|
Plagegeister aller Art und deren Bekämpfung: Hilfe bei Trojaner Efewe.E/Rdriv.sysWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.06.2005, 08:34 | #1 |
| Hilfe bei Trojaner Efewe.E/Rdriv.sys Hallo zusammen. Ich hoffe es kann mir jemand helfen! Folgendes Problem: Ich benutze WindowsXP (SP2), ZoneArlame Firewall, eTrust7.1 Virenscanner Die Echtzeitüberewachung von eTrust meldet im 10sec. Takt einen Trojaner/Virus (Efewe.E) in der Datei Rdriv.sys und bereinigt diese Datei. Diese Meldung kommt aber immer wieder....... Ich denke irgendein Prozess oder Dienst was auch immer startet den Trojaner/virus immer wieder neu........ Hab schon mit Folgenden Progs erfolglos gescannt (im Abgesicherten Modus) Lavasoft Ad-Ware Seek&Destroy eTrust7.1 CCleaner Alles ohne Erfolg. HILFE wie geht das wieder weg ohne Neu Installieren.... Brauche Hilfe Viele Grüße RinderWan |
07.06.2005, 08:49 | #2 |
| Hilfe bei Trojaner Efewe.E/Rdriv.sys Hallo RinderWan_Kenobi,
__________________poste bitte ein Hijackthis-Logfile -->http://www.trojaner-board.de/showthread.php?t=17493 Editiere bitte sämtliche Links und ev. persönliche Daten dartus
__________________ |
07.06.2005, 09:33 | #3 |
| Hilfe bei Trojaner Efewe.E/Rdriv.sys Ok wird gemacht, kommt aber erst heut Nachmittag...Bin aufer Arbeit.
__________________Danke schonmal. |
07.06.2005, 15:36 | #4 |
| Hilfe bei Trojaner Efewe.E/Rdriv.sys So hier mein Logfile.....ohne internetverbindung, im Normalmodus Logfile of HijackThis v1.99.1 Scan saved at 16:29:10, on 07.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\htpatch.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Dokumente und Einstellungen\Steven\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: eTrust Antivirus-RPC-Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus-Echtzeitserver (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivir us-Jobserver (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: ProcessEnumerator32 (pe32) - Unknown owner - C:\WINDOWS\fi49.exe O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Bye RinderWan Kenobi |
07.06.2005, 20:40 | #5 |
| Hilfe bei Trojaner Efewe.E/Rdriv.sys Hallo RinderWan_Kenob, lass bitte folgende Datei: C:\WINDOWS\fi49.exe hier online scannen: http://virusscan.jotti.org/de Teile bitte das Ergebnis mit. dartus
__________________ Kein Support per PN |
07.06.2005, 20:55 | #6 |
| Hilfe bei Trojaner Efewe.E/Rdriv.sys Hallo, Da gibts ein kleines Problem...... Ich finde in C:\windows keine fi49.exe auch nirgens anderst. Nur ne fi49.exe-up.txt mit folgendem Inhalt: __SEH__ 0xc0000005 at 0x7c911010 CS :0x0000001B SS :0x00000023 DS :0x00000023 ES :0x00000023 FS :0x0000003B GS :0x00000000 EAX:0x00000020 EDX:0x00000020 ECX:0x7FFDA000 ESP:0x00EDF3C0 EBP:0x00EDF3C8 EIP:0x7C911010 ESI:0x00000400 EDI:0x77C111FB -- backtrace -- 0x7c911010:[ntdll.dll]: (001:00000010) 0x77c1120f:[msvcrt.dll]: (001:0003020f) 0x00413380:[fi49.exe]: (001:00012380) 0x0040acd6:[fi49.exe]: (001:00009cd6) !broken!0x0875ffec: ... opss, broken by SEH --stack-- 0x00edf3c0: 0x77c0b90d 0x00000020 0x00edf3fc 0x77c1120f 0x00edf3d0: 0x00000000 0x77c111fb 0x00000400 0x00000000 0x00edf3e0: 0x00edf3cc 0x00edf3d4 0x00edefe4 0x00edffdc 0x00edf3f0: 0x77c05c94 0x77be4660 0xffffffff 0x00edf82c 0x00edf400: 0x00413380 0x00edf428 0x00000001 0x00000400 0x00edf410: 0x00000000 0x0041bf0c 0x0041a2bc 0x0000020c 0x00edf420: 0x0041bf0c 0x00001c00 0x00000045 0x00020290 0x00edf430: 0x00000012 0x00000014 0x00000003 0x00edf53e und eine FI49.EXE-0CD2E92B.pf in c:\windows\prefetch Diese Dateien sind sehr verdächtig ich kann diese Dateien auch nicht löschen, bzw. wenn ich sie lösche sind sie sofort wieder da. gruß RinderWan |
07.06.2005, 21:07 | #7 |
Administrator, a.D. | Hilfe bei Trojaner Efewe.E/Rdriv.sys Hallo RinderWan_Kenobi, lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information. Es sieht gar nicht gut aus, denn dieser W32/Sdbot-BPZ ist vermutlich aktiv. Wahrscheinlich wirst du dein System neu aufsetzen müßen, wenn sich meine Vermutung bestätigen sollte. |
08.06.2005, 19:49 | #8 |
| Hilfe bei Trojaner Efewe.E/Rdriv.sys Hier mein Log file...bzw. nur die Fehler. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\WINDOWS\system32\testtts.exe infected by "Trojan.Win32.Pakes" Virus! Action Taken: No Action Taken. File C:\WINDOWS\fi49.exe infected by "Backdoor.Win32.SdBot.xd" Virus! Action Taken: No Action Taken. Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Entry "HKCR\CLSID\{0713E8A2-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{0713E8A8-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{0713E8D2-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{0713E8D8-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{29FF67FF-8050-480f-9F30-CC41635F2F9D}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{373FF7F0-EB8B-11CD-8820-08002B2F4F5A}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{373FF7F4-EB8B-11CD-8820-08002B2F4F5A}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\MSINET.OCX". Action Taken: No Action Taken. Entry "HKCR\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\MSINET.OCX". Action Taken: No Action Taken. Entry "HKCR\CLSID\{48E59295-9880-11CF-9754-00AA00C00908}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\MSINET.OCX". Action Taken: No Action Taken. Entry "HKCR\CLSID\{58DA8D8A-9D6A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{58DA8D8F-9D6A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{58DA8D93-9D6A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{58DA8D96-9D6A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{5ACBB955-5C57-11CF-8993-00AA00688B10}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{5ACBB956-5C57-11CF-8993-00AA00688B10}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{5ACBB957-5C57-11CF-8993-00AA00688B10}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{5ACBB958-5C57-11CF-8993-00AA00688B10}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{6027C2D4-FB28-11CD-8820-08002B2F4F5A}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{612A8624-0FB3-11CE-8747-524153480004}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{612A8628-0FB3-11CE-8747-524153480004}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{62823C20-41A3-11CE-9E8B-0020AF039CA3}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{6B7E638F-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{6B7E6393-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{6B7E63A3-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{70B51430-B6CA-11D0-B9B9-00A0C922E750}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{8298d101-f992-43b7-8eca-5052d885b995}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{9ED94440-E5E8-101B-B9B5-444553540000}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{9ED94444-E5E8-101B-B9B5-444553540000}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{A9E69612-B80D-11D0-B9B9-00A0C922E750}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{B66834C6-2E60-11CE-8748-524153480004}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{f612954d-3b0b-4c56-9563-227b7be624b4}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken. File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINDOWS\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken. File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:Tool.Win32.KillApp.b. No Action Taken. File C:\WINDOWS\system32\TFTP2788 infected by "Backdoor.Win32.PoeBot.b" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Steven\Anwendungsdaten\Mozilla\Firefox\Profiles\n1jcnvy5.default\Cache\34F8A0FCd01 infected by "Trojan-Downloader.Win32.IstBar.ja" Virus! Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-854245398-2077806209-839522115-1003\Dc17.exe infected by "Trojan-Downloader.Win32.Small.aqt" Virus! Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-854245398-2077806209-839522115-1003\Dc18.exe infected by "Trojan-Downloader.Win32.Small.aqt" Virus! Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-854245398-2077806209-839522115-1003\Dc20.html infected by "Trojan-Clicker.JS.Linker.j" Virus! Action Taken: No Action Taken. File C:\WINDOWS\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken. File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:Tool.Win32.KillApp.b. No Action Taken. File C:\WINDOWS\system32\TFTP2788 infected by "Backdoor.Win32.PoeBot.b" Virus! Action Taken: No Action Taken. File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\downloads\ag-2058a\start.exe infected by "Trojan-Downloader.Win32.IstBar.ja" Virus! Action Taken: No Action Taken. File E:\downloads\ag-2058a.zip infected by "Trojan-Downloader.Win32.IstBar.ja" Virus! Action Taken: No Action Taken. File E:\downloads\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\RECYCLER\S-1-5-21-854245398-2077806209-839522115-1003\Df4\Steven\Trash\MESSAGES.TBB tagged as not-a-virusownloader.Win32.Casino. No Action Taken. Scheint ja völlig verseucht zu sein...... |
08.06.2005, 20:22 | #10 |
Administrator, a.D. | Hilfe bei Trojaner Efewe.E/Rdriv.sys Der Einsatz vom Scheinsicherheitstool 'Stinger' macht keinen Sinn bei deinem durchseuchten System. Setze dein System zur deiner eigenen Sicherheit neu auf.
Sie ermöglichen Dritten Vollzugriff auf 'dein' System! |
09.06.2005, 06:48 | #11 |
| Hilfe bei Trojaner Efewe.E/Rdriv.sys Moin, Erstmal danke für eure Antworten... So wie das Aussieht werd ich das ganze neu Aufsetzen, werd mal schön nach Anleitung neu installieren. Könnt ihr mir noch sagen ob ich mit eTrust 7.1 und ZoneAlarm einigermaßen geschützt bin, oder welche AV/Firewall Software würdt ihr empfehlen? |
Themen zu Hilfe bei Trojaner Efewe.E/Rdriv.sys |
abgesicherten, abgesicherten modus, bereinigt, confused, datei, dienst, etrust, firewall, gescannt, helfen, hilfe bei trojaner, hoffe, melde, meldet, meldung, modus, problem, progs, prozess, scan, sp2, starte, startet, troja, trojaner, trojaner/virus, virenscan, wieder weg, windowsxp |