Trojaner-Board - Hilfe bei Trojaner Efewe.E/Rdriv.sys

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe bei Trojaner Efewe.E/Rdriv.sys (https://www.trojaner-board.de/18689-hilfe-trojaner-efewe-e-rdriv-sys.html)

Hilfe bei Trojaner Efewe.E/Rdriv.sys

Hallo zusammen.

Ich hoffe es kann mir jemand helfen!
Folgendes Problem:

Ich benutze WindowsXP (SP2), ZoneArlame Firewall, eTrust7.1 Virenscanner

Die Echtzeitüberewachung von eTrust meldet im 10sec. Takt einen Trojaner/Virus (Efewe.E) in der Datei Rdriv.sys und bereinigt diese Datei.

Diese Meldung kommt aber immer wieder....... :headbang:

Ich denke irgendein Prozess oder Dienst was auch immer startet den Trojaner/virus immer wieder neu........

Hab schon mit Folgenden Progs erfolglos gescannt (im Abgesicherten Modus)

Lavasoft Ad-Ware
Seek&Destroy
eTrust7.1
CCleaner

Alles ohne Erfolg.

HILFE wie geht das wieder weg ohne Neu Installieren.... :confused:

Brauche Hilfe

Viele Grüße
RinderWan

Hallo RinderWan_Kenobi,

poste bitte ein Hijackthis-Logfile -->http://www.trojaner-board.de/showthread.php?t=17493
Editiere bitte sämtliche Links und ev. persönliche Daten

dartus

Ok wird gemacht, kommt aber erst heut Nachmittag...Bin aufer Arbeit.

Danke schonmal.

So hier mein Logfile.....ohne internetverbindung, im Normalmodus

Logfile of HijackThis v1.99.1
Scan saved at 16:29:10, on 07.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\htpatch.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Dokumente und Einstellungen\Steven\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: eTrust Antivirus-RPC-Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe

O23 - Service: eTrust Antivirus-Echtzeitserver (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe

O23 - Service: eTrust Antivir
us-Jobserver (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: ProcessEnumerator32 (pe32) - Unknown owner - C:\WINDOWS\fi49.exe

O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bye
RinderWan Kenobi :sword2:

Hallo RinderWan_Kenob,

lass bitte folgende Datei:
C:\WINDOWS\fi49.exe

hier online scannen:
http://virusscan.jotti.org/de

Teile bitte das Ergebnis mit.

dartus

Hallo,

Da gibts ein kleines Problem......

Ich finde in C:\windows keine fi49.exe auch nirgens anderst.
Nur ne fi49.exe-up.txt mit folgendem Inhalt:

__SEH__ 0xc0000005 at 0x7c911010
CS :0x0000001B SS :0x00000023 DS :0x00000023
ES :0x00000023 FS :0x0000003B GS :0x00000000
EAX:0x00000020 EDX:0x00000020 ECX:0x7FFDA000
ESP:0x00EDF3C0 EBP:0x00EDF3C8 EIP:0x7C911010
ESI:0x00000400 EDI:0x77C111FB
-- backtrace --
0x7c911010:[ntdll.dll]: (001:00000010)
0x77c1120f:[msvcrt.dll]: (001:0003020f)
0x00413380:[fi49.exe]: (001:00012380)
0x0040acd6:[fi49.exe]: (001:00009cd6)
!broken!0x0875ffec:
... opss, broken by SEH
--stack--
0x00edf3c0: 0x77c0b90d 0x00000020 0x00edf3fc 0x77c1120f
0x00edf3d0: 0x00000000 0x77c111fb 0x00000400 0x00000000
0x00edf3e0: 0x00edf3cc 0x00edf3d4 0x00edefe4 0x00edffdc
0x00edf3f0: 0x77c05c94 0x77be4660 0xffffffff 0x00edf82c
0x00edf400: 0x00413380 0x00edf428 0x00000001 0x00000400
0x00edf410: 0x00000000 0x0041bf0c 0x0041a2bc 0x0000020c
0x00edf420: 0x0041bf0c 0x00001c00 0x00000045 0x00020290
0x00edf430: 0x00000012 0x00000014 0x00000003 0x00edf53e

und eine FI49.EXE-0CD2E92B.pf in c:\windows\prefetch

Diese Dateien sind sehr verdächtig ich kann diese Dateien auch nicht löschen,
bzw. wenn ich sie lösche sind sie sofort wieder da.

gruß
RinderWan

Hallo RinderWan_Kenobi,

lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

Es sieht gar nicht gut aus, denn dieser W32/Sdbot-BPZ ist vermutlich aktiv.
Wahrscheinlich wirst du dein System neu aufsetzen müßen, wenn sich meine Vermutung bestätigen sollte.

Hier mein Log file...bzw. nur die Fehler. :heulen:

File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINDOWS\system32\testtts.exe infected by "Trojan.Win32.Pakes" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\fi49.exe infected by "Backdoor.Win32.SdBot.xd" Virus! Action Taken: No Action Taken.
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0713E8A2-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0713E8A8-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0713E8D2-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0713E8D8-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{29FF67FF-8050-480f-9F30-CC41635F2F9D}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{373FF7F0-EB8B-11CD-8820-08002B2F4F5A}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{373FF7F4-EB8B-11CD-8820-08002B2F4F5A}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\MSINET.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\MSINET.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{48E59295-9880-11CF-9754-00AA00C00908}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\MSINET.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{58DA8D8A-9D6A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{58DA8D8F-9D6A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{58DA8D93-9D6A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{58DA8D96-9D6A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{5ACBB955-5C57-11CF-8993-00AA00688B10}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{5ACBB956-5C57-11CF-8993-00AA00688B10}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{5ACBB957-5C57-11CF-8993-00AA00688B10}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{5ACBB958-5C57-11CF-8993-00AA00688B10}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{6027C2D4-FB28-11CD-8820-08002B2F4F5A}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{612A8624-0FB3-11CE-8747-524153480004}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{612A8628-0FB3-11CE-8747-524153480004}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{62823C20-41A3-11CE-9E8B-0020AF039CA3}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{6B7E638F-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{6B7E6393-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{6B7E63A3-850A-101B-AFC0-4210102A8DA7}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{70B51430-B6CA-11D0-B9B9-00A0C922E750}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{8298d101-f992-43b7-8eca-5052d885b995}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9ED94440-E5E8-101B-B9B5-444553540000}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9ED94444-E5E8-101B-B9B5-444553540000}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{A9E69612-B80D-11D0-B9B9-00A0C922E750}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B66834C6-2E60-11CE-8748-524153480004}" refers to invalid object "C:\DOKUME~1\Steven\LOKALE~1\Temp\Rar$EX00.328\Comctl32.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{f612954d-3b0b-4c56-9563-227b7be624b4}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:Tool.Win32.KillApp.b. No Action Taken.
File C:\WINDOWS\system32\TFTP2788 infected by "Backdoor.Win32.PoeBot.b" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Steven\Anwendungsdaten\Mozilla\Firefox\Profiles\n1jcnvy5.default\Cache\34F8A0FCd01 infected by "Trojan-Downloader.Win32.IstBar.ja" Virus! Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-854245398-2077806209-839522115-1003\Dc17.exe infected by "Trojan-Downloader.Win32.Small.aqt" Virus! Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-854245398-2077806209-839522115-1003\Dc18.exe infected by "Trojan-Downloader.Win32.Small.aqt" Virus! Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-854245398-2077806209-839522115-1003\Dc20.html infected by "Trojan-Clicker.JS.Linker.j" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:Tool.Win32.KillApp.b. No Action Taken.
File C:\WINDOWS\system32\TFTP2788 infected by "Backdoor.Win32.PoeBot.b" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\downloads\ag-2058a\start.exe infected by "Trojan-Downloader.Win32.IstBar.ja" Virus! Action Taken: No Action Taken.
File E:\downloads\ag-2058a.zip infected by "Trojan-Downloader.Win32.IstBar.ja" Virus! Action Taken: No Action Taken.
File E:\downloads\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\RECYCLER\S-1-5-21-854245398-2077806209-839522115-1003\Df4\Steven\Trash\MESSAGES.TBB tagged as not-a-virus:Downloader.Win32.Casino. No Action Taken.

Scheint ja völlig verseucht zu sein......

DownLoade mal STINGER von McAfee und laß es mal durchlaufen!

Anleitung HIER ! :aplaus:

Der Einsatz vom Scheinsicherheitstool 'Stinger' macht keinen Sinn bei deinem durchseuchten System. Setze dein System zur deiner eigenen Sicherheit neu auf.

Backdoor.Win32.SdBot.xd -> http://www.sophos.de/virusinfo/analyses/w32sdbotxa.html
Backdoor.Win32.PoeBot.b -> http://www.sophos.de/virusinfo/analyses/w32poebotd.html
Trojan-Downloader.BAT.Ftp.ab -> http://www.pandasoftware.com/virus_i...?idvirus=56244

Alle drei haben eine Gemeinsamkeit:
Sie ermöglichen Dritten Vollzugriff auf 'dein' System!

Moin,

Erstmal danke für eure Antworten...

So wie das Aussieht werd ich das ganze neu Aufsetzen, werd mal schön nach Anleitung neu installieren.

Könnt ihr mir noch sagen ob ich mit eTrust 7.1 und ZoneAlarm einigermaßen geschützt bin, oder welche AV/Firewall Software würdt ihr empfehlen?