WCM Forum - Rootkit ?

WCM Forum (http://www.wcm.at/forum/index.php)

- IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)

- - Rootkit ? (http://www.wcm.at/forum/showthread.php?t=215377)

Realist

08.05.2007 23:50

Rootkit ?

Bei Scan durch F-Secure BlackLight ergab sich 1 Item "kdvvw.exe" im Ordner Windows/system32. Im Explorer nicht zu finden, bei Suchen kein Ergebnis. Unter Google nichts zu finden. Was soll ich tun ? Irgendweklche Auffälligkeiten zeigbt der PC nicht. Prozess mit dieser exe ist nicht vorhanden.

schichtleiter

10.05.2007 15:31

Scan mal mit Rootkit Revealer bzw. Spybot Search & Destroy.

franznovak

13.05.2007 10:23

Um Auszuschließen, dass F-Secure eine Falsch-Warnung gegeben hat würde ich kurz mal mit upgedateter free AntiVir Personal scannen...

Was sagt Spybot S&D und/oder Lavasofts Ad-aware? *Beide Privat free*

holzi

13.05.2007 11:05

f-secure backlight probieren

schichtleiter

13.05.2007 14:32

am einfachsten wär sicher die datei an www.virustotal.com zu schicken.

Realist

16.05.2007 21:57

anscheinend ein Registry-Eintrag

danke für die Antworten! Scans mit SpySweeper, AdAware, Norton2006, MOD32, Spybot ergaben nichts. Smitfraudfix meldete HLM\Softw\Micros\WindNT\Currentv\Winlogon\System\k dvvw.exe, also einen Wert in der Registry. Einschicken zur Überprüfung an www.virustotal. com wäre gut, aber das ist ja keine Datei ???

Soll ich den Wert löschen ?

Bei den Scans haben sich 4 verdächtige Funde in C\Recycler\S-1 ... und in C\Volume Information\_restore.... ergeben. Beides zeigt der Explorer nicht an. Wie kann ich das löschen ?

franznovak

16.05.2007 22:08

a) C:\Recycled\ = Papierkorb

b) C:\Volume Information\_restore..\... = Systemwiederherstellung

a) kannst im Papierkorb löschen
b) der Eintrag in einer Sys.wid. sollte unschädlich bzw. unnütz sein und wird in einigen Wochen verschwunden sein...

Ansehen kannst dir beide Verzeichnisse, indem du im Explorer -> Extras -> Ordneroptionen -> Ansicht -> "Alle Dateien/Ordner anzeigen" + "Systemdateien nicht ausblenden" wählst...

.

Realist

17.05.2007 23:20

@franznovak

danke für den Rat.

a) und b): beides wusste ich, was es bedeutet. Aber beide sind im Explorer nicht zu finden. Das mit Ordneroptionen ist mir bekannt. Aber es gibt im Explorer ganz unten nach 7 Partitionen 1 Papierkorb. Da ist aber nichts drinnen. Und den Ordner für Restore wird so nicht angezeigt. Vielleicht irgendwo iim Windowsordner. Habe nochmals nachgeschaut: C.\windows\system32\ restore gibts, aber da ist sowas nicht drinnen.

franznovak

18.05.2007 09:52

Du musst (wenn alle Exploreroptionen gesetzt sind) hier schauen:

b) C:\Volume Information\_restore..\... = Systemwiederherstellung

Realist

20.05.2007 22:34

@franznovak

Nochmalsd danke. Ein Hakerl war bei Ordneroptionen zu viel. Bei Recycler gelöscht, wird wohl gewesen swein.

Alle Zeitangaben in WEZ +2. Es ist jetzt 16:12 Uhr.