"c:\drivez.log" - IBM-spezifisch?

brokerjoker · 3 Juli 2007

Hallo,

ich habe auf meiner Platte unter c:\ eine Datei drivez.log gefunden, deren Name und auch Inhalt mir komisch vorkommt. Google findet viele Leute, die die auch haben und manchmal kann man sehen, dass das Thinkpad-User sind.

Weiß jemand, ob das irgendetwas ist, was von den IBM-Tools stammt? (Fänd ich ziemlich dämlich von denen..)

Vielen Dank für Tipps!

highwaystar · 3 Juli 2007

Poste doch mal den Inhalt dieser Datei. Vielleicht kann man dann was dazu sagen. Ich habe diese Datei nicht auf meinem TP.......

mike71 · 3 Juli 2007

das "z" deutet auf etwas nicht ganz hasenreines hin, denn ich glaube nicht, dass lenovo/ibm hacker-kiddies-slang spricht...

senorcoconut · 3 Juli 2007

oder es geht einfach um "drive z"?

techno · 3 Juli 2007

Original von brokerjoker
Hallo,

ich habe auf meiner Platte unter c:\ eine Datei drivez.log gefunden, deren Name und auch Inhalt mir komisch vorkommt. Google findet viele Leute, die die auch haben und manchmal kann man sehen, dass das Thinkpad-User sind.

Weiß jemand, ob das irgendetwas ist, was von den IBM-Tools stammt? (Fänd ich ziemlich dämlich von denen..)

Vielen Dank für Tipps!

alles mit einem "z" am Ende ist mit Sicherheit keine "offizielle"- log. -

Datei mal durchlesen (Notepad)... sehen, was und für welches Programm denn da was für aufgezeichnet wird.
danach einfach löschen...

kommt die Datei aber wieder zurück, dann unbedingt den Virus Scanner wechseln! (denn dar alte klappte ja nicht...)

tom_k · 3 Juli 2007

"mit notepad öffnen" würd ich prinzipiell nur im Sandkasten etc

aranoia:

die datei scheint aber soweit ok:

als plain txt:

Code:

--------Application Run Starts--------------------------------------
 -gC
 Instructed to search generically for 200.
 Running application - Parsed CMD line
 OS Version--Major 5 Minor 1 Build a28
 Guessing failed, trying SPTI
 SPTI Access Mode Activated to Scan for Drives.
 Found something -- Type HTE721060G9AT00     ¸Dûwó Bus 0 ID 0
 Not a CD, DVD, or CD-RW drive. Skipping profile check.
 Found something -- Type HTE721060G9AT00     ¸Dûwó Bus 0 ID 0
 Not a CD, DVD, or CD-RW drive. Skipping profile check.
 Found something -- Type HL-DT-STDVD-ROM GDR8¸Dûwó Bus 0 ID 0
 SPTI Pass-through Successful
 ATAPI Return Code: 0/0/0
 Returned data 0 20 70 0 0 0 0 0 2a 18 3f 0 71 73 29 23
 Matching against 200. Profile found: 3f
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.
 Open Adapter Failed.

hexview:

Code:

00000000  2D 2D 2D 2D  2D 2D 2D 2D  41 70 70 6C  69 63 61 74  --------Applicat  
00000010  69 6F 6E 20  52 75 6E 20  53 74 61 72  74 73 2D 2D  ion Run Starts--  
00000020  2D 2D 2D 2D  2D 2D 2D 2D  2D 2D 2D 2D  2D 2D 2D 2D  ----------------  
00000030  2D 2D 2D 2D  2D 2D 2D 2D  2D 2D 2D 2D  2D 2D 2D 2D  ----------------  
00000040  2D 2D 2D 2D  0D 0A 00 2D  67 43 0D 0A  00 49 6E 73  ----úú-gCúúIns  
00000050  74 72 75 63  74 65 64 20  74 6F 20 73  65 61 72 63  tructed to searc  
00000060  68 20 67 65  6E 65 72 69  63 61 6C 6C  79 20 66 6F  h generically fo  
00000070  72 20 32 30  30 2E 0D 0A  00 52 75 6E  6E 69 6E 67  r 200.úú Running  
00000080  20 61 70 70  6C 69 63 61  74 69 6F 6E  20 2D 20 50   application - P  
00000090  61 72 73 65  64 20 43 4D  44 20 6C 69  6E 65 0D 0A  arsed CMD lineú  
000000A0  00 4F 53 20  56 65 72 73  69 6F 6E 2D  2D 4D 61 6A  úOS Version--Maj  
000000B0  6F 72 20 35  20 4D 69 6E  6F 72 20 31  20 42 75 69  or 5 Minor 1 Bui  
000000C0  6C 64 20 61  32 38 0D 0A  00 47 75 65  73 73 69 6E  ld a28úúGuessin  
000000D0  67 20 66 61  69 6C 65 64  2C 20 74 72  79 69 6E 67  g failed, trying  
000000E0  20 53 50 54  49 0D 0A 00  53 50 54 49  20 41 63 63   SPTIúúSPTI Acc  
000000F0  65 73 73 20  4D 6F 64 65  20 41 63 74  69 76 61 74  ess Mode Activat  
00000100  65 64 20 74  6F 20 53 63  61 6E 20 66  6F 72 20 44  ed to Scan for D  
00000110  72 69 76 65  73 2E 0D 0A  00 46 6F 75  6E 64 20 73  rives.úúFound s  
00000120  6F 6D 65 74  68 69 6E 67  20 2D 2D 20  54 79 70 65  omething -- Type  
00000130  20 48 54 45  37 32 31 30  36 30 47 39  41 54 30 30   HTE721060G9AT00  
00000140  20 20 20 20  20 B8 44 FB  77 0E F3 12  20 42 75 73       ¸Dûwó Bus  
00000150  20 30 20 49  44 20 30 0D  0A 00 4E 6F  74 20 61 20   0 ID 0úúNot a   
00000160  43 44 2C 20  44 56 44 2C  20 6F 72 20  43 44 2D 52  CD, DVD, or CD-R  
00000170  57 20 64 72  69 76 65 2E  20 53 6B 69  70 70 69 6E  W drive. Skippin  
00000180  67 20 70 72  6F 66 69 6C  65 20 63 68  65 63 6B 2E  g profile check.  
00000190  0D 0A 00 46  6F 75 6E 64  20 73 6F 6D  65 74 68 69  úúFound somethi  
000001A0  6E 67 20 2D  2D 20 54 79  70 65 20 48  54 45 37 32  ng -- Type HTE72  
000001B0  31 30 36 30  47 39 41 54  30 30 20 20  20 20 20 B8  1060G9AT00     ¸  
000001C0  44 FB 77 0E  F3 12 20 42  75 73 20 30  20 49 44 20  Dûwó Bus 0 ID   
000001D0  30 0D 0A 00  4E 6F 74 20  61 20 43 44  2C 20 44 56  0úúNot a CD, DV  
000001E0  44 2C 20 6F  72 20 43 44  2D 52 57 20  64 72 69 76  D, or CDRW driv  
000001F0  65 2E 20 53  6B 69 70 70  69 6E 67 20  70 72 6F 66  e. Skippingprof  
00000200  69 6C 65 20  63 68 65 63  6B 2E 0D 0A  00 46 6F 75  ile check.úúFou  
00000210  6E 64 20 73  6F 6D 65 74  68 69 6E 67  20 2D 2D 20  ndsomething --   
00000220  54 79 70 65  20 48 4C 2D  44 54 2D 53  54 44 56 44  Type HLDT-STDVD  
00000230  2D 52 4F 4D  20 47 44 52  38 B8 44 FB  77 0E F3 12  -ROMGDR8¸Dûwó  
00000240  20 42 75 73  20 30 20 49  44 20 30 0D  0A 00 53 50   Bus 0 ID 0úúSP  
00000250  54 49 20 50  61 73 73 2D  74 68 72 6F  75 67 68 20  TI Passthrough   
00000260  53 75 63 63  65 73 73 66  75 6C 0D 0A  00 41 54 41  SuccessfulúúATA  
00000270  50 49 20 52  65 74 75 72  6E 20 43 6F  64 65 3A 20  PI ReturnCode:   
00000280  30 2F 30 2F  30 0D 0A 00  52 65 74 75  72 6E 65 64  0/0/0úúReturned  
00000290  20 64 61 74  61 20 30 20  32 30 20 37  30 20 30 20   data 0 20 70 0   
000002A0  30 20 30 20  30 20 30 20  32 61 20 31  38 20 33 66  0 0 0 0 2a 18 3f  
000002B0  20 30 20 37  31 20 37 33  20 32 39 20  32 33 0D 0A   0 71 73 29 23ú  
000002C0  00 4D 61 74  63 68 69 6E  67 20 61 67  61 69 6E 73  úMatchingagains  
000002D0  74 20 32 30  30 2E 20 50  72 6F 66 69  6C 65 20 66  t 200.Profile f  
000002E0  6F 75 6E 64  3A 20 33 66  0D 0A 00 4F  70 65 6E 20  ound: 3fúúOpen   
000002F0  41 64 61 70  74 65 72 20  46 61 69 6C  65 64 2E 0D  AdapterFailed.
  
00000300  0A 00 4F 70  65 6E 20 41  64 61 70 74  65 72 20 46  úúOpenAdapter F  
00000310  61 69 6C 65  64 2E 0D 0A  00 4F 70 65  6E 20 41 64  ailed.úúOpen Ad  
00000320  61 70 74 65  72 20 46 61  69 6C 65 64  2E 0D 0A 00  apter Failed.úú  
00000330  4F 70 65 6E  20 41 64 61  70 74 65 72  20 46 61 69  OpenAdapter Fai  
00000340  6C 65 64 2E  0D 0A 00 4F  70 65 6E 20  41 64 61 70  led.úúOpen Adap  
00000350  74 65 72 20  46 61 69 6C  65 64 2E 0D  0A 00 4F 70  ter Failed.úúOp  
00000360  65 6E 20 41  64 61 70 74  65 72 20 46  61 69 6C 65  enAdapter Faile  
00000370  64 2E 0D 0A  00 4F 70 65  6E 20 41 64  61 70 74 65  d.úúOpen Adapte  
00000380  72 20 46 61  69 6C 65 64  2E 0D 0A 00  4F 70 65 6E  r Failed.úúOpen  
00000390  20 41 64 61  70 74 65 72  20 46 61 69  6C 65 64 2E   AdapterFailed.  
000003A0  0D 0A 00 4F  70 65 6E 20  41 64 61 70  74 65 72 20  úúOpen Adapter   
000003B0  46 61 69 6C  65 64 2E 0D  0A 00 4F 70  65 6E 20 41  Failed.úúOpen A  
000003C0  64 61 70 74  65 72 20 46  61 69 6C 65  64 2E 0D 0A  dapter Failed.ú  
000003D0  00 4F 70 65  6E 20 41 64  61 70 74 65  72 20 46 61  úOpenAdapter Fa  
000003E0  69 6C 65 64  2E 0D 0A 00  4F 70 65 6E  20 41 64 61  iled.úúOpen Ada  
000003F0  70 74 65 72  20 46 61 69  6C 65 64 2E  0D 0A 00 4F  pter Failed.úúO  
00000400  70 65 6E 20  41 64 61 70  74 65 72 20  46 61 69 6C  penAdapter Fail  
00000410  65 64 2E 0D  0A 00 4F 70  65 6E 20 41  64 61 70 74  ed.úúOpen Adapt  
00000420  65 72 20 46  61 69 6C 65  64 2E 0D 0A  00 4F 70 65  er Failed.úúOpe  
00000430  6E 20 41 64  61 70 74 65  72 20 46 61  69 6C 65 64  n AdapterFailed  
00000440  2E 0D 0A 00  4F 70 65 6E  20 41 64 61  70 74 65 72  .úúOpen Adapter  
00000450  20 46 61 69  6C 65 64 2E  0D 0A 00 4F  70 65 6E 20   Failed.úúOpen   
00000460  41 64 61 70  74 65 72 20  46 61 69 6C  65 64 2E 0D  AdapterFailed.
  
00000470  0A 00 4F 70  65 6E 20 41  64 61 70 74  65 72 20 46  úúOpenAdapter F  
00000480  61 69 6C 65  64 2E 0D 0A  00 4F 70 65  6E 20 41 64  ailed.úúOpen Ad  
00000490  61 70 74 65  72 20 46 61  69 6C 65 64  2E 0D 0A 00  apterFailed.úú  
000004A0  4F 70 65 6E  20 41 64 61  70 74 65 72  20 46 61 69  OpenAdapter Fai  
000004B0  6C 65 64 2E  0D 0A 00 4F  70 65 6E 20  41 64 61 70  led.úúOpen Adap  
000004C0  74 65 72 20  46 61 69 6C  65 64 2E 0D  0A 00        ter Failed.úú

auf den ersten Blick seh ich da nix, ist eh unwahrscheinlich,
wenn da einer einen reingezwängt hat, hat er meinen Respekt !

[edit:]
leerzeichen bei 78h im asci part des hexview eingefügt (handeditiert wg Zeilenumbruch)

MfG tom_k

notch · 3 Juli 2007

Original von highwaystar
Poste doch mal den Inhalt dieser Datei. Vielleicht kann man dann was dazu sagen. Ich habe diese Datei nicht auf meinem TP.......

Bin zwar nicht Brokerjoker, aber:
drivez.log:

--------Application Run Starts--------------------------------------
-gC
Instructed to search generically for 200.
Running application - Parsed CMD line
OS Version--Major 5 Minor 1 Build a28
Guessing failed, trying SPTI
SPTI Access Mode Activated to Scan for Drives.
Found something -- Type HTS541080G9SA00 MB4I Bus 0 ID 0
Not a CD, DVD, or CD-RW drive. Skipping profile check.
Error in IOCTL_SCSI_GET_INQUIRY_DATA

brokerjoker · 3 Juli 2007

Hier ist der Inhalt der Datei:

Code:

--------Application Run Starts--------------------------------------
 -gC
 Instructed to search generically for 200.
 Running application - Parsed CMD line
 OS Version--Major 5 Minor 1 Build a28
 Guessing failed, trying SPTI
 SPTI Access Mode Activated to Scan for Drives.
 Found something -- Type ST9100824AS             3.04 Bus 0 ID 0
 Not a CD, DVD, or CD-RW drive. Skipping profile check.
 Found something -- Type MATSHITADVD-RAM UJ-842  RB01 Bus 0 ID 0
 SPTI Pass-through Successful
 ATAPI Return Code: 0/0/0
 Returned data 0 46 41 0 0 0 0 0 2a 3e 3f 37 f3 f3 29 23
 Matching against 200. Profile found: 373f
 Found a Winner!
 --------Application Run Starts--------------------------------------
 -gC
 Instructed to search generically for 200.
 Running application - Parsed CMD line
 OS Version--Major 5 Minor 1 Build a28
 Guessing failed, trying SPTI
 SPTI Access Mode Activated to Scan for Drives.
 Found something -- Type ST9100824AS             3.04 Bus 0 ID 0
 Not a CD, DVD, or CD-RW drive. Skipping profile check.
 Found something -- Type MATSHITADVD-RAM UJ-842  RB01 Bus 0 ID 0
 SPTI Pass-through Successful
 ATAPI Return Code: 0/0/0
 Returned data 0 46 41 0 0 0 0 0 2a 3e 3f 37 f3 f3 29 23
 Matching against 200. Profile found: 373f
 Found a Winner!
 --------Application Run Starts--------------------------------------
 -gR
 Instructed to search generically for 1000.
 Running application - Parsed CMD line
 OS Version--Major 5 Minor 1 Build a28
 Guessing failed, trying SPTI
 SPTI Access Mode Activated to Scan for Drives.
 Found something -- Type ST9100824AS         |� Bus 0 ID 0
 Not a CD, DVD, or CD-RW drive. Skipping profile check.
 Found something -- Type MATSHITADVD-RAM UJ-8|� Bus 0 ID 0
 SPTI Pass-through Successful
 ATAPI Return Code: 0/0/0
 Returned data 0 46 41 0 0 0 0 0 2a 3e 3f 37 f3 f3 29 23
 Matching against 1000. Profile found: 373f
 Found a Winner!

"Found a winner" hört sich auch toll an...
Es scheint sich um ein Tool zu handeln, das nach dem Brenner sucht. Komisches Ding. Interessanterweise ist sie aus den Minuten, in denen auch viele andere Systemlogs und die IBM-typischen Verzeichnisse auf C: (SWTOOLS, ...) durch die Erstinstallation seitens Lenovo erstellt wurden. Es scheint, als ob die Datei noch bei Lenovo auf die Platte kam - oder beim Händler, denn da hatte ich das Notebook noch gar nicht.

Haben die direkt Malware mitinstalliert? wundern tut mich inzwischen nichts mehr.

highwaystar · 3 Juli 2007

Wie tom_k schon geschrieben hat, sieht der Inhalt für mich auch nicht weiter gefährlich aus. Kann es sein, dass das von der vorinstallierten Brennsoftware kommt? Ist doch von Sonic wenn ich mich recht erinnere. Da ich diese Sofware deinstalliert habe, würde das dann auch erklären, warum ich diese Datei nicht habe.

tom_k · 3 Juli 2007

sorry, datum fehlte noch

also ich hatte beim Beginn der recovery:
BOOTSECT.DOS (natürlich mit dem 02er Datum da 1:1 kopiert)
TCPACHIP.LOG
SYSLEVEL.IBM (+1min)
zum Ende des Recoveryprozesses:
LOGFILE.txt
2 min später unser: drivez.log
BOOTLOG.PRV(+1min) und .TXT (+3min)
AIBM_ALM.DBG(+4min)
sowie autoexe/config/io(+0min) und der ganze kram den win so braucht.

Sollte das wirklich Malware vom Hersteller sein könnte lenovo sich auf was gefasst machen,
und zwar aus jeder nur möglichen Richtung.
(als selbstgeoutete "Konkurrenz" der script kiddies hätten sie diese instantan Hals,
und wer derartig den Kodex verletzt bringt auch noch die hackser in Rage)

Nochmals: ich halt das Teil für ungefährlich, es springt auch kein scanner an
Du kannst es ja mal in Quarantäne stellen, falls es wider erwarten neu erstellt wird:
Alle Dateien auf C

mit Datum vor erstellung von drivez.log) sowie der Service Partition nach dem Texteintrag "rivez.lo" absuchen könnte zeigen wer das erstellt(ich hab da grad keinen bock drauf

MfG tom_k

Goonie · 3 Juli 2007

ich hatte es nach der Recovery wieder drauf. Gesehen, gelacht, gelöscht.

G.

fini · 4 Juli 2007

Naja, es wird von drivez.exe erzeugt und das liegt bei mir zB in C:\IBMTOOLS\APPS\DVDAUTH und C:\IBMTOOLS\APPS\RECNOW. Das ist halt irgendson Erkennungstool, was die Apps halt benutzen.

Original von techno
alles mit einem "z" am Ende ist mit Sicherheit keine "offizielle"- log.

Anscheinend doch

Fini

techno · 4 Juli 2007

Nunja... wenn man bedenkt, dass die allermeisten Schädlinge sich in: C:\WINDOWS\system32 aufhalten, müsste ja folglich alles darin ok sein (besonders das neu zugekommene...)

highwaystar · 4 Juli 2007

Original von fini
Naja, es wird von drivez.exe erzeugt und das liegt bei mir zB in C:\IBMTOOLS\APPS\DVDAUTH und C:\IBMTOOLS\APPS\RECNOW. Das ist halt irgendson Erkennungstool, was die Apps halt benutzen.

Wie ich schon vermutet hatte. RecordNow ist die vorinstallierte Brennsuite....

ahebich · 5 Juli 2007

Die Datei wird von der IBM-Software Recordnow angelegt.
IBM-Recordnow funktioniert nur bei den orginal IBM-Brennern.

Also keine Sorge, nichts gefährliches. Und da ja im Log "Winner"
geschrieben wurde, ist also ein IBM-Laufwerk an Bord des ThinkPad's.

"c:\drivez.log" - IBM-spezifisch?

brokerjoker

New member

highwaystar

New member

mike71

Active member

senorcoconut

New member

techno

New member

tom_k

Meister

notch

New member

brokerjoker

New member

highwaystar

New member

tom_k

Meister

Goonie

New member

fini

New member

techno

New member

highwaystar

New member

ahebich

Member

Werbung

Wir schützen deine Privatsphäre