CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede ldm111 Nybegynder
07. oktober 2005 - 23:02 Der er 16 kommentarer og
1 løsning

Hvordan kan nedenstående fil slettes

Mit Panda virusprogram har fundet denne fil på en xp installation, jeg kan ikke slette filen, da den er i brug eller skrivebeskyttet.

Hvordan sleter jeg den?

Hacking tool detected: Hacktool/Rootkit.L     
Location: c:\windows\system32\rdriv.sys
Avatar billede kalp Novice
07. oktober 2005 - 23:09 #1
Download hijackthis herfra og gem det i en folder for sig selv på dit skrivebord

http://www.downloadportal.dk/viewinfo.asp?rid=1658
Eller
http://www.arlet.dk/hjt.exe

Start programmet og vælge, at udføre en scan samt gemme en log fil.
Når hijackthis er færdig med, at scanne vil den bede dig om en placering hvor du vil gemme "hijackthis" en tekst fil.
Gem den i samme folder som hijackthis. Når du har sagt okay hopper der et nyt vindue frem nemlig notepad med en masse tekst linjer. Marker alle linjerne og kopir dem herind så jeg kan kigge på dem. Du må ikke selv begynde, at fikse noget i hijackthis.
Avatar billede kalp Novice
07. oktober 2005 - 23:09 #2
filen kan ellers slettes ved tvang.. med http://www.spywareinfo.dk/download/KillBox.zip

eller drdelete
Avatar billede ldm111 Nybegynder
07. oktober 2005 - 23:34 #3
KillBox virker ikke kan heller ikke slette filen.
Hvad er "drdelete" og hvordan bruges den prøvede at fyre den af i command
Avatar billede kalp Novice
07. oktober 2005 - 23:37 #4
I killbox skal du selvfølgelig sætte prik i "Delete on reboot"

drdelete finder du her
http://www.docsdownloads.com/Tier1/dr-delete.htm

killbox burde ellers kunne gøre det.
Avatar billede ldm111 Nybegynder
07. oktober 2005 - 23:39 #5
Logfile of HijackThis v1.99.1
Scan saved at 23:39:04, on 07-10-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\wincodec.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\AvltMain.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\ldm\Local Settings\Temp\Temporary Directory 2 for KillBox[1].zip\KillBox.exe
C:\csiv.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Documents and Settings\ldm\Desktop\spay\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.groupcare.dk/da/group.asp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127417583010
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Windows Codecs (Codec) - Unknown owner - C:\WINDOWS\wincodec.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\System32\cusrvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
Avatar billede kalp Novice
07. oktober 2005 - 23:44 #6
upload denne  fil c:\csiv.exe
til http://virusscan.jotti.org/

er det snavs skal den slettes.

Scan din pc i fejlsikret tilstand med disse 2 programmer

mwav
http://www.spywareinfo.dk/download/mwav.exe

Ewido
http://shop.element5.com/product.html?productid=531168
Avatar billede ldm111 Nybegynder
08. oktober 2005 - 00:09 #7
Hvorda giver jegdig point kalp
Avatar billede kalp Novice
08. oktober 2005 - 09:14 #8
ved at markere mit navn helt nede i venstre hjørne i den lille boks og trykker på accepter.

Fik du ram på filen?
Avatar billede ldm111 Nybegynder
08. oktober 2005 - 10:17 #9
Ja det lykkedes også før der blev genstartetjeg er bare så glad for din hjælp, tak for det
Avatar billede kalp Novice
08. oktober 2005 - 10:19 #10
selv tak:))
Avatar billede ejvindh Ekspert
08. oktober 2005 - 10:28 #11
Jeg tror der skal bruges et special-værktøj for at få dette rootkit væk. Prøv at følge denne procedure:

Download denne fil, men vent med at køre den. Pak den ud til skrivebordet:
http://www.atribune.org/downloads/rdrivrem.zip

Hent Ewido herfra (14 dages version af plus-versionen
http://www.ewido.net/en/download/
Installer og kør Ewido - opdater programmet.

Installer Cleanup:
http://www.geekstogo.com/modules.php?modid=5&action=download&id=49

Genstart i fejlsikret (tryk på <F8> under opstarten)

Dobbeltklik på rdrivRem.bat som du hentede tidligere, og følg instruktionerne. Efter fuldførelsen, vil der være lavet en rdriv.txt i rdrivrem-mappen. Den skal du lægge herind.

Kør en fuld scanning med Ewido. Programmet laver en lille log, som du skal kopiere herind i dit næste svar.

3.) Kør Cleanup! som du installerede tidligere. Sæt programmet op således:
Klik "Options..."
Flyt pilen ned til "Custom CleanUp!"
Marker følgende, og sørg for at intet andet er markeret:
    * Empty Recycle Bins
    * Delete Cookies
    * Delete Prefetch files
    * Cleanup! All Users

Klik OK, og tryk på CleanUp! knappen, for at starte programmet.
**Hvis den beder dig om at reboote eller logge af, så tryk No.

Reboot computeren til normal mode.

Check efter at din firewall er markeret som sat til, og at du kan slå det fra og til igen. Undersøg også om dit antivirus virker -- om du kan slå det til og fra, autoprotecte, osv.

Kør begge disse online-virus-scanninger (ikke samtidig :-)):
http://www.pandasoftware.com/products/activescan.htm
http://housecall.trendmicro.com/  -- marker "Auto Clean"

Gem resultatet fra ActiveScan.

Du skal herefter poste indholdet af rdriv.txt, loggen fra Ewido, loggen fra Activescan og en ny HJT-log.

Derudover kunne det også være godt med informationer fra Jotti om den fil Kalp nævner, og denneher:
C:\WINDOWS\wincodec.exe
Avatar billede kalp Novice
08. oktober 2005 - 10:33 #12
Jeg har fået
C:\WINDOWS\wincodec.exe
til at være en lovlig codec fil

Jeg undrede mig tilgengæld mere over denne

c:\csiv.exe
Avatar billede ejvindh Ekspert
08. oktober 2005 - 10:50 #13
Kalp: Ok, hvor har du fundet inf om den henne :-)

Iøvrigt: Jeg kan se, at I afsluttede tråden, imens jeg skrev mit indlæg. Jeg skal jo ikke kunne udelukke, at problemet virkeligt ER løst, men problemet med rdriv.sys er, at den ofte ikke kan ses nogensteder -- selvom den stadig virker.
Avatar billede kalp Novice
08. oktober 2005 - 10:56 #14
http://peter.herber.com/wincodec/readme.txt
Avatar billede ldm111 Nybegynder
08. oktober 2005 - 12:43 #15
Det var fjernelsen af denne der gjorde det muligt at slette filen
c:\csiv.exe
Avatar billede kalp Novice
08. oktober 2005 - 12:49 #16
ldm111 >> takker:)
Avatar billede ejvindh Ekspert
08. oktober 2005 - 22:10 #17
Takker for info. Jeg kan mærke, at jeg ikke trænger igennem her. Men jeg synes i det mindste følgende bør gøres: Check om du har følgende fil:
%Windir%\iTunesMusic.exe

hvis ja, og især hvis den nu figurerer i HJT-loggen, så er der stadig snavs på computeren.

Desuden er der en del reg-settings, der burde fixes også.... Det er hvad rdrivrem.zip-værktøjet gør -- men det er naturligvis op til brugeren selv om han/hun vil køre det. Se evt. symantec's side om infektionen her:
http://www.sarc.com/avcenter/venc/data/pf/w32.spybot.nlx.html
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
pop up black friday Af Malm i Virus 10 22/11/202420:49 23/11/202410:46
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 00:54 Windows 11 Pro - IIS Af bsn i Windows
I går 18:46 Omdanne stik på router til USB Af valby i Routere & Switches
I går 10:49 Ændring finansår C5 Af Lene i Økonomiprogrammer
25/1117:29 Proceslinje Af luffe1955 i Windows
25/1115:07 videoredigering med DaVinci Resolve Af gerhardpet i Andet software
White papers
Flere white papers »


Premium
Teaser billede
Microsoft hæver priserne på M365: Sådan kommer de nye priser til at ramme
Læs mere »
Efter annullering: Nu åbner Energinet igen for DevOps-aftale til 164 millioner kroner
Står klar med 50 millioner kroner til indkøb af specialiserede it-konsulenter
AI-bølgen har fået markedsværdi for 139 år gammelt hardware-firma til at eksplodere: Steget med 400 procent siden nytår
Se alle »
Computerworld
Teaser billede
Microsofts nye pc er ekstrem billig – men kan blive ekstrem sikker og fleksibel
Læs mere »
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Test: Den snusfornuftige Volkswagen ID.3 blevet til lidt af el-bisse
Kæmpe datalæk på hospital: 750.000 patienters fortrolige data lækket
Se alle »
CIO
Teaser billede
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Læs mere »
Microsoft hæver priserne på M365: Sådan kommer de nye priser til at ramme
Konsulenthus vil rulle Microsoft 365 Copilot ud til 200.000 ansatte
Kæmpe-opgave for Danske Bank har banet vej for fuldautomatiseret migrering til cloud: Nu udbredes metoden i hele AWS
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Topchef Sara Green mener, at der er brug for et radikalt nyt syn på it-ledelse - særligt én ny trend hader hun som pesten
Se alle »
White paper
Teaser billede
Er din cybersikkerhed klar til AI-revolutionen?
Læs mere »
Styrk compliance, sikkerhed og overblik med ét hug
Sikkerhed uden grænser: Cisco Hypershield
Sådan får du overblik og beskytter dine cloudapplikationer
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »