kazaa und Windows Freigaben scheiden in meinem Fall aus. Kann ich mir den beim Surfen eingefangen haben? Firefox 1.0.2 ist ja nicht super-aktuell. Weiß jemand wie sich das Teil verbreitet?

Zum Schluss noch die Logfile-Infos:

Logfile of HijackThis v1.99.1
Scan saved at 15:36:29, on 22.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
e:\programme\Sophos\Remote Update\cachemgr.exe
C:\Programme\Cisco Systems VPN Client\cvpnd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\system32\internat.exe
E:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
E:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\SpamPal\spampal.exe
C:\Programme\Wireless Security Corporation WSC PSK\WscPsk.exe
E:\Programme\Sophos\Remote Update\iupdate.exe
E:\Programme\Sophos\Remote Update\iupdate.exe
C:\temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: BTTray.lnk = E:\Programme\MSI\Bluetooth Software\BTTray.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = E:\Programme\Sophos\Remote Update\imonitor.exe
O4 - Global Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: WSC WPA Assistant.lnk = C:\Programme\Wireless Security Corporation WSC PSK\WscPsk.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {1B51CC54-F369-460B-9184-22D51ABCF807} (empfaenger Element) -
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - E:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - e:\programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems VPN Client\cvpnd.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINNT\Edit.exe (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Wenn mir jemand zu diesen Fragen eine Antwort oder ein paar Tipps geben könnte, würde mich das sehr freuen.

Vielen Dank schon mal und schönen Gruß,
Holger

Durch das Löschen der edit.exe dürfte das nicht mehr funktionieren:
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINNT\Edit.exe (file missing)

Hast Du es bewusst installiert?

Um mehr Sicherheit zu haben, kannst Du auch mal gegenprüfen:
http://www.trojaner-board.de/showthread.php?t=17492

Hallo,
danke für die schnelle Antwort.

Zitat:

Zitat von felix1

Na, ich bin ja ein Held .... da steht es ja :headbang:

Aber ich wüsste nicht, dass ich das bewusst installiert habe. Ich verstehe auch nicht, was es ist, und konnte bislang auch nichts im Web über diesen Service finden. Oder das vielleicht ein ganz normaler Standard-Service von Windows?

In der Registrierung befinden sich die Einträge unter HKLM / SYSTEM / ControlSet001 / Services / HexadecimaRepresentation und sehen so aus:

http://www.laum.uni-hannover.de/user...gedit_hexa.gif

Zitat:

Zitat von felix1

Um mehr Sicherheit zu haben, kannst Du auch mal gegenprüfen:
http://www.trojaner-board.de/showthread.php?t=17492

Aber das ist auch nur ein Virenscanner, oder? Sophos hatte ich ja schon angesetzt, aber der hatte nichts gefunden. Oder kann dieses Programm was Besonderes?

Gruß, Holger

Also wenn ich nach hexadecimal google, werde ich fündig.
Zum escan: Verschiedene Antivirenprogramme suchen unterschiedlich auf Grund verschiedener Datenbanken. Leider weiss ich jetzt nicht, mit welcher Sophos sucht. Escan sucht mit Kasperski.

Guten Abend,

Zitat:

Zitat von felix1

Also wenn ich nach hexadecimal google, werde ich fündig.

Hmmm, ich finde natürlich auch jede Menge, aber auch zu einem Windows-Service ...?

Zitat:

Zitat von felix1

Zum escan: Verschiedene Antivirenprogramme suchen unterschiedlich auf Grund verschiedener Datenbanken. Leider weiss ich jetzt nicht, mit welcher Sophos sucht. Escan sucht mit Kasperski.

Ich habe e-scan mal auf meinen Rechner losgelassen und war doch erstaunt, was der noch alles gefunden hat. Einiges habe ich schon bereinigt (Viren in alten Mailboxen, Alexa), jetzt sieht das Logfile so aus:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 25 00:49:55 2005 => File C:\Dokumente und

Einstellungen\gnest\Anwendungsdaten\Thunderbird\Profiles\gf1q2uck.default\Mail\Local Folders\Eudora Mail.sbd\In infected by "Trojan-Spy.HTML.Sunfraud.c" Virus! Action Taken: No Action Taken.
Mon Jul 25 01:14:12 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "ERROR"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 25 00:33:11 2005 => ERROR!!! Invalid Entry SCRNSAVE.EXE = (Kein) (in key Control Panel\Desktop). No Action Taken.
Mon Jul 25 00:33:14 2005 => ERROR!!! Invalid Entry system32\DRIVERS\btwhid.sys in SYSTEM\CurrentControlSet\Services\btwhid...
Mon Jul 25 00:33:16 2005 => ERROR!!! Invalid Entry "C:\WINNT\Edit.exe" in SYSTEM\CurrentControlSet\Services\HexadecimaRepresentation...
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "invalid"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 25 00:34:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "%JavaDir%\QTJava.zip". Action Taken: No Action Taken.
Mon Jul 25 00:34:58 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\ZoneLabs\html.tdr". Action Taken: No Action Taken.
Mon Jul 25 00:35:08 2005 => Entry "HKCR\CLSID\{A4845882-333F-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
Mon Jul 25 00:35:11 2005 => Entry "HKCR\CLSID\{E07D3492-32B5-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 25 01:14:12 2005 => Total Virus(es) Found: 1
Mon Jul 25 01:14:12 2005 => Total Errors: 7
Mon Jul 25 01:14:12 2005 => Time Elapsed: 00:32:43
Mon Jul 25 01:14:12 2005 => Total Objects Scanned: 33923
Mon Jul 25 01:16:58 2005 => Virus Database Date: 2005/07/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Fällt dir oder irgend jemanden anders dazu was ein?
Was die Datei edit.exe angeht habe ich auch immer noch nicht verstanden, wo sie herkommt und was sie macht.

Vielen Dank schon mal bis hier, mein Rechner sieht schon viel sauberer aus!
Gruß, Holger

Vielleicht hilft Dir dieser Thread weiter:
http://www.trojaner-board.de/showthread.php?t=9768