|
Plagegeister aller Art und deren Bekämpfung: TR/PSW.PdPi.CT.1.DWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.09.2006, 09:53 | #1 | |
| TR/PSW.PdPi.CT.1.D Hallo. Antivir zeigt bei mir seit heute folgende Warnung: "TR/PSW.PdPi.CT.1.D" und vereinzelt noch diese: "TR/Delphi.Downloader.Gen". Hier der HijackThis Log: Zitat:
Ich bitte um Hilfe! |
25.09.2006, 15:41 | #2 | |
| TR/PSW.PdPi.CT.1.D mOIn chyth,
__________________Zitat:
Dies ist vmtl. auch der Grund warum diese hier http://www.sophos.de/security/analyses/w32texa.html http://www.sophos.com/security/analyses/w32sdbotcpl.html bei dir zu finden sind, es bleibt nur der Rat des Neuaufsetzens. MFG |
25.09.2006, 18:00 | #3 | |
Gesperrt | TR/PSW.PdPi.CT.1.DZitat:
|
25.09.2006, 18:04 | #4 | |
Administrator > Competence Manager | TR/PSW.PdPi.CT.1.DZitat:
Bitte bitte schliesse deine Kiste
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
25.09.2006, 18:32 | #5 | |
| TR/PSW.PdPi.CT.1.D mOIn Zitat:
Weil die meisten wohl eine legale Version von WinXP nutzen(und du Nada?) und mitbekommen haben, dass die Kiste aktuell zu halten, ein notwendiges Übel (will ich garnicht sagen) ist. Meine Frage an dich Nada was um alles in der Welt hat mit dem Prob des TO zu tun? |
26.09.2006, 19:46 | #6 |
| TR/PSW.PdPi.CT.1.D Hallo hier ist einer Neuer habe heute festgestellt, dass ich diesen netten Trojaner eingefangen habe. Unternommen habe ich folgendes: Haxfix.exe geladen. HijackThis vorgenommen: Logfile of HijackThis v1.99.1 Scan saved at 20:15:48, on 26.09.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\klickTel\klickTel OEM 2006\KSTART32.EXE C:\WINDOWS\System32\alg.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\Atievxx.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Maggi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [EumexInst] "D:\Setup.exe" O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [dmjer.exe] C:\WINDOWS\System32\dmjer.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: klickTel OEM 2006 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2006\KSTART32.EXE O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Uninstall.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155740567321 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{531098DB-FA36-49D7-9F2B-E6DD2129AECC}: NameServer = 85.255.113.94,85.255.112.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{74172ABC-C174-4AB9-9297-A075B76DCC23}: NameServer = 85.255.113.94,85.255.112.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{84298BB0-127D-4FD0-9918-09FC9C88CC29}: NameServer = 85.255.113.94,85.255.112.225 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.225 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.225 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe Würde mir bitte ein helfendes Gehirn mitteilen, ob ich den Trojaner los bin?!? Ihr merkt schon - viel Ahnung habe ich nicht. Aber ich gebe mir MÜHE. MFG |
26.09.2006, 20:07 | #7 | |||
| TR/PSW.PdPi.CT.1.D Guten Abend, Hast du die NUB gelesen? Zitat:
Zitat:
Grund: Zitat:
Gruß Mellosun |
15.10.2006, 22:41 | #8 |
| TR/PSW.PdPi.CT.1.D Hallo zusammen, zwar habe ich auf die Fragen meiner Vorgänger, die es mit TR/PSW.PdPi.CT.1.D zu tun haben, - mit Verlaub - noch keine wirklich hilfreichen Antworten gesehen, aber dennoch: Auch ich habe das Ding eingefangen und poste hier das HTJ-Log mit der Bitte um Hilfe. Das Ganze fing mit der AV-Fehlermeldung an, ein Programm vesuche, meinen Svcmgr zu verändern oder sowas. Und nun bekomme ich laufend die Meldung von AV, C:\WINNT\system32\jadapter.dll sei das Trojanische Pferd TR/PSW.PdPi.CT.1.D. Logfile of HijackThis v1.99.1 Scan saved at 23:35:08, on 15.10.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Windows\bin\btwdins.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\System32\HPZipm12.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\explorer.exe C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINNT\system32\cdplayer.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iPod\bin\iPodService.exe C:\WINNT\system32\internat.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\Windows\BTTray.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\WinRAR\WinRAR.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\install\HijackThis.exe F2 - REG:system.ini: Shell=explorer.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5437D1E0-FA38-41EF-816B-D9F299E767CA} - C:\WINNT\System32\xgsEE22.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Daemons Updates Services] mybr.exe O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [stonedrv] c:\winnt\system32\stonedrv.exe O4 - HKLM\..\Run: [SvcManager] c:\winnt\system32\msi1.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunServices: [Daemons Updates Services] mybr.exe O4 - HKLM\..\RunServices: [stonedrv] c:\winnt\system32\stonedrv.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Daemons Updates Services] mybr.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [stonedrv] c:\winnt\system32\stonedrv.exe O4 - HKCU\..\RunServices: [Daemons Updates Services] mybr.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Windows\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Windows\btsendto_ie.htm O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O20 - Winlogon Notify: iexplore - 1smlY.dll (file missing) O20 - Winlogon Notify: jadapter - C:\WINNT\SYSTEM32\jadapter.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Windows\bin\btwdins.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst f?r die Verwaltung logischer Datentr?ger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe Vielen Dank schonmal für die Hilfe. Euer DaPo |
20.10.2006, 21:16 | #9 |
| TR/PSW.PdPi.CT.1.D Hallo zusammen, würde mich freuen, wenn einer zu diesem Trojaner Stellung nimmt. Habe ich ne Chance, meinen Rechner ohne neues Aufsetzen wieder zu desinfizieren? Ich hätte noch nen anderen Rechner, in den ich die Platte als Slave hängen könnte, um mit dem funktionierenden Rechner die infizierte Platte zu reinigen. Ist nicht irgendwas machbar? Mein htj-log ist ja eins drüber zu finden. Viele Grüße |
12.12.2006, 23:34 | #10 |
| TR/PSW.PdPi.CT.1.D sie http://www.trojaner-board.de/34371-loesung-tr-psw-pdpi-ct-1-d.html#post244010 |
12.12.2006, 23:57 | #11 |
/// Helfer-Team | TR/PSW.PdPi.CT.1.D @bombe2006 Siehst aber schon ein, dass der Thread nicht mehr ganz so aktuelli ist
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
Themen zu TR/PSW.PdPi.CT.1.D |
1.exe, adobe, avg, avira, bho, bitte um hilfe, browser, desktop, dll, einstellungen, explorer, firewall, hijack, hijackthis, hijackthis log, internet, internet explorer, logfile, monitor, opera, pc tools spyware doctor, rundll, software, spyware, system, warnung, windows, windows xp |