Archief
- De topics van lang geleden
pxz.exe en c:\wondows\system32\rdriv.sys!
het pxz.exe en c:wondowssystem32rdriv.sys file worden na
verwijdering steeds opnieuw gegenereerd!
Het rdiv.sys file wordt herkend als een troyaanse virus,
maar geen enkele scanner lijkt het te kunnen verwijderen,
veilige mode, koude reboot!
Iedere keer een huidige datem en tijd stempel.
het pxz.exe file wordt weer in de opstartlijst opgenomen.
Wel lijkt het dat als pxz.exe als proces wordt beeindigd,
het tijdens een sessie niet terug komt!
1Ghz, 512Mb.. WinXP Prof SP1, ZoneAlarm, AntiVir, Ad Aware
verwijdering steeds opnieuw gegenereerd!
Het rdiv.sys file wordt herkend als een troyaanse virus,
maar geen enkele scanner lijkt het te kunnen verwijderen,
veilige mode, koude reboot!
Iedere keer een huidige datem en tijd stempel.
het pxz.exe file wordt weer in de opstartlijst opgenomen.
Wel lijkt het dat als pxz.exe als proces wordt beeindigd,
het tijdens een sessie niet terug komt!
1Ghz, 512Mb.. WinXP Prof SP1, ZoneAlarm, AntiVir, Ad Aware
Reacties (8)
31-10-2005, 17:10 door
SirDice
Als welk trojaans paard wordt het herkent?
En heb je Systeem Herstel (System Restore) uitgezet? En dan
scannen in Veilige modus (Safe mode).
En heb je Systeem Herstel (System Restore) uitgezet? En dan
scannen in Veilige modus (Safe mode).
31-10-2005, 17:33 door
Quichote
C:WINDOWSSYSTEM32RDRIV.SYS
Is the Trojan horse TR/Rootkit.L.
Ik hoef dit file maar aan te klikken (eigenschappen), of AntiVir personal
geeft een melding van hierboven, maar hij kan het niet verwijderen.
En dit allemaal na een nieuwe format c:
Is the Trojan horse TR/Rootkit.L.
Ik hoef dit file maar aan te klikken (eigenschappen), of AntiVir personal
geeft een melding van hierboven, maar hij kan het niet verwijderen.
En dit allemaal na een nieuwe format c:
31-10-2005, 17:39 door
Quichote
ik stuur een hijjack file, echter deze is wel met het pxz.exe proces
beeindigd!
Logfile of HijackThis v1.99.1
Scan saved at 17:37:42, on 31-10-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAVPersonalAVGNT.EXE
C:Program FilesZone LabsZoneAlarmzlclient.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesTuneUp Utilities 2006MemOptimizer.exe
C:WINDOWSSystem32devldr32.exe
C:Program FilesAVPersonalAVGUARD.EXE
C:Program FilesAVPersonalAVWUPSRV.EXE
C:Program Filesewidosecurity suiteewidoctrl.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:WINDOWSSystem32LVComsX.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesLogitechVideoFxSvr2.exe
C:ProgramsHijackThisHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.nl/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.nl/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Koppelingen
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-
CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:program filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [AVGCtrl] C:Program FilesAVPersonalAVGNT.EXE /min
O4 - HKLM..Run: [Zone Labs Client] C:Program FilesZone
LabsZoneAlarmzlclient.exe
O4 - HKLM..Run: [Windows Automatic Updates] C:pxz.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN
MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [TuneUp MemOptimizer] "C:Program FilesTuneUp
Utilities 2006MemOptimizer.exe" autostart
O8 - Extra context menu item: &Google Zoeken - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Woord vertalen in het Nederlands -
res://C:Program FilesGoogleGoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de
pagina - res://C:Program FilesGoogleGoogleToolbar1.dll/cmcache.html
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi
Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/MsnMessengerSetupDownloader.ca
b
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik
GmbH - C:Program FilesAVPersonalAVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH,
Germany - C:Program FilesAVPersonalAVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:Program
Filesewidosecurity suiteewidoctrl.exe
O23 - Service: NTsystem (System) - Unknown owner -
C:WINDOWSntsys32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) -
TuneUp Software GmbH - C:Program FilesTuneUp Utilities 2006
WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
C:WINDOWSsystem32ZoneLabsvsmon.exe
beeindigd!
Logfile of HijackThis v1.99.1
Scan saved at 17:37:42, on 31-10-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAVPersonalAVGNT.EXE
C:Program FilesZone LabsZoneAlarmzlclient.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesTuneUp Utilities 2006MemOptimizer.exe
C:WINDOWSSystem32devldr32.exe
C:Program FilesAVPersonalAVGUARD.EXE
C:Program FilesAVPersonalAVWUPSRV.EXE
C:Program Filesewidosecurity suiteewidoctrl.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:WINDOWSSystem32LVComsX.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesLogitechVideoFxSvr2.exe
C:ProgramsHijackThisHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.nl/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.nl/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Koppelingen
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-
CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:program filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [AVGCtrl] C:Program FilesAVPersonalAVGNT.EXE /min
O4 - HKLM..Run: [Zone Labs Client] C:Program FilesZone
LabsZoneAlarmzlclient.exe
O4 - HKLM..Run: [Windows Automatic Updates] C:pxz.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN
MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [TuneUp MemOptimizer] "C:Program FilesTuneUp
Utilities 2006MemOptimizer.exe" autostart
O8 - Extra context menu item: &Google Zoeken - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Woord vertalen in het Nederlands -
res://C:Program FilesGoogleGoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de
pagina - res://C:Program FilesGoogleGoogleToolbar1.dll/cmcache.html
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi
Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/MsnMessengerSetupDownloader.ca
b
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik
GmbH - C:Program FilesAVPersonalAVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH,
Germany - C:Program FilesAVPersonalAVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:Program
Filesewidosecurity suiteewidoctrl.exe
O23 - Service: NTsystem (System) - Unknown owner -
C:WINDOWSntsys32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) -
TuneUp Software GmbH - C:Program FilesTuneUp Utilities 2006
WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
C:WINDOWSsystem32ZoneLabsvsmon.exe
31-10-2005, 17:52 door
SirDice
Door Quichote
C:WINDOWSSYSTEM32RDRIV.SYS
Is the Trojan horse TR/Rootkit.L.
Ik hoef dit file maar aan te klikken (eigenschappen), of
AntiVir personal
geeft een melding van hierboven, maar hij kan het niet
verwijderen.
En dit allemaal na een nieuwe format c:
Dus.. Na een format en een nieuwe installatie wordt dezeC:WINDOWSSYSTEM32RDRIV.SYS
Is the Trojan horse TR/Rootkit.L.
Ik hoef dit file maar aan te klikken (eigenschappen), of
AntiVir personal
geeft een melding van hierboven, maar hij kan het niet
verwijderen.
En dit allemaal na een nieuwe format c:
rootkit gelijk gevonden (zonder online te zijn geweest)?
Gefeliciteerd! Je hebt 1 van de vele illegale windows cd's
gedownload met ingebouwde rootkit.. Maak er een onderzetter
van en gebruik voortaan een legale versie..
O23 - Service: NTsystem (System) - Unknown owner -
C:WINDOWSntsys32.exe
Deze is ook dubieus en behoort waarschijnlijk bij W32/Sdbot-LN.C:WINDOWSntsys32.exe
Zorg dat je AV up2date is.. Zet "Systeem herstel" UIT. Start
in "Veilige modus". Opnieuw scannen..
Zet op z'n minst de windows firewall aan.. Doe regelmatig
een windows update.
31-10-2005, 18:44 door
G-Force
Probeer eens eerst Rootkits te verwijderen via de F-Secure
website. Daar is een Rootkit-killer te downloaden (F-Secure Blacklight)
Zie daarvoor de link (download page) van F-secure:
http://www.f-secure.com/blacklight/try.shtml
Mocht dit niet lukken, dan is volledig syteemherstel (met
een legale Windows versie) nog de enige oplossing. Met een
rootkit erop blijft je systeem gecompromitteerd.
In zo'n geval moet je eieren voor je geld kiezen.
Succes.
website. Daar is een Rootkit-killer te downloaden (F-Secure Blacklight)
Zie daarvoor de link (download page) van F-secure:
http://www.f-secure.com/blacklight/try.shtml
Mocht dit niet lukken, dan is volledig syteemherstel (met
een legale Windows versie) nog de enige oplossing. Met een
rootkit erop blijft je systeem gecompromitteerd.
In zo'n geval moet je eieren voor je geld kiezen.
Succes.
02-11-2005, 18:00 door
Quichote
Ok,
dank jullie voor jullie info en oplossing!
natuurlijk heb je gelijk!
kan er even niets aan veranderen!
Wel vraag ik me af wat dat 'pxz.exe' file nu eigenlijk is, en doet!
mvg..
dank jullie voor jullie info en oplossing!
natuurlijk heb je gelijk!
kan er even niets aan veranderen!
Wel vraag ik me af wat dat 'pxz.exe' file nu eigenlijk is, en doet!
mvg..
18-11-2005, 19:19 door
spatieman
praten naar een irc netwerk, zombie opdrachten uitvoeren, etc.
Door Quichote
het pxz.exe en c:wondowssystem32
driv.sys file worden na
verwijdering steeds opnieuw gegenereerd!
Het rdiv.sys file wordt herkend als een troyaanse virus,
maar geen enkele scanner lijkt het te kunnen verwijderen,
veilige mode, koude reboot!
Iedere keer een huidige datem en tijd stempel.
het pxz.exe file wordt weer in de opstartlijst opgenomen.
Wel lijkt het dat als pxz.exe als proces wordt beeindigd,
het tijdens een sessie niet terug komt!
1Ghz, 512Mb.. WinXP Prof SP1, ZoneAlarm, AntiVir, Ad Aware
Kapersky krijgt het virus er wel uit.het pxz.exe en c:wondowssystem32
driv.sys file worden na
verwijdering steeds opnieuw gegenereerd!
Het rdiv.sys file wordt herkend als een troyaanse virus,
maar geen enkele scanner lijkt het te kunnen verwijderen,
veilige mode, koude reboot!
Iedere keer een huidige datem en tijd stempel.
het pxz.exe file wordt weer in de opstartlijst opgenomen.
Wel lijkt het dat als pxz.exe als proces wordt beeindigd,
het tijdens een sessie niet terug komt!
1Ghz, 512Mb.. WinXP Prof SP1, ZoneAlarm, AntiVir, Ad Aware
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
