|
|
|
upnpdrv.exe
C:\WINDOWS\System32\upnpdrv.exe
HijackThis
O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv)
- Unknown owner - C:\WINDOWS\System32\upnpdrv.exe
C:\WINDOWS\System32\upnpdrv.exe
his is a report processed by VirusTotal on 07/03/2005 at 17:33:15 (CET) after scanning the file "upnpdrv.exe" file.
Kaspersky 4.0.2.24 07.03.2005 Backdoor.Win32.Codbot.ag
Sybari 7.5.1314 07.03.2005 W32/Codbot-Gen
Start--> Ausführen--> cmd -->
cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit
|
datfindbat
Verzeichnis von C:\WINDOWS\system32
02.07.2005 19:10 28.672 TFTP2136
02.07.2005 00:05 225.248 fff.exe
01.07.2005 23:46 47.616 upnpdrv.exe
01.07.2005 23:36 0 TFTP2676
01.07.2005 22:49 34.064 lhacm.acm
01.07.2005 22:24 0 TFTP1456
01.07.2005 00:37 2.368 SVKP.sys
Directory of C:\DOCUME~1\user\LOCALS~1\Temp
03.07.2005 03:32 59.218 TFR52.tmp
03.07.2005 03:32 56.657 TFR4E.tmp
03.07.2005 03:32 46.660 TFR49.tmp
03.07.2005 03:32 20.560 TFR44.tmp
03.07.2005 03:32 40.950 TFR3D.tmp
03.07.2005 03:32 67.994 TFR39.tmp
03.07.2005 03:32 46.021 TFR38.tmp
03.07.2005 03:31 67.560 TFR31.tmp
03.07.2005 03:31 21.122 TFR2F.tmp
03.07.2005 03:31 23.427 TFR2A.tmp
03.07.2005 03:31 71.682 TFR27.tmp
03.07.2005 03:31 10.225 TFR21.tmp
03.07.2005 03:31 35.574 TFR1B.tmp
02.07.2005 22:19 32.204 TFR36.tmp
02.07.2005 22:19 27.777 TFR35.tmp
Directory of C:\WINDOWS
C:\WINDOWS\update-sp2.html
C:\WINDOWS\update-sp5.html
C:\WINDOWS\t.bat
Directory of C:\
C:\srhys.exe
C:\JHL.exe
löschen:
C:\WINDOWS\system32\upnpdrv.exe
C:\WINDOWS\system32\TFTP2136
C:\WINDOWS\system32\fff.exe
C:\WINDOWS\system32\TFTP1456
C:\WINDOWS\system32\lhacm.acm
C:\WINDOWS\system32\SVKP.sys
C:\WINDOWS\update-sp2.html
C:\WINDOWS\update-sp5.html
C:\WINDOWS\t.bat
C:\srhys.exe
C:\JHL.exe
Download Registry Search Tool :
Registry Search Tool
Doppelklick:regsrch.vbs
reinkopieren:
upnpdrv
SVKP
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
INFO:
C:\WINDOWS\system32\
Wenn W32/Rbot-AGP installiert ist, erstellt er die Datei Windows-Systemordner\svkp.sys, bei der es sich um einen legitimen Treiber für NT-basierte Systeme handelt.
Die Datei SVKP.sys wird als neuer Systemtreiberdienst namens "SVKP" mit dem Anzeigenamen "SVKP" und dem Starttyp "Automatisch" registriert, so dass sie während des Systemstarts automatisch ausgeführt wird. An folgender Stelle werden Registrierungseinträge erzeugt:
HKLM\SYSTEM\CurrentControlSet\Services\SVKP\
zahlreiche Firefoxfenster aufgehen, welche allesamt "Windows XP Security and Privacy" als Topic
aber keine Internetadresse haben sondern eine lokale wie z.b. "file:///C:/WINDOWS/update-sp2.html".
C:\WINDOWS\System32\upnpdrv.exe
HijackThis
O4 - HKLM\..\Run: [VIEW POINT DRIVERS FOR WIN32] phqghu.exe
O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS FOR WIN32] phqghu.exe
O4 - HKCU\..\Run: [VIEW POINT DRIVERS FOR WIN32] phqghu.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe
O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing)
|
|
