upnpdrv.exe
|
upnpdrv.exeC:\WINDOWS\System32\upnpdrv.exe
HijackThis
O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe C:\WINDOWS\System32\upnpdrv.exe his is a report processed by VirusTotal on 07/03/2005 at 17:33:15 (CET) after scanning the file "upnpdrv.exe" file. Kaspersky : Backdoor.Win32.Codbot.ag Start --> Ausführen --> cmd -->
datfindbat
Verzeichnis von C:\WINDOWS\system32 02.07.2005 19:10 28.672 TFTP2136 02.07.2005 00:05 225.248 fff.exe 01.07.2005 23:46 47.616 upnpdrv.exe 01.07.2005 23:36 0 TFTP2676 01.07.2005 22:49 34.064 lhacm.acm 01.07.2005 22:24 0 TFTP1456 01.07.2005 00:37 2.368 SVKP.sys Directory of C:\DOCUME~1\user\LOCALS~1\Temp 03.07.2005 03:32 59.218 TFR52.tmp 03.07.2005 03:32 56.657 TFR4E.tmp 03.07.2005 03:32 46.660 TFR49.tmp Directory of C:\WINDOWS C:\WINDOWS\update-sp2.html C:\WINDOWS\update-sp5.html C:\WINDOWS\t.bat Directory of C:\ C:\srhys.exe C:\JHL.exe löschen: C:\WINDOWS\system32\upnpdrv.exe C:\WINDOWS\system32\TFTP2136 C:\WINDOWS\system32\fff.exe C:\WINDOWS\system32\TFTP1456 C:\WINDOWS\system32\lhacm.acm C:\WINDOWS\system32\SVKP.sys C:\WINDOWS\update-sp2.html C:\WINDOWS\update-sp5.html C:\WINDOWS\t.bat C:\srhys.exe C:\JHL.exe
Registry Search Tool
Doppelklick:regsrch.vbs reinkopieren: upnpdrv SVKP Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) INFO: C:\WINDOWS\system32\svkp.sys Wenn W32/Rbot-AGP installiert ist, erstellt er die Datei Windows-Systemordner\svkp.sys, bei der es sich um einen legitimen Treiber für NT-basierte Systeme handelt. Die Datei SVKP.sys wird als neuer Systemtreiberdienst namens "SVKP" mit dem Anzeigenamen "SVKP" und dem Starttyp "Automatisch" registriert, so dass sie während des Systemstarts automatisch ausgeführt wird. An folgender Stelle werden Registrierungseinträge erzeugt: HKLM\SYSTEM\CurrentControlSet\Services\SVKP\ zahlreiche Firefoxfenster gehen auf, welche allesamt "Windows XP Security and Privacy" als Topic aber keine Internetadresse haben sondern eine lokale wie z.b. "file:///C:/WINDOWS/update-sp2.html". C:\WINDOWS\System32\upnpdrv.exe
HijackThis
O4 - HKLM\..\Run: [VIEW POINT DRIVERS FOR WIN32] phqghu.exe O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS FOR WIN32] phqghu.exe O4 - HKCU\..\Run: [VIEW POINT DRIVERS FOR WIN32] phqghu.exe O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing) 
|
