Archief - De topics van lang geleden

pxz.exe en c:\wondows\system32\rdriv.sys!

31-10-2005, 17:06 door Quichote, 8 reacties
het pxz.exe en c:wondowssystem32rdriv.sys file worden na
verwijdering steeds opnieuw gegenereerd!

Het rdiv.sys file wordt herkend als een troyaanse virus,
maar geen enkele scanner lijkt het te kunnen verwijderen,
veilige mode, koude reboot!

Iedere keer een huidige datem en tijd stempel.
het pxz.exe file wordt weer in de opstartlijst opgenomen.

Wel lijkt het dat als pxz.exe als proces wordt beeindigd,
het tijdens een sessie niet terug komt!

1Ghz, 512Mb.. WinXP Prof SP1, ZoneAlarm, AntiVir, Ad Aware
Reacties (8)
31-10-2005, 17:10 door SirDice
Als welk trojaans paard wordt het herkent?

En heb je Systeem Herstel (System Restore) uitgezet? En dan
scannen in Veilige modus (Safe mode).
31-10-2005, 17:33 door Quichote
C:WINDOWSSYSTEM32RDRIV.SYS

Is the Trojan horse TR/Rootkit.L.

Ik hoef dit file maar aan te klikken (eigenschappen), of AntiVir personal
geeft een melding van hierboven, maar hij kan het niet verwijderen.

En dit allemaal na een nieuwe format c:
31-10-2005, 17:39 door Quichote
ik stuur een hijjack file, echter deze is wel met het pxz.exe proces
beeindigd!

Logfile of HijackThis v1.99.1
Scan saved at 17:37:42, on 31-10-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAVPersonalAVGNT.EXE
C:Program FilesZone LabsZoneAlarmzlclient.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesTuneUp Utilities 2006MemOptimizer.exe
C:WINDOWSSystem32devldr32.exe
C:Program FilesAVPersonalAVGUARD.EXE
C:Program FilesAVPersonalAVWUPSRV.EXE
C:Program Filesewidosecurity suiteewidoctrl.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:WINDOWSSystem32LVComsX.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesLogitechVideoFxSvr2.exe
C:ProgramsHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.nl/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.nl/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Koppelingen
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-
CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:program filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [AVGCtrl] C:Program FilesAVPersonalAVGNT.EXE /min
O4 - HKLM..Run: [Zone Labs Client] C:Program FilesZone
LabsZoneAlarmzlclient.exe
O4 - HKLM..Run: [Windows Automatic Updates] C:pxz.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN
MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [TuneUp MemOptimizer] "C:Program FilesTuneUp
Utilities 2006MemOptimizer.exe" autostart
O8 - Extra context menu item: &Google Zoeken - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Woord vertalen in het Nederlands -
res://C:Program FilesGoogleGoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de
pagina - res://C:Program FilesGoogleGoogleToolbar1.dll/cmcache.html
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi
Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/MsnMessengerSetupDownloader.ca
b
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik
GmbH - C:Program FilesAVPersonalAVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH,
Germany - C:Program FilesAVPersonalAVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:Program
Filesewidosecurity suiteewidoctrl.exe
O23 - Service: NTsystem (System) - Unknown owner -
C:WINDOWSntsys32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) -
TuneUp Software GmbH - C:Program FilesTuneUp Utilities 2006
WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
C:WINDOWSsystem32ZoneLabsvsmon.exe
31-10-2005, 17:52 door SirDice
Door Quichote
C:WINDOWSSYSTEM32RDRIV.SYS

Is the Trojan horse TR/Rootkit.L.

Ik hoef dit file maar aan te klikken (eigenschappen), of
AntiVir personal
geeft een melding van hierboven, maar hij kan het niet
verwijderen.

En dit allemaal na een nieuwe format c:
Dus.. Na een format en een nieuwe installatie wordt deze
rootkit gelijk gevonden (zonder online te zijn geweest)?
Gefeliciteerd! Je hebt 1 van de vele illegale windows cd's
gedownload met ingebouwde rootkit.. Maak er een onderzetter
van en gebruik voortaan een legale versie..
O23 - Service: NTsystem (System) - Unknown owner -
C:WINDOWSntsys32.exe
Deze is ook dubieus en behoort waarschijnlijk bij W32/Sdbot-LN.

Zorg dat je AV up2date is.. Zet "Systeem herstel" UIT. Start
in "Veilige modus". Opnieuw scannen..

Zet op z'n minst de windows firewall aan.. Doe regelmatig
een windows update.
31-10-2005, 18:44 door G-Force
Probeer eens eerst Rootkits te verwijderen via de F-Secure
website. Daar is een Rootkit-killer te downloaden (F-Secure Blacklight)

Zie daarvoor de link (download page) van F-secure:

http://www.f-secure.com/blacklight/try.shtml

Mocht dit niet lukken, dan is volledig syteemherstel (met
een legale Windows versie) nog de enige oplossing. Met een
rootkit erop blijft je systeem gecompromitteerd.

In zo'n geval moet je eieren voor je geld kiezen.

Succes.
02-11-2005, 18:00 door Quichote
Ok,
dank jullie voor jullie info en oplossing!

natuurlijk heb je gelijk!
kan er even niets aan veranderen!

Wel vraag ik me af wat dat 'pxz.exe' file nu eigenlijk is, en doet!

mvg..
18-11-2005, 19:19 door spatieman
praten naar een irc netwerk, zombie opdrachten uitvoeren, etc.
03-01-2006, 09:15 door Anoniem
Door Quichote
het pxz.exe en c:wondowssystem32
driv.sys file worden na
verwijdering steeds opnieuw gegenereerd!

Het rdiv.sys file wordt herkend als een troyaanse virus,
maar geen enkele scanner lijkt het te kunnen verwijderen,
veilige mode, koude reboot!

Iedere keer een huidige datem en tijd stempel.
het pxz.exe file wordt weer in de opstartlijst opgenomen.

Wel lijkt het dat als pxz.exe als proces wordt beeindigd,
het tijdens een sessie niet terug komt!

1Ghz, 512Mb.. WinXP Prof SP1, ZoneAlarm, AntiVir, Ad Aware
Kapersky krijgt het virus er wel uit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.