Trojaner-Board - HiJackLog - Auswertung? - rdriv.sys

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HiJackLog - Auswertung? - rdriv.sys - image.exe (https://www.trojaner-board.de/19879-hijacklog-auswertung-rdriv-sys-image-exe.html)

HiJackLog - Auswertung? - rdriv.sys - image.exe

Nabend zusammen.

Wollte heute eigentlich ne gemütliche Lan mit 2 Freunden abhalten, wird leider nichts draus da ich hier ein problem nach dem anderen habe.

Habe bereits mit AdAware, Bitdefender und AntiVirXp versucht alles wegzukriegen aber es sind immer noch restbestände.

Das was ich irgendwie denke mitbekommen zu haben ist:
image.exe und rdrive.sys

Hab leider auch keine Ahnung wie ich alles beseitigt bekomm, bin da nicht wirklich... bewandert.

Also anbei hier mein HiJackLog:

Logfile of HijackThis v1.99.1
Scan saved at 23:32:29, on 15.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Netropa\InetKb\Inetkb.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\image.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Morti\Desktop\HiJackThis\HijackThis.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B660087-931C-4056-A04F-0423890E40B6} - (no file)
O2 - BHO: (no name) - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109453927578
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A87AA92-F458-478C-BE50-AE0F6FA15DED}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: WIN32 (image) - Unknown owner - C:\WINDOWS\image.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Ich hoffe ihr könnt mir helfen!
Morti

Hallo,

aufgrund deines jungfräulichen Systems wundert mich dieser Umstand nicht. :rolleyes:

Zitat:

image.exe und rdrive.sys

Könnte es sein, das letztere Datei die RDRIV.SYS ist? Wenn ja, dann handelt es sich hier um denTROJ_ROOTKIT.E und dieser zieht zur deiner eigenen Sicherheit ein Neuaufsetzen deines Systems nach sich.

Scanne trotzdem mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

Danke für die Antwort... Im weiteren Abendverlauf ist mir dann auch klargeworden das dort gar nichts mehr geht... :(

Habe das System dann auch nach der hier im Board zu findenden Anleitung neu augesetzt.
Hoffe das System ist jetzt einigermaßen sicher, leider kann ich das mal rein gar nicht beurteilen und alles ist ein einziges hoffen und vertrauen in Technik :)

Zitat:

Zitat von IMortiI

Hoffe das System ist jetzt einigermaßen sicher, leider kann ich das mal rein gar nicht beurteilen und alles ist ein einziges hoffen und vertrauen in Technik :)

Ein erneutes HJT-Log kann ein wenig Klarheit bringen. ;)

Gruß :daumenhoc
Yopie

Ja dann folgt der doch auf den Fuss... :)
Hier ists:

Logfile of HijackThis v1.99.1
Scan saved at 16:59:56, on 17.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\mIRC\mirc.exe
C:\PROGRA~1\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://192.168.0.3/
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{71F55039-D19E-4BE3-8966-95F14D4DF863}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

edit: und die windows firewall ist aktiv...

Log ist ok.
Die Startseite ist bestimmt gewollt, oder etwa nicht (würde mich aber sehr wundern ;))?

Uhm ich weiss grad gar nicht welche... die lan ip da? weiss ich ehrlich gesagt auch nicht wie die dahin gekommen ist, aber wie gesagt wir hatten ja lan und dann kanns sein das ich das irgendwie unabsichtlich geändert hab...

und sons, benutz halt firefox..

so nu hab ich noch ne andere frage:
hab sp 2 ja installiert, automatische updates aber aus will den ie ned benutzen, gibts noch ne andere möglichkeit zusätzliche patches zu beziehen die ich dann aufspielen kann um die sicherheit zu gewährleisten?

Wenn dich der Eintrag stört, kannst du ihn fixen, du musst natürlich nicht.

Um Windows zu aktualisieren, kannst du ruhig den IE verwenden, da passiert gar nichts.

winboard.org wäre noch eine Möglickeit, aber man soll die Updates ja möglichst ohne Verzögerung installieren => Windows-Update verwenden.

Na dann werd ich mal so tapfer sein ;) Vielen Dank an alle für ihre Hilfe!
Finde das wirklich toll das einem so gut geholfen wird.

Sehr gute Einrichtung dieses Board!

Hallo zusammen.

Ich habe das gleiche Problem wie IMortiI mit dieser image.exe
Ich habe im Abgesicherten Modus die Reg einträge gelöscht und auch die Datei aus dem System32 Ordner entfernt. Wenn ich wieder im Normalen Modus hochfahre sind beide einträge wieder da. Ich muss dazu sagen, dass ich in diesem Gebiet nicht sehr bewandert bin. Das Protokoll meiner Firewall (Zonelaps) zeigt alle paar Sekunden einen "Angriff" an.

Bei meinen Processen ist aber dieser Pfad: "C:\WINDOWS\image.exe" nicht vorhanden.

Wäre nett wenn mir Jemand weiterhelfen könnte.

Danke im Vorraus

Ist dein Betriebssystem auf aktuellem Stand?

Poste mal ein Hijackthis-Logfile. Anleitung unter http://www.trojaner-board.com/showthread.php?t=17493 genau beachten!

Gruß :daumenhoc
Yopie