| |
| |||||||
Log-Analyse und Auswertung: Trojaner Rdriv.sys entgangen - oder doch nicht?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.07.2005, 15:05
| #1 |
| |  Trojaner Rdriv.sys entgangen - oder doch nicht? Hallo, wenn ich micht nicht irre, hat heute dieser Trojaner versucht meinen PC zu erobern, ist aber gescheitert. Was Letzteres angeht wäre ich aber gerne zu 100% sicher. Folgendes ist passiert: Beim Surfen mit Firefox 1.0.2 kam plötzlich die Meldung von der Firewall, dass ein Programm namens edit.exe (in c:\winnnt) aufs Internet zugreifen will. Das habe ich natürlich abgelehnt. Kurz danach meldete sich Sophos (von alleine), dass in der Datei C:\winnt\system32\rdriv.sys ein Virus gefunden und der Zugriff verweigert wurde. Nach kurzer Information habe ich mich entschlossen, die beiden Dateien einfach mal zu löschen. Das hat auch geklappt! Auch nach einem Neustart waren sie NICHT wieder da. Ein Komplett-Scan mit Sophos brachte keinen Treffer. Kann es sein, dass Sophos den Trojaner erfolgreich am Starten gehindert hat und ich wirklich gerade noch mal so davongekommen bin? Und was mich fast noch mehr interessiert: Wie bekommt man den denn? E-Mail, Kazaa und Windows Freigaben scheiden in meinem Fall aus. Kann ich mir den beim Surfen eingefangen haben? Firefox 1.0.2 ist ja nicht super-aktuell. Weiß jemand wie sich das Teil verbreitet? Zum Schluss noch die Logfile-Infos: Logfile of HijackThis v1.99.1 Scan saved at 15:36:29, on 22.07.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe E:\Programme\MSI\Bluetooth Software\bin\btwdins.exe e:\programme\Sophos\Remote Update\cachemgr.exe C:\Programme\Cisco Systems VPN Client\cvpnd.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\NMSSvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINNT\system32\internat.exe E:\Programme\MSI\Bluetooth Software\BTTray.exe C:\Programme\Sophos SWEEP for NT\ICMON.EXE E:\Programme\Sophos\Remote Update\imonitor.exe C:\Programme\SpamPal\spampal.exe C:\Programme\Wireless Security Corporation WSC PSK\WscPsk.exe E:\Programme\Sophos\Remote Update\iupdate.exe E:\Programme\Sophos\Remote Update\iupdate.exe C:\temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: BTTray.lnk = E:\Programme\MSI\Bluetooth Software\BTTray.exe O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE O4 - Global Startup: Remote Update Monitor.lnk = E:\Programme\Sophos\Remote Update\imonitor.exe O4 - Global Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe O4 - Global Startup: WSC WPA Assistant.lnk = C:\Programme\Wireless Security Corporation WSC PSK\WscPsk.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O16 - DPF: {1B51CC54-F369-460B-9184-22D51ABCF807} (empfaenger Element) - O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - E:\Programme\MSI\Bluetooth Software\bin\btwdins.exe O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - e:\programme\Sophos\Remote Update\cachemgr.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems VPN Client\cvpnd.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINNT\Edit.exe (file missing) O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe Wenn mir jemand zu diesen Fragen eine Antwort oder ein paar Tipps geben könnte, würde mich das sehr freuen. Vielen Dank schon mal und schönen Gruß, Holger |
| Themen zu Trojaner Rdriv.sys entgangen - oder doch nicht? |
| 100%, adobe, bho, e-mail, explorer, firefox, firewall, frage, hijack, hijackthis, internet, internet explorer, neustart, programm, programme, security, software, starten, surfen, system, temp, trojaner, virus, virus gefunden, windows, zugriff verweigert |
Baum-Darstellung