Kriege "TR/Rootkit.Gen" und "TR/PSW.PdPi.CT.1.D" nicht von Rechner runter!

Hesemann · 09.01.2007, 20:39

AntiVir und Spybot haben mir das folgende Ergenis gebracht:

08.01.2007,22:18:12 [WARNUNG] Ist das Trojanische Pferd TR/Rootkit.Gen!
C:\WINDOWS\system32\reg0x86a.sys

08.01.2007,22:18:15 [WARNUNG] Ist das Trojanische Pferd TR/PSW.PdPi.CT.1.D!
C:\WINDOWS\System32\regsd73u.dll

Habe beide in Quarantäne geschickt. Bei jedem neuen Start des PCs wird allerdings "TR/PSW.PdPi.CT.1.D" wieder neu von AntiVir angezeigt.

AdAware kann ich nicht mehr laufen lassen, da es nach kürzester Zeit des scannens den PC zum Neustart abstürzen lässt.

Wie krieg ich den Kram weg?

Hesemann · 09.01.2007, 20:59

Nachtrag: Ich benutze auch ZoneAlarm.

**Sunny** · 09.01.2007, 21:14

Hallo.

Lade dir mal folgendes Tool und starte es -> F-Secure Blacklight

Poste im Anschluss den Inhalt des Reports, zusätzlich auch ein Hijacklog, Anleitung dazu in meiner Signatur verlinkt.

Gruß

Sunny

Hesemann · 09.01.2007, 21:48

Step 1 - Scan
Step 2 - Cleaning
Finish

Nach welchem Punkt soll ich was posten? Soll ich cleanen und DAS Ergebnis dann posten?

**Sunny** · 09.01.2007, 21:49

Zitat:

Zitat von Hesemann

Soll ich cleanen und DAS Ergebnis dann posten?

Jepp

genau das...

Hesemann · 09.01.2007, 21:51

"Scan Completed - No Hidden Items Found"

Hesemann · 09.01.2007, 21:56

hijackthis hab ich eine version: v1.99.1

ist die ok? oder brauch ich ne neue?

**Sunny** · 09.01.2007, 21:59

Zitat:

Zitat von Hesemann

hijackthis hab ich eine version: v1.99.1

ist die ok? oder brauch ich ne neue?

Das ist die aktuelle....

Hesemann · 09.01.2007, 22:04

Awrighty... das ist die Auswertung:

Logfile of HijackThis v1.99.1
Scan saved at 22:05:56, on 09.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Tbridge\Flatbed.exe
C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Programme\OpenOffice.org1.0.1\program\soffice.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elvisclubberlin.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {8deb092f-fcf8-4351-afc3-7054f769ea9e} - C:\WINDOWS\system32\ipncst.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.0.1\program\quickstart.exe
O4 - Global Startup: Detector.lnk = ?
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by1fd.bay1.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/250c74170b3bd71d5103/netzip/RdxIE601_de.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37890.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACB09FA-7C93-46B2-B581-90834D98F102}: NameServer = 194.97.173.125 194.97.173.124
O20 - Winlogon Notify: ipncst - C:\WINDOWS\SYSTEM32\ipncst.dll
O20 - Winlogon Notify: regsd73u - C:\WINDOWS\SYSTEM32\regsd73u.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bahnhof, verstehe ich nur...

Hesemann · 09.01.2007, 22:11

hijackthis-hp sagt:

O2 - BHO: (no name) - {8deb092f-fcf8-4351-afc3-7054f769ea9e} - C:\WINDOWS\system32\ipncst.dll
>> Nicht bekanntes Programm.

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Nicht gefährlich aber unnötig.

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
Nicht gefährlich aber unnötig.

C:\Tbridge\Flatbed.exe
Nicht gefährlich aber unnötig.
Twain driver for the Visioneer PaperPort 3100b scanner that allows you to scan, fax, copy, print, and easily communicate by simply dragging and dropping scans on your PaperPort Desktop

O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACB09FA-7C93-46B2-B581-90834D98F102}: NameServer = 194.97.173.125 194.97.173.124
>> Kennen Sie die IP oder die Domäne '194.97.173.125 194.97.173.124' nicht, fixen.

O20 - Winlogon Notify: ipncst - C:\WINDOWS\SYSTEM32\ipncst.dll
?

O20 - Winlogon Notify: regsd73u - C:\WINDOWS\SYSTEM32\regsd73u.dll
?

(Also das ist mein TR/PSW.PdPi.CT.1.D-Dingens, soviel ist klar...)

**Sunny** · 09.01.2007, 22:26

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\SYSTEM32\regsd73u.dll
C:\WINDOWS\SYSTEM32\ipncst.dll
C:\WINDOWS\system32\reg0x86a.sys

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Hierbei könnte es sich um neue Schädlinge handeln, lass sie also vorher überprüfen.

Gruß
Sunny

Hesemann · 09.01.2007, 22:37

Beim Raussuchen der Datei auf meinem PC und beim Upload wurde dreimal von AnriVir Alarm geschlagen. Hab jedesmal in Quarantäne versschoben.

Hier die Auswertung:

STATUS: FINISHED
Complete scanning result of "regsd73u.dll", received in VirusTotal at 01.09.2007, 22:30:51 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.09.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.09.2007 no virus found
BitDefender 7.2 01.09.2007 no virus found
CAT-QuickHeal 9.00 01.09.2007 no virus found
ClamAV devel-20060426 01.09.2007 no virus found
DrWeb 4.33 01.09.2007 no virus found
eSafe 7.0.14.0 01.09.2007 no virus found
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 no virus found
Ewido 4.0 01.09.2007 no virus found
Fortinet 2.82.0.0 01.09.2007 no virus found
F-Prot 3.16f 01.09.2007 no virus found
F-Prot4 4.2.1.29 01.09.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.09.2007 no virus found
McAfee 4935 01.09.2007 no virus found
Microsoft 1.1904 01.09.2007 no virus found
NOD32v2 1968 01.09.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.09.2007 no virus found
Prevx1 V2 01.09.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.09.2007 no virus found
VBA32 3.11.2 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.09.2007 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Hesemann · 09.01.2007, 22:41

STATUS: FINISHED
Complete scanning result of "ipncst.dll", received in VirusTotal at 01.09.2007, 22:37:48 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 ADSPY/Effective.A.2
Authentium 4.93.8 01.09.2007 W32/Downloader.ADQZ
Avast 4.7.892.0 12.30.2006 Win32:Conhook-L
AVG 386 01.09.2007 Downloader.Generic2.DNI
BitDefender 7.2 01.09.2007 Trojan.Downloader.ConHook.AA
CAT-QuickHeal 9.00 01.09.2007 TrojanDownloader.ConHook.aa
ClamAV devel-20060426 01.09.2007 Trojan.Downloader.ConHook-3
DrWeb 4.33 01.09.2007 Trojan.DownLoader.10624
eSafe 7.0.14.0 01.09.2007 Win32.ConHook.aa
eTrust-InoculateIT 23.73.109 01.09.2007 Win32/Darksma.0fb!DLL!Trojan
eTrust-Vet 30.3.3313 01.09.2007 Win32/Darksma!generic
Ewido 4.0 01.09.2007 Downloader.ConHook.aa
Fortinet 2.82.0.0 01.09.2007 no virus found
F-Prot 3.16f 01.09.2007 security risk named W32/Downloader.ADQZ
F-Prot4 4.2.1.29 01.09.2007 W32/Downloader.ADQZ
Ikarus T3.1.0.27 01.09.2007 Trojan-Downloader.Win32.ConHook.aa
Kaspersky 4.0.2.24 01.09.2007 Trojan-Downloader.Win32.ConHook.aa
McAfee 4935 01.09.2007 Downloader-AWX
Microsoft 1.1904 01.09.2007 no virus found
NOD32v2 1968 01.09.2007 Win32/TrojanDownloader.ConHook.AA
Norman 5.80.02 12.31.2007 W32/ConHook.AU
Panda 9.0.0.4 01.09.2007 Trj/Conhook.N
Prevx1 V2 01.09.2007 no virus found
Sophos 4.13.0 01.05.2007 Troj/Candun-Gen
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.09.2007 no virus found
VBA32 3.11.2 01.09.2007 Trojan.DownLoader.10624
VirusBuster 4.3.19:9 01.09.2007 Trojan.DL.ConHook.V

Aditional Information
File size: 29184 bytes
MD5: 98f6068371ac7de82a4709b032cdeb33
SHA1: f0e1908b0c063b881e0d3dbbf4f5d919dfeabef0

Hesemann · 09.01.2007, 22:43

Wenn ich den hier senden will...:

C:\WINDOWS\system32\reg0x86a.sys

...kommt das...:

http://w_w.virustotal.com/vt/en/recepcionf

Die Seite kann nicht angezeigt werden.
Die gewünschte Seite ist zurzeit nicht verfügbar. Möglicherweise sind technische Schwierigkeiten aufgetreten oder Sie sollten die Browsereinstellungen überprüfen.

"Uploading File" erscheint noch, dann kommt "Die Seite kann nicht...."

Hesemann · 09.01.2007, 23:11

Zitat:

Zitat von Hesemann

Wenn ich den hier senden will...:

C:\WINDOWS\system32\reg0x86a.sys

Das ist dann wieder der "TR/Rootkit.Gen"

Name: TR/Rootkit.Gen
Art: Trojan
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein
Engine Version: 7.01.01.02

Spezialerkennung TR/Rootkit.Gen

Beschreibung:
Eine generische Erkennungsroutine um gemeinsame Familienmerkmale der verschiedenen Varianten zu erkennen.

Diese generische Erkennungsroutine wurde entwickelt um unbekannte Varianten zu erkennen. Sie wird kontinuierlich weiterentwickelt.

Versionsliste:
Um die Erkennung zu verbessern wurde die Engine mit folgenden Versionen aktualisiert:

• 7.01.01.02 ( 02/08/2006 )
• 7.01.01.05 ( 22/08/2006 )
• 7.02.00.34 ( 26/10/2006 )
• 7.02.00.39 ( 07/11/2006 )
• 7.02.00.49 ( 05/12/2006 )

Was heisst das denn?

09.01.2007, 21:14	#3
Sunny Administrator > Competence Manager	Kriege "TR/Rootkit.Gen" und "TR/PSW.PdPi.CT.1.D" nicht von Rechner runter! Hallo. Lade dir mal folgendes Tool und starte es -> F-Secure Blacklight Poste im Anschluss den Inhalt des Reports, zusätzlich auch ein Hijacklog, Anleitung dazu in meiner Signatur verlinkt. Gruß Sunny __________________ __________________

Kriege "TR/Rootkit.Gen" und "TR/PSW.PdPi.CT.1.D" nicht von Rechner runter!

Plagegeister aller Art und deren Bekämpfung: Kriege "TR/Rootkit.Gen" und "TR/PSW.PdPi.CT.1.D" nicht von Rechner runter!