Shit, ich sehe grad durch Zufall nen Tippfehler. Aber da du eh noch nicht angefangen hast, halb so wild. Die Befehle beim debuggen lauten:

Code: Alles auswählenAufklappen

ATTFilter

.reload
!chkimg -d nt
.reload
lmkv
         

Was heist als Anhang?
Ich habs einfach in Trojnaer-board eingefügt dann sagt er:
1. Der Text, den Sie eingegeben haben, besteht aus 66736 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.

Ich habe den Text einfach in den Editor kopiert und auf einer Internet Seite hochgeladen.
Hir der link Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Und das log von dem Programm sieht nicht gut aus. Als wäre der PC Virern verseucht.

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 21.11.2007 16:26:12 for strings:
; 'rdriv'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D6373FE5-5F25-11D3-A456-0060B0F8AA86}]
@="DIHPAiOPrinterDriverConfigHacker"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D6373FE6-5F25-11D3-A456-0060B0F8AA86}]
@="_DIHPAiOPrinterDriverConfigHackerEvents"

[HKEY_LOCAL_MACHINE\SOFTWARE\Lexmark\IjPrtSettings\OFN1\PrinterDriverData]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\HP Deskjet F300 series\PrinterDriverData]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Providers\LanMan Print Services\Servers\Peter-f86b8405e\Printers\HP DeskJet 710C\PrinterDriverData]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/System/CurrentControlSet/Control/Print/Providers/LanMan Print Services/Servers/AddPrinterDrivers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF API DLL\TestTraceGuid]
"BitNames"=" TEST_TRACE_GENERAL TEST_TRACE_APP TEST_TRACE_TSTDRIVER TEST_TRACE_FLTRDRIVER"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
"DeviceDesc"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv]
; Contents of value:
; \??\C:\WINDOWS\system32\rdriv.sys
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\
44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,72,00,64,00,72,00,69,00,76,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER\0000]
"Service"="IpFilterDriver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPFILTERDRIVER\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
"DeviceDesc"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Print\Printers\HP Deskjet F300 series\PrinterDriverData]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IPFILTERDRIVER]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IPFILTERDRIVER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IPFILTERDRIVER\0000]
"Service"="IpFilterDriver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IPFILTERDRIVER\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RDRIV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
"DeviceDesc"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RDRIV\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\IpFilterDriver\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\IpFilterDriver\Enum]
"0"="Root\\LEGACY_IPFILTERDRIVER\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\HP Deskjet F300 series\PrinterDriverData]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000]
"Service"="IpFilterDriver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
"DeviceDesc"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Enum]
"0"="Root\\LEGACY_IPFILTERDRIVER\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001

; End Of The Log...

Zitat:

Zitat von Das Perd mit dem Virus

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D6373FE5-5F25-11D3-A456-0060B0F8AA86}]
@="DIHPAiOPrinterDriverConfigHacker"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D6373FE6-5F25-11D3-A456-0060B0F8AA86}]
@="_DIHPAiOPrinterDriverConfigHackerEvents"

Zitat:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
"DeviceDesc"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV\0000\LogConf]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv]
; Contents of value:
; \??\C:\WINDOWS\system32\rdriv.sys
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\
4,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,72,00,64,00,72,00,69,00,76,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="rdriv"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV\0000]
"Service"="rdriv"
"DeviceDesc"="rdriv"

usw usf...
Sieht nicht gut aus, der Treiber ist versteckt. Im Kernel-debug ist nichts zu sehen. Überrascht mich etwas, aber egal.

2. (Druck dir das besser vorher aus)
- Lade dir den ERD-Commander, installiere die msi, gehe zu "C:\Programme\Microsoft Diagnostics and Recovery Toolset", brenne die erd50.iso als Image auf CD (Hilfe) und starte den Rechner von dieser Boot-CD neu.

- suche C:\WINDOWS\system32\rdriv.sys und verschiebe das Ding nach c:\Erduserprofile (Rechtsklick auf die Datei -> move to). Nenne die Datei in xyz.ren um.

- gehe auf Administrative tools -> services & drivers -> und suche einen Treiber mit der Beschreibung/Description "rdriv" Wenn du fündig wirst, setze durch Doppelklick auf den Eintrag den treiber auf "disabled"

- Einschub: Suche auch mal nach einer Datei wget. -> Command Prompt und dort eingeben:

Code: Alles auswählenAufklappen

ATTFilter

c:
dir /s /b wget*
         

- starte neu und lade die xyz.ren bei virustotal.com hoch und poste die Ergebnisse, inkl. aller Angaben zu Dateigröße etc.

3. Mach bitte einen Scan mit rootkitrevealer. Schließe vor dem scan sämtliche Anwendungen und achte während des scans darauf, nix am Computer zu machen, nicht mal Maus bewegen oder tief Luft holen. Poste das log. Wenns zu lang wird, dann als Anhang, bzw. filehoster.

Da ich im moment keiner Zeit habe, habe ich mir von einem Freund SpywareDoctor ausgeliehen.
Er ganz interessante sachen gefunden. Ja auch rdriv sehr sehr sehr viel sogar.
SpywareDoctor ist wohl doch nicht so doof.
Ich hoffe das Problem ist nun gelöst.
Aber ich dass noch was du gesagt hast.

Hir sind noch Bilder.

Oh doch, der hat z.B. "SpyAxe" oder einen "Desktop_Hijacker" gefunden.

Und das Gezeugs ist auf deinem PC zumindest nicht drauf.

Immer hin hat er rdiv gefunden.

rdriv.sys bitte nicht löschen. Ich möchte gern vorher die Auswertung von virustotal sehen.

Zitat:

Zitat von Das Perd mit dem Virus

Immer hin hat er rdiv gefunden.

Tja, gefunden haben wir ihn auch

Naja, ich täte einfach die CD rausholen und Windoofs neu draufschmeißen...

Aber mach das am besten noch nicht...die Auswertung von Virustotal wäre schon interessant...

Oh shit!
Ich habs gelöscht.

Ja und nu? Wenn du Glück hast, war's das, wenn nicht, dann nicht. Liegt bei dir, wie du weiter verfährst, meinen Rat kennst du.

Grüße ordell

Ok dann schließt das Thema.
Ich mach dann wieder meine Firewall drauf.

Zitat:

Zitat von Das Perd mit dem Virus

Ich mach dann wieder meine Firewall drauf.

tue das unbedingt :aplaus:
und vertraue Deinen AntiViren Tools, die helfen auch, gelegentlich. :aplaus:

je nach dem das Du auf dem PC hast stört/schützt Deine Firewall nicht ansatzweise, aber das nur nebenbei.

ich wünsche Dir einen netten Remote-Admin, nicht einen der Bösen, die vielleicht mal eben schnell Deinen PC formatieren,

have fun,
Heike