Rootkit.Win32.Agent.p
 

Hallo!
Arovax AntiSpyware hat Rootkit.Win32.Agent.p :pfui: gefunden.
Aber er kann nicht gelöscht werden.
Ich weis noch nicht mal ob es den Virus überhaupt gibt.
Der Virus soll in diesem Regestry schlüssel sein:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]

Könntet ihr mein PC auf Viren überprüfen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:46:36, on 17.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\SiteAdvisor\6172\SAService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\SiteAdvisor\6172\SiteAdv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Benni\Desktop\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6172\SiteAdv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.alice-dsl.de
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6172\SAService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5365 bytes

Hallo, das klingt übel. Bestätigt sich der Verdacht, ist eine Bereinigung ausgeschlossen. Auch wenn sich rootkit und Backdoor prinzipiell entfernen lassen, bleibt deine Kiste kompromittiert.

Starte im abgesicherten Modus neu und gib in der Eingabeaufforderung (Ausführen -> "cmd") ein:

cd\ -> Enter
reg export HKLM\System\CurrentControlSet\Services\rdriv rdriv.txt

und poste den Inhalt von C:\rdriv.txt

Grüße

Ich hab im abgesicherten Modus gestartet und in der Eingabeaufforderung eigeben

cd\ und dann enter gedrückt

Dann hab ich
reg export HKLM\System\CurrentControlSet\Services\rdriv rdriv.txt

eingegeben.

Dann sagt er:
Fehler: Der angegebene Registrierungsschlüssel oder Wert konnte nicht gefunden werden.:snyper:

hmm, das ist blöd, dabei hätte ich wetten können...

Nun gut, suche auf deinem Computer nach rdriv.sys oder rdriv.* und probiere im abgesicherten Modus, die Datei auf den Desktop zu kopieren und in rdriv.ren umzubenennen. Kann gut sein, dass auch das nicht funzt. Wenn es aber funktioniert, starte neu und lade die Datei zur Überprüfung bei virustotal.com hoch und poste die Funde incl. md5 und sh1-Werten.

In diesem Fall mache mal einen scan mit combofix und gmer. Speicher den Report von gmer an einem Ort, wo du ihn wieder findest und poste ihn und das combofix-log. Sollte das gmer-log zu groß sein, hoste es zB bei file-upload.net.

Ich hab bei Suche rdriv.sys eingegeben und er findet nichts.:eek:
Ich hab auch ein Hacken bei Versteckte Elemente durchsuchen gemacht.

Ich mach dann mit Combofix weiter.
Soll ich bei GMER unten 1.0.13 downloaden?

Yep. Wie gesagt, das ist eine hartnäckige Sache. Die Aktion hier dient auch nicht der Bereinigung, sondern soll nur den Fund bestätigen.

Ich hab combofix gedownloadet und gestartet dann sagt er irgent was dass die kopie zu alt ist.

Dann mach bitte mit gmer weiter.

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-11-18 12:59:25
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.13 ----

.text ntoskrnl.exe!_abnormal_termination + 104 804E2760 12 Bytes [ 70, 22, 0C, F6, 00, 85, 0C, ... ]

---- User code sections - GMER 1.0.13 ----

.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetSysColor 7E368E78 5 Bytes JMP 004C7DC9 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetSysColorBrush 7E368EAB 5 Bytes JMP 004C7E0F C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 004C7C7D C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetScrollInfo 7E370DA2 7 Bytes JMP 004C7C2C C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!ShowScrollBar 7E37F2B3 5 Bytes JMP 004C7CCE C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetScrollPos 7E37F6C4 5 Bytes JMP 004C7C47 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!SetScrollPos 7E37F710 5 Bytes JMP 004C7C98 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetScrollRange 7E37F747 5 Bytes JMP 004C7C62 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!SetScrollRange 7E37F95B 5 Bytes JMP 004C7CB3 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!EnableScrollBar 7E3B7DDD 7 Bytes JMP 004C7C11 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe

---- Kernel code sections - GMER 1.0.13 ----

? srescan.sys Das System kann die angegebene Datei nicht finden.
? C:\WINDOWS\system32\12.tmp Das System kann die angegebene Datei nicht finden.

---- Devices - GMER 1.0.13 ----

AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F75C71DE] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F75C71DE] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F75C7454] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F75C71DE] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE [F75C71DE] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_NAMED_PIPE [F75C71DE] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLOSE [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_READ [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_WRITE [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_EA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL [F75C7454] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_INTERNAL_DEVICE_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_MAILSLOT [F75C71DE] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_SECURITY [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_SECURITY [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_POWER [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SYSTEM_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CHANGE [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_QUOTA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_QUOTA [F75BAF4C] fltmgr.sys

Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys

---- Kernel IAT/EAT - GMER 1.0.13 ----

IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [F60D4360] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [F60BF5C0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [F60BF510] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [F60BF6C0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [F60BF220] \SystemRoot\System32\vsdatant.sys

---- System - GMER 1.0.13 ----

SSDT \SystemRoot\System32\vsdatant.sys ZwConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateFile
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys ZwCreatePort
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcessEx
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateSection
SSDT F7C50894 ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateWaitablePort
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteFile
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDuplicateObject
SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenFile
SSDT F7C50880 ZwOpenProcess
SSDT F7C50885 ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys ZwRenameKey
SSDT \SystemRoot\System32\vsdatant.sys ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys ZwRequestWaitReplyPort
SSDT \SystemRoot\System32\vsdatant.sys ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys ZwSecureConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationFile
SSDT \SystemRoot\System32\vsdatant.sys ZwSetValueKey
SSDT F7C5088F ZwTerminateProcess
SSDT F7C5088A ZwWriteVirtualMemory

---- EOF - GMER 1.0.13 ----

Ich sehe nüscht. :( Kann gut sein, dass das Teil gmer umgeht, umso erstaunlicher wäre allerdings, dass es durch dein antispyware-Programm gefunden wurde.

Ok. probieren wir folgendes:
1. Lade dir icesword 1.20
2. Starte icesword - kann sein, dass es auch nicht funzt, aber wenn:
3. Gehe auf plugin -> choose -> filereg.icp
4. es öffnet sich eine shell
5. Gib ein: mount 0 0
6. save c:\icesearch.txt
7. search
8. unsave
9. exit
10. poste bitte icesearch.txt

Zusätzlich/alternativ lade dir Rootkitunhooker (ich habe nur chip gefunden :(, die homepages wechseln irgendwie ständig)

- Installiere rkunhooker
- In der Reiterleiste gaaanz rechts findest du Report
- führe den Report aus und poste das Log hier bzw. verlinke auf eine Hoster (k.A., wie groß das Teil wird)

Das mit icesword geht nicht.:eek:

Hir ein Bild http://bildupload.sro.at/a/images/179-Unbenannt.JPG

Ich mach nach her mit Rootkitunhooker.
Hab grad keine Zeit.

Die shell ist offen, schon mal gut:

nach mount 0 0 gib jeweils ohne "" ein:
6. "save c:\icesearch.txt"
7. "search" (und nicht serach ;))
8. "unsave"

zum Verlassen: "exit"

Ich hoffe ich habs richtig gemacht.
Weil es ist sehr viel.:confused:

>
Please wait...
Hidden file: \Dokumente und Einstellungen\Benni\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\10r3d46o.default\Cache\F558305Ad01
Done.
>
>



Rootkitunhooker sagt immer wenn ich es öffnen will "Error loading Data File"

So langsam bin ich mit meinem Latein am Ende. Die Fehlermeldung von rkunhooker kann von Software, insb. Treibern stammen, oder das rootkit sperrt. :dummguck: Der Fund von icesword taugt nix.

Ok, zurück zum Start: gib in der Eingabeaufforderung ein:

Code:

---

cd\
reg export HKLM\System\CurrentControlSet\Enum\Root\LEGACY_RDRIV rdriv.txt

---

und poste den Inhalt von c:\rdriv.txt

- lade dir win debugging tools von MS (v6.8.4.0)
- installiere das Paket und starte windbg.exe
- File -> Symbol File path -> in das Fenster trage ein (am besten mit copy&paste): - falls in dem Fenster die Option Reload möglich ist (unten links), setze das Häkchen und bestätige mit OK
- dann gehe wieder auf File, dort auf "Kernel debug"
- Im sich öffnenden Fenster wählst du "Local" (ganz rechts).
- die Frage, ob Imfos im workspace gespeichert werden sollen, verneinst du
- es öffnet sich ein weißes Fenster, am unteren Rand erscheint die Befehlszeile, der Prompt sollte lkd> heißen
- dort gib ein, ohne "":
1. "!chkimg -d nt"
2. "lmfk"

Markiere die Ausgabe mit Strg+A, kopiere mit Strg+C, öffne den editor und füge den text mit Strg+V ein, speicher das log und poste bitte seinen Inhalt. Vielleicht sieht man was.

Sollte das debugging nicht funktionieren, kopiere bitte trotzdem die Ausgabe und poste den Inhalt.

Hir die erste sache.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_RDRIV]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_RDRIV\0000]
"Service"="rdriv"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="rdriv"
"Capabilities"=dword:00000000
"Driver"="{8ECC055D-047F-11D1-A537-0000F8753ED1}\\0026"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_RDRIV\0000\LogConf]

Und hir die zweite Sache.

Microsoft (R) Windows Debugger Version 6.8.0004.0 X86
Copyright (c) Microsoft Corporation. All rights reserved.

Connected to Windows XP 2600 x86 compatible target, ptr64 FALSE
Symbol search path is: SRV*<C:\Symbols>*http://msdl.microsoft.com/download/symbols
Executable search path is:
*******************************************************************************
WARNING: Local kernel debugging requires booting with kernel
debugging support (/debug or bcdedit -debug on) to work optimally.
*******************************************************************************
Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 2600.xpsp_sp2_gdr.070227-2254
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055a620
Debug session time: Sun Nov 18 18:51:10.156 2007 (GMT+1)
System Uptime: 0 days 0:28:57.734
lkd> !chkimg -d nt
804e2724-804e2727 4 bytes - nt!KiServiceTable+7c
[ 00 a8 58 80:b0 fe 0a f6 ]
804e273c-804e273f 4 bytes - nt!KiServiceTable+94 (+0x18)
[ f8 fb 56 80:70 c8 0a f6 ]
804e274c-804e274f 4 bytes - nt!KiServiceTable+a4 (+0x10)
[ a9 e7 56 80:00 77 0b f6 ]
804e2760-804e276b 12 bytes - nt!KiServiceTable+b8 (+0x14)
[ e1 74 59 80 a4 0a 5b 80:70 02 0b f6 00 65 0b f6 ]
804e2770-804e2773 4 bytes - nt!KiServiceTable+c8 (+0x10)
[ 1b 46 56 80:90 a0 0b f6 ]
804e277c-804e277f 4 bytes - nt!KiServiceTable+d4 (+0x0c)
[ a1 c4 57 80:fc 64 db f7 ]
804e2788-804e278b 4 bytes - nt!KiServiceTable+e0 (+0x0c)
[ ea 24 5a 80:50 03 0b f6 ]
804e27a0-804e27a7 8 bytes - nt!KiServiceTable+f8 (+0x18)
[ 97 73 5d 80 36 51 59 80:f0 ce 0a f6 20 87 0b f6 ]
804e27ac-804e27af 4 bytes - nt!KiServiceTable+104 (+0x0c)
[ ac 3a 59 80:60 83 0b f6 ]
804e27b8-804e27bb 4 bytes - nt!KiServiceTable+110 (+0x0c)
[ 26 2b 57 80:70 62 0b f6 ]
804e2830-804e2833 4 bytes - nt!KiServiceTable+188 (+0x78)
[ 80 e4 5a 80:60 8a 0b f6 ]
804e2878-804e287b 4 bytes - nt!KiServiceTable+1d0 (+0x48)
[ 93 fb 56 80:40 cd 0a f6 ]
804e2890-804e2893 4 bytes - nt!KiServiceTable+1e8 (+0x18)
[ 06 2d 57 80:e8 64 db f7 ]
804e28a8-804e28ab 4 bytes - nt!KiServiceTable+200 (+0x18)
[ 06 c8 58 80:ed 64 db f7 ]
804e29a8-804e29af 8 bytes - nt!KiServiceTable+300 (+0x100)
[ 29 d0 64 80 1e d5 64 80:d0 91 0b f6 50 8d 0b f6 ]
804e29c8-804e29cb 4 bytes - nt!KiServiceTable+320 (+0x20)
[ 2a 5f 57 80:50 fb 0a f6 ]
804e29d8-804e29db 4 bytes - nt!KiServiceTable+330 (+0x10)
[ 42 c0 64 80:00 90 0b f6 ]
804e29f0-804e29f3 4 bytes - nt!KiServiceTable+348 (+0x18)
[ ee e9 57 80:60 00 0b f6 ]
804e2a28-804e2a2b 4 bytes - nt!KiServiceTable+380 (+0x38)
[ 9c 6e 57 80:60 d0 0a f6 ]
804e2a84-804e2a87 4 bytes - nt!KiServiceTable+3dc (+0x5c)
[ 8d 3c 57 80:d7 7e 0b f6 ]
804e2aac-804e2aaf 4 bytes - nt!KiServiceTable+404 (+0x28)
[ 40 47 58 80:f7 64 db f7 ]
804e2afc-804e2aff 4 bytes - nt!KiServiceTable+454 (+0x50)
[ 97 a6 57 80:f2 64 db f7 ]
104 errors : nt (804e2724-804e2aff)
lkd> lmfk
start end module name
804d7000 806ebe00 nt ntoskrnl.exe

Unloaded modules:
f0a0e000 f0a39000 kmixer.sys
f0b73000 f0b9e000 kmixer.sys
f140d000 f1438000 kmixer.sys
f7d64000 f7d65000 drmkaud.sys
f15b8000 f15c5000 DMusic.sys
f15c8000 f15d6000 swmidi.sys
f1438000 f145b000 aec.sys
f7bc7000 f7bc9000 splitter.sys
f785f000 f786c000 ATITool.sys
f782f000 f7839000 processr.sys
f7967000 f796c000 Cdaudio.SYS
f7471000 f7474000 Sfloppy.SYS

So jetz wird es wild.
Guckt dir das Bild vom Arovax AntiSpyware scann an!!!

http://bildupload.sro.at/a/images/177-Unbenannt.JPG

Ich hab sie nun mit Arovax gelöscht.
Außer "Rootkit.Win32.Agent.p" der geht nicht zu löschen.


Ich weis Backdoors sinnt nicht toll und ich müsste formatieren.
Aber ich habe keine zeit und lust zum neu aufsetzen.
Vieleicht mach ich dass irgentwann mal.

Ich möchte den PC einfach nur sauber haben.
Also helft mir die bister zu killen.

Vielleicht gibst auch noch mehr Viren.
Also scannt mein Pc gründlich.

Das alles sieht nicht doll aus, die API-Funktionen sind gehooked, wget lädt zum Stelldichein... Kurz: Das ist nicht mehr dein PC.
Vielleicht, vielleicht auch nicht. Mach was du willst. Wenn du Glück hast, schrotten Backdoor und alles was er nachlädt in Kürze deine Kiste, wenn du Pech hast, gehts noch ein Weilchen, ohne dass du es checkst. Welcome to the exciting world of bot and sex and rock 'n roll!

Ausgeschlossen.

Gruß und Schluß (für mich jedenfalls)

Öhm *hust, räusper* :o Ich war wohl etwas voreilig und habe komplett vergessen, dass gmer ja was fand: und zwar Treiber von ZA. Dazu passen dann die Ergebnisse des debugging. Sorry dafür und für meinen harschen Ton. (wobei du deine Einstellung in puncto Infektionen dringend überdenken solltest :rolleyes:)

Gegenprobe: Deinstalliere ZA (deaktivieren genügt nicht) und starte windbg erneut mit dem Befehl "!chkimg -d nt" erneut -> siehe wie oben


Nun gut, da ist das Thema Fehlalarm schon wieder etwas aktueller. Dies umso mehr, da ich mir mal dein Antispywareprogramm installiert und für schlecht befunden habe: 4 Fehlalarme! (nach einem Neustart waren es schon 6) Das Ding scannt lediglich nach Namen, ohne eine inhaltliche Prüfung vorzunehmen. Die sog. "Funde" sind also mit Vorsicht zu genießen. An deiner Stelle würde ich bei Antivir bleiben und gut ist. Weitere Schutzsoftware ist überflüssig und gehört imho schon deshalb nicht auf den Rechner (ZA eingeschlossen ;))

wget: Ob die Einträge von Bifrose stammen, lässt sich nur erahnen, vllt legt auch andere Software solche Schlüssel an. Keine Ahnung...

Interessant bleibt der vermeintliche Treiber rdriv.

- Lade mal den ERD-Commander, brenne das Image und boote neu (hier habe ich das schon mal geschrieben)

- gehe auf Administrative tools -> services & drivers -> und suche einen Treiber mit der Beschreibung/Description "rdriv" Die Treiberdatei selbst kann durchaus anders heißen. Sofern du fündig wirst (ich glaub schon nicht mehr daran :D) Doppelklick auf den betreffenden Eintrag, lass dir den Pfad zur Datei anzeigen und setze das Ding auf disable.

- Dann navigiere zu der Datei und kopiere sie nach c:\ERDUserprofile\Meine Dateien und benenne sie in rdriv.ren um -> Anschließend prüfe sie bei virustotal.com

Bifrost legte solche Einträge an, allerdings ältere Versionen, die aktuellen nicht mehr.

Ja, die Frage ist nur, ob auch hier. Und wenn das Teil mit nem rootkit getarnt ist, den kein Schwein findet, warum dann diese dilletantischen registryeinträge? :dummguck:

Soll ich dass machen was du unten geschrieben hast?

Ok folgendes:

1. Deinstalliere (vorübergehend) ZA. Kann ich dich dazu überreden, sie deinstalliert zu lassen? :D

2. Rufe windbg auf. Dabei mußt du das Prozedere teilweise nochmal durch laufen, also:
- File -> Symbol File path -> in das Fenster
- dann File -> "Kernel debug" -> local
- weißes Fenster -> am unteren Rand kommt die Befehlszeile, der Prompt lautet lkd>
- gib ein: jeweils mit Enter bestätigen
.reload (mit Punkt)
!chkimg -d nt
.reload
.lmkv

Die Ausgabe kopieren und posten (bitte als Anhang, die Treiberliste wird recht lang).

3. Mit der offline CD warte nochmal. Lade dir anstelle registry search und gib in die Suche (oberes Feld) "rdriv" ein. Poste bitte die Ergebnisse.

Was ist den ZA???

Zonealarm, d.h. deine Firewall. Wenn du Schiß hast, knips die XP-eigene an. Passiert nix.

Kann ich nicht einfach ZoneAlarm ganz beenden.(ZoneAlarm ist zwar noch drauf aber ist nicht gestartet)

Was ist den an ZoneAlarm so schlimm?

gar nichts :aplaus:
manche Leute mögen einfach Leute, die sich durch ZA gut geschützt fühlen. :aplaus:
Scheinsicherheit ist cool, no risc, no fun. :teufel3:

Ach jetz verstehe ich dass.
Ich dache ich sollte ZA deinstallieren wegen der suche nach dem Virus.
Das ZoneAlarm irgentwas blockt.:heulen:

Dann mach ich halt Mcafee Internet Security Suite auf den PC.
Ich weis der scanner ist shit.Ich lass Antivir noch drauf.

An ZA ist nichts schlimm, sie ist nur überflüssig wie ein drittes Bein (gilt für jede Personal Firewall, die vorgibt, ausgehenden Traffic zu filtern).

Nur momentan stört sie, da sie die logs verbiegt. Wie gesagt: Deaktivieren genügt nicht, der Treiber muß von der Platte! Du kannst sie anschließend wieder installieren und eine Möglichkeit, deine aktuelle Konfiguration zu speichern gibt's sicherlich auch. Aber ich bettel nicht... ;)

edit: Nein, warte bitte mit weiteren Installationen und mach erst die logs.

Dann kannst du Zone Alarm auch lassen.
Denn ob das "dritte Bein " nun von Zone alarm ist oder Mcafee ist letztlich völlig wurscht.Der gleiche Mist nur mit anderem Namen...
Dein Windows hat eine Firewall dabei,die ist ausreichend,auch wenn die "Firewalljünger" Zeder und Mordio schreien......

Wichtiger aber ist jetzt erstmal das
Irrlicht

Shit, ich sehe grad durch Zufall nen Tippfehler. Aber da du eh noch nicht angefangen hast, halb so wild. Die Befehle beim debuggen lauten:

Was heist als Anhang?
Ich habs einfach in Trojnaer-board eingefügt dann sagt er:
1. Der Text, den Sie eingegeben haben, besteht aus 66736 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.

Ich habe den Text einfach in den Editor kopiert und auf einer Internet Seite hochgeladen.
Hir der link Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Und das log von dem Programm sieht nicht gut aus. Als wäre der PC Virern verseucht.

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 21.11.2007 16:26:12 for strings:
; 'rdriv'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D6373FE5-5F25-11D3-A456-0060B0F8AA86}]
@="DIHPAiOPrinterDriverConfigHacker"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D6373FE6-5F25-11D3-A456-0060B0F8AA86}]
@="_DIHPAiOPrinterDriverConfigHackerEvents"

[HKEY_LOCAL_MACHINE\SOFTWARE\Lexmark\IjPrtSettings\OFN1\PrinterDriverData]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\HP Deskjet F300 series\PrinterDriverData]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Providers\LanMan Print Services\Servers\Peter-f86b8405e\Printers\HP DeskJet 710C\PrinterDriverData]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/System/CurrentControlSet/Control/Print/Providers/LanMan Print Services/Servers/AddPrinterDrivers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF API DLL\TestTraceGuid]
"BitNames"=" TEST_TRACE_GENERAL TEST_TRACE_APP TEST_TRACE_TSTDRIVER TEST_TRACE_FLTRDRIVER"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
"DeviceDesc"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv]
; Contents of value:
; \??\C:\WINDOWS\system32\rdriv.sys
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\
44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,72,00,64,00,72,00,69,00,76,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER\0000]
"Service"="IpFilterDriver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
"DeviceDesc"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Print\Printers\HP Deskjet F300 series\PrinterDriverData]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IPFILTERDRIVER]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IPFILTERDRIVER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IPFILTERDRIVER\0000]
"Service"="IpFilterDriver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IPFILTERDRIVER\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RDRIV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
"DeviceDesc"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RDRIV\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\IpFilterDriver\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\IpFilterDriver\Enum]
"0"="Root\\LEGACY_IPFILTERDRIVER\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\HP Deskjet F300 series\PrinterDriverData]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000]
"Service"="IpFilterDriver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
"DeviceDesc"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Enum]
"0"="Root\\LEGACY_IPFILTERDRIVER\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001

; End Of The Log...

:confused:
usw usf...
Sieht nicht gut aus, der Treiber ist versteckt. Im Kernel-debug ist nichts zu sehen. :eek: Überrascht mich etwas, aber egal.

2. (Druck dir das besser vorher aus)
- Lade dir den ERD-Commander, installiere die msi, gehe zu "C:\Programme\Microsoft Diagnostics and Recovery Toolset", brenne die erd50.iso als Image auf CD (Hilfe) und starte den Rechner von dieser Boot-CD neu.

- suche C:\WINDOWS\system32\rdriv.sys und verschiebe das Ding nach c:\Erduserprofile (Rechtsklick auf die Datei -> move to). Nenne die Datei in xyz.ren um.

- gehe auf Administrative tools -> services & drivers -> und suche einen Treiber mit der Beschreibung/Description "rdriv" Wenn du fündig wirst, setze durch Doppelklick auf den Eintrag den treiber auf "disabled"

- Einschub: Suche auch mal nach einer Datei wget. -> Command Prompt und dort eingeben:- starte neu und lade die xyz.ren bei virustotal.com hoch und poste die Ergebnisse, inkl. aller Angaben zu Dateigröße etc.

3. Mach bitte einen Scan mit rootkitrevealer. Schließe vor dem scan sämtliche Anwendungen und achte während des scans darauf, nix am Computer zu machen, nicht mal Maus bewegen oder tief Luft holen. Poste das log. Wenns zu lang wird, dann als Anhang, bzw. filehoster.

Da ich im moment keiner Zeit habe, habe ich mir von einem Freund SpywareDoctor ausgeliehen.
Er ganz interessante sachen gefunden. Ja auch rdriv sehr sehr sehr viel sogar.:teufel3:
SpywareDoctor ist wohl doch nicht so doof.
Ich hoffe das Problem ist nun gelöst.
Aber ich dass noch was du gesagt hast.

Hir sind noch Bilder.

http://bildupload.sro.at/a/images/34-Unbenannt.JPG

http://bildupload.sro.at/a/images/9-Unbenannt1.JPG

Oh doch, der hat z.B. "SpyAxe" oder einen "Desktop_Hijacker" gefunden.

Und das Gezeugs ist auf deinem PC zumindest nicht drauf.

Immer hin hat er rdiv gefunden.:Boogie:

rdriv.sys bitte nicht löschen. Ich möchte gern vorher die Auswertung von virustotal sehen.

Tja, gefunden haben wir ihn auch ;)

Naja, ich täte einfach die CD rausholen und Windoofs neu draufschmeißen...

Aber mach das am besten noch nicht...die Auswertung von Virustotal wäre schon interessant...

Oh shit!
Ich habs gelöscht.:(:heulen:

Ja und nu? :rolleyes: Wenn du Glück hast, war's das, wenn nicht, dann nicht. Liegt bei dir, wie du weiter verfährst, meinen Rat kennst du.

Grüße ordell :)

Ok dann schließt das Thema.
Ich mach dann wieder meine Firewall drauf.

tue das unbedingt :aplaus:
und vertraue Deinen AntiViren Tools, die helfen auch, gelegentlich. :aplaus:

je nach dem das Du auf dem PC hast stört/schützt Deine Firewall nicht ansatzweise, aber das nur nebenbei. ;)

ich wünsche Dir einen netten Remote-Admin, nicht einen der Bösen, die vielleicht mal eben schnell Deinen PC formatieren,

have fun,
Heike :teufel3: