Und hir die zweite Sache.

Microsoft (R) Windows Debugger Version 6.8.0004.0 X86
Copyright (c) Microsoft Corporation. All rights reserved.

Connected to Windows XP 2600 x86 compatible target, ptr64 FALSE
Symbol search path is: SRV*<C:\Symbols>*http://msdl.microsoft.com/download/symbols
Executable search path is:
*******************************************************************************
WARNING: Local kernel debugging requires booting with kernel
debugging support (/debug or bcdedit -debug on) to work optimally.
*******************************************************************************
Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 2600.xpsp_sp2_gdr.070227-2254
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055a620
Debug session time: Sun Nov 18 18:51:10.156 2007 (GMT+1)
System Uptime: 0 days 0:28:57.734
lkd> !chkimg -d nt
804e2724-804e2727 4 bytes - nt!KiServiceTable+7c
[ 00 a8 58 80:b0 fe 0a f6 ]
804e273c-804e273f 4 bytes - nt!KiServiceTable+94 (+0x18)
[ f8 fb 56 80:70 c8 0a f6 ]
804e274c-804e274f 4 bytes - nt!KiServiceTable+a4 (+0x10)
[ a9 e7 56 80:00 77 0b f6 ]
804e2760-804e276b 12 bytes - nt!KiServiceTable+b8 (+0x14)
[ e1 74 59 80 a4 0a 5b 80:70 02 0b f6 00 65 0b f6 ]
804e2770-804e2773 4 bytes - nt!KiServiceTable+c8 (+0x10)
[ 1b 46 56 80:90 a0 0b f6 ]
804e277c-804e277f 4 bytes - nt!KiServiceTable+d4 (+0x0c)
[ a1 c4 57 80:fc 64 db f7 ]
804e2788-804e278b 4 bytes - nt!KiServiceTable+e0 (+0x0c)
[ ea 24 5a 80:50 03 0b f6 ]
804e27a0-804e27a7 8 bytes - nt!KiServiceTable+f8 (+0x18)
[ 97 73 5d 80 36 51 59 80:f0 ce 0a f6 20 87 0b f6 ]
804e27ac-804e27af 4 bytes - nt!KiServiceTable+104 (+0x0c)
[ ac 3a 59 80:60 83 0b f6 ]
804e27b8-804e27bb 4 bytes - nt!KiServiceTable+110 (+0x0c)
[ 26 2b 57 80:70 62 0b f6 ]
804e2830-804e2833 4 bytes - nt!KiServiceTable+188 (+0x78)
[ 80 e4 5a 80:60 8a 0b f6 ]
804e2878-804e287b 4 bytes - nt!KiServiceTable+1d0 (+0x48)
[ 93 fb 56 80:40 cd 0a f6 ]
804e2890-804e2893 4 bytes - nt!KiServiceTable+1e8 (+0x18)
[ 06 2d 57 80:e8 64 db f7 ]
804e28a8-804e28ab 4 bytes - nt!KiServiceTable+200 (+0x18)
[ 06 c8 58 80:ed 64 db f7 ]
804e29a8-804e29af 8 bytes - nt!KiServiceTable+300 (+0x100)
[ 29 d0 64 80 1e d5 64 80:d0 91 0b f6 50 8d 0b f6 ]
804e29c8-804e29cb 4 bytes - nt!KiServiceTable+320 (+0x20)
[ 2a 5f 57 80:50 fb 0a f6 ]
804e29d8-804e29db 4 bytes - nt!KiServiceTable+330 (+0x10)
[ 42 c0 64 80:00 90 0b f6 ]
804e29f0-804e29f3 4 bytes - nt!KiServiceTable+348 (+0x18)
[ ee e9 57 80:60 00 0b f6 ]
804e2a28-804e2a2b 4 bytes - nt!KiServiceTable+380 (+0x38)
[ 9c 6e 57 80:60 d0 0a f6 ]
804e2a84-804e2a87 4 bytes - nt!KiServiceTable+3dc (+0x5c)
[ 8d 3c 57 80:d7 7e 0b f6 ]
804e2aac-804e2aaf 4 bytes - nt!KiServiceTable+404 (+0x28)
[ 40 47 58 80:f7 64 db f7 ]
804e2afc-804e2aff 4 bytes - nt!KiServiceTable+454 (+0x50)
[ 97 a6 57 80:f2 64 db f7 ]
104 errors : nt (804e2724-804e2aff)
lkd> lmfk
start end module name
804d7000 806ebe00 nt ntoskrnl.exe

Unloaded modules:
f0a0e000 f0a39000 kmixer.sys
f0b73000 f0b9e000 kmixer.sys
f140d000 f1438000 kmixer.sys
f7d64000 f7d65000 drmkaud.sys
f15b8000 f15c5000 DMusic.sys
f15c8000 f15d6000 swmidi.sys
f1438000 f145b000 aec.sys
f7bc7000 f7bc9000 splitter.sys
f785f000 f786c000 ATITool.sys
f782f000 f7839000 processr.sys
f7967000 f796c000 Cdaudio.SYS
f7471000 f7474000 Sfloppy.SYS

So jetz wird es wild.
Guckt dir das Bild vom Arovax AntiSpyware scann an!!!



Ich hab sie nun mit Arovax gelöscht.
Außer "Rootkit.Win32.Agent.p" der geht nicht zu löschen.


Ich weis Backdoors sinnt nicht toll und ich müsste formatieren.
Aber ich habe keine zeit und lust zum neu aufsetzen.
Vieleicht mach ich dass irgentwann mal.

Ich möchte den PC einfach nur sauber haben.
Also helft mir die bister zu killen.

Vielleicht gibst auch noch mehr Viren.
Also scannt mein Pc gründlich.

Das alles sieht nicht doll aus, die API-Funktionen sind gehooked, wget lädt zum Stelldichein... Kurz: Das ist nicht mehr dein PC.

Zitat:

Zitat von Das Perd mit dem Virus

Ich weis Backdoors sinnt nicht toll und ich müsste formatieren.
Aber ich habe keine zeit und lust zum neu aufsetzen.
Vieleicht mach ich dass irgentwann mal.

Vielleicht, vielleicht auch nicht. Mach was du willst. Wenn du Glück hast, schrotten Backdoor und alles was er nachlädt in Kürze deine Kiste, wenn du Pech hast, gehts noch ein Weilchen, ohne dass du es checkst. Welcome to the exciting world of bot and sex and rock 'n roll!

Zitat:

Ich möchte den PC einfach nur sauber haben.

Ausgeschlossen.

Gruß und Schluß (für mich jedenfalls)

Öhm *hust, räusper* Ich war wohl etwas voreilig und habe komplett vergessen, dass GMER ja was fand: und zwar Treiber von ZA. Dazu passen dann die Ergebnisse des debugging. Sorry dafür und für meinen harschen Ton. (wobei du deine Einstellung in puncto Infektionen dringend überdenken solltest )

Gegenprobe: Deinstalliere ZA (deaktivieren genügt nicht) und starte windbg erneut mit dem Befehl "!chkimg -d nt" erneut -> siehe wie oben


Nun gut, da ist das Thema Fehlalarm schon wieder etwas aktueller. Dies umso mehr, da ich mir mal dein Antispywareprogramm installiert und für schlecht befunden habe: 4 Fehlalarme! (nach einem Neustart waren es schon 6) Das Ding scannt lediglich nach Namen, ohne eine inhaltliche Prüfung vorzunehmen. Die sog. "Funde" sind also mit Vorsicht zu genießen. An deiner Stelle würde ich bei Antivir bleiben und gut ist. Weitere Schutzsoftware ist überflüssig und gehört imho schon deshalb nicht auf den Rechner (ZA eingeschlossen )

wget: Ob die Einträge von Bifrose stammen, lässt sich nur erahnen, vllt legt auch andere Software solche Schlüssel an. Keine Ahnung...

Interessant bleibt der vermeintliche Treiber rdriv.

- Lade mal den ERD-Commander, brenne das Image und boote neu (hier habe ich das schon mal geschrieben)

- gehe auf Administrative tools -> services & drivers -> und suche einen Treiber mit der Beschreibung/Description "rdriv" Die Treiberdatei selbst kann durchaus anders heißen. Sofern du fündig wirst (ich glaub schon nicht mehr daran ) Doppelklick auf den betreffenden Eintrag, lass dir den Pfad zur Datei anzeigen und setze das Ding auf disable.

- Dann navigiere zu der Datei und kopiere sie nach c:\ERDUserprofile\Meine Dateien und benenne sie in rdriv.ren um -> Anschließend prüfe sie bei virustotal.com

Zitat:

Zitat von ordell1234

wget: Ob die Einträge von Bifrose stammen, lässt sich nur erahnen, vllt legt auch andere Software solche Schlüssel an. Keine Ahnung...

Bifrost legte solche Einträge an, allerdings ältere Versionen, die aktuellen nicht mehr.

Ja, die Frage ist nur, ob auch hier. Und wenn das Teil mit nem rootkit getarnt ist, den kein Schwein findet, warum dann diese dilletantischen registryeinträge?

Soll ich dass machen was du unten geschrieben hast?

Ok folgendes:

1. Deinstalliere (vorübergehend) ZA. Kann ich dich dazu überreden, sie deinstalliert zu lassen?

2. Rufe windbg auf. Dabei mußt du das Prozedere teilweise nochmal durch laufen, also:
- File -> Symbol File path -> in das Fenster

Code: Alles auswählenAufklappen

ATTFilter

SRV*<C:\Symbols>*http://msdl.microsoft.com/download/symbols
         

- dann File -> "Kernel debug" -> local
- weißes Fenster -> am unteren Rand kommt die Befehlszeile, der Prompt lautet lkd>
- gib ein: jeweils mit Enter bestätigen
.reload (mit Punkt)
!chkimg -d nt
.reload
.lmkv

Die Ausgabe kopieren und posten (bitte als Anhang, die Treiberliste wird recht lang).

3. Mit der offline CD warte nochmal. Lade dir anstelle registry search und gib in die Suche (oberes Feld) "rdriv" ein. Poste bitte die Ergebnisse.

Was ist den ZA???

Zonealarm, d.h. deine Firewall. Wenn du Schiß hast, knips die XP-eigene an. Passiert nix.

Kann ich nicht einfach ZoneAlarm ganz beenden.(ZoneAlarm ist zwar noch drauf aber ist nicht gestartet)

Was ist den an ZoneAlarm so schlimm?

Zitat:

Zitat von Das Perd mit dem Virus

Was ist den an ZoneAlarm so schlimm?

gar nichts :aplaus:
manche Leute mögen einfach Leute, die sich durch ZA gut geschützt fühlen. :aplaus:
Scheinsicherheit ist cool, no risc, no fun.

Ach jetz verstehe ich dass.
Ich dache ich sollte ZA deinstallieren wegen der suche nach dem Virus.
Das ZoneAlarm irgentwas blockt.

Dann mach ich halt Mcafee Internet Security Suite auf den PC.
Ich weis der scanner ist shit.Ich lass Antivir noch drauf.

An ZA ist nichts schlimm, sie ist nur überflüssig wie ein drittes Bein (gilt für jede Personal Firewall, die vorgibt, ausgehenden Traffic zu filtern).

Nur momentan stört sie, da sie die logs verbiegt. Wie gesagt: Deaktivieren genügt nicht, der Treiber muß von der Platte! Du kannst sie anschließend wieder installieren und eine Möglichkeit, deine aktuelle Konfiguration zu speichern gibt's sicherlich auch. Aber ich bettel nicht...

edit: Nein, warte bitte mit weiteren Installationen und mach erst die logs.

Zitat:

An ZA ist nichts schlimm, sie ist nur überflüssig wie ein drittes Bein

Zitat:

Dann mach ich halt Mcafee Internet Security Suite auf den PC.

Dann kannst du Zone Alarm auch lassen.
Denn ob das "dritte Bein " nun von Zone alarm ist oder Mcafee ist letztlich völlig wurscht.Der gleiche Mist nur mit anderem Namen...
Dein Windows hat eine Firewall dabei,die ist ausreichend,auch wenn die "Firewalljünger" Zeder und Mordio schreien......

Wichtiger aber ist jetzt erstmal das

Zitat:

Nur momentan stört sie, da sie die logs verbiegt.

Irrlicht