Hallo,

ich bin neu hier und wende mich wegen eines Trojaners an Euch, den ich seit ein paar Tagen auf dem Rechner habe.

Mein Betriebssystem: Windows XP, Servioce Pack 2, mit aktuellen Updates,
Mein Virenscanner: AntiVir, Personal Edition Classic, Tägl. neuestes Update

Dieser besagte Virenscanner meldet mir jedesmal beim Starten eines PC Spiels (Spellforce, Hersteller: Jowwod, Kochmedia, mit beiden AddOns installiert) diese gefährliche Datei .
Bei mehreren Scandurchgängen von AntiVir (im Expertenmodus) wurde nur zweimal der Trojaner tatsächlich als Fund identifiziert siehe hier .
Dabei konnte ich die Datei auch nicht löschen, oder umbennen. Es ging nur in Quarantäne verschieben.

Auch im abgesicherten Modus konnte AntiVir nichts finden.

Bitte, kann mir jemand von Euch helfen und mir erklären, was ich tun soll, um diesen Trojaner TR/Rootkit.P, der sich laut AntiVir in der Datei C:\Dokumenten und Einstellungen\...\nenum13E.sys befindet, wieder sicher zu entfernen?

schon im Voraus vielen lieben Dank!

Hi,

also wenn Du die nenum13E.sys in der Quarantäne hast, dann mach folgendes: Lege einen neuen Ordner an, markiere die Datei in der Quarantäne, wähle in der Quarantäne das 4. Icon "ausgewähltes Objekt wiederherstellen nach" und laß die Datei in den neu angelegten Ordner schreiben.

Gehe zu VirusTotal und lade die Datei dort hoch, damit sie mit vielen Scannern untersucht wird. Die erhaltenen Ergebnisse mit kopieren und einfügen hier posten, dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren (soweit vorhanden). Schließlich gehe zum Antivir-Upload, lade die Datei dort ebenfalls hoch und gib dabei deine Mail an und nenne auch das Spiel bei dem sie auftritt. Dann schauen die sich die Datei an.

Beim hochladen der Datei aus dem Ordner wird Antivir vermutlich wieder Warnungen erzeugen, prüfe dann ob es sich um die Datei handelt, die Du hochladen willst. Wenn ja kannst Du sie ausnahmsweise ignorieren, solltest es auch, sonst läßt sie sich nicht hochladen. Das hochladen auf einen Webserver ist nicht gefährlich.

Danach kannst Du den Ordner samt Datei wieder löschen, das "Original" steht weiterhin in der Quarantäne zur Verfügung.

Nachdem ich deine über mehrere Threads im Antivir-Forum verteilten Beiträge gelesen habe, kommt mir nämlich die Idee, daß es sich um einen Kopierschutztreiber oder was ähnliches handelt. Die setzten gerne Rootkittechniken ein. Siehe auch die letzten beiden Beiträge hier.

Gruß, Karl

Hallo Karl Karl,

vielen lieben Dank für deine Tipps!
Ich habe die Datei bei Virus Total scannen lassen und auch bei Avira hochgeladen, damit die sie dort prüfen können.
Sobald ich Antowrt erhalten habe, poste ich diese hier.

Hier die Ergebnisse von Virus Total:


Select file : DistributeSSL

STATUS: FINISHEDComplete scanning result of "nenum13E.sys", received in VirusTotal at 01.30.2007, 20:22:06 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.33 01.30.2007 no virus found
Authentium 4.93.8 01.30.2007 no virus found
Avast 4.7.936.0 01.30.2007 no virus found
AVG 386 01.30.2007 no virus found
BitDefender 7.2 01.30.2007 no virus found
CAT-QuickHeal 9.00 01.30.2007 no virus found
ClamAV devel-20060426 01.30.2007 no virus found
DrWeb 4.33 01.30.2007 no virus found
eSafe 7.0.14.0 01.30.2007 Win32.Rootkit.n
eTrust-InoculateIT 23.73.128 01.30.2007 no virus found
eTrust-Vet 30.3.3358 01.29.2007 no virus found
Ewido 4.0 01.30.2007 no virus found
Fortinet 2.85.0.0 01.30.2007 no virus found
F-Prot 4.2.1.29 01.30.2007 no virus found
Ikarus T3.1.0.27 01.30.2007 Backdoor.Genlot.CL
Kaspersky 4.0.2.24 01.30.2007 no virus found
McAfee 4952 01.30.2007 no virus found
Microsoft 1.2101 01.30.2007 no virus found
NOD32v2 2021 01.30.2007 no virus found
Norman 5.80.02 01.30.2007 no virus found
Panda 9.0.0.4 01.30.2007 no virus found
Prevx1 V2 01.30.2007 no virus found
Sophos 4.13.0 01.28.2007 no virus found
Sunbelt 2.2.907.0 01.26.2007 Backdoor.Genlot.DX
Symantec 10 01.30.2007 no virus found
TheHacker 6.0.3.159 01.28.2007 no virus found
UNA 1.83 01.30.2007 no virus found
VBA32 3.11.2 01.29.2007 Trojan.NtRootKit.138
VirusBuster 4.3.19:9 01.30.2007 no virus found


Aditional Information
File size: 31744 bytes
MD5: 03bff1de5b708e92a1926ba4a33595d0
SHA1: 8be036b88bfcdf7cf159d74d5d038bae38865758



Was bedeuten nun die 4 Meldungen der einzelnen Scanner? Ich wär ja froh, wenn's "nur" der Kopierschutz des Spiels wäre. Die sind doch nicht gefährlich für den Rechner, oder?
Immerhin kein Trojaner!

Anhand des MD5 in den Scanergebnissen habe ich weitere Fundstellen aufgetrieben, die Datei hat oft einen anderen Namen aber der Name sagt nichts darüber aus, was in der Datei ist (kann man ja beliebig benennen). Der MD5 ist ein Schlüssel, der aus dem Inhalt der Datei berechnet wird, ist er gleich, können wir uns sicher sein, daß es jeweils die gleiche Datei ist auch wenn der Name ein anderer ist. Sie tritt bei diversen Spielen auf, ich würde sagen, der Verdacht auf einen Kopierschutztreiber, der Rootkittechniken benutzt, hat sich verdichtet.

Jetzt aber mal auf Antwort von Avira warten, normalerweise kommt die spätestens am nächsten Tag. Hoffentlich entscheiden die das nicht einfach durch einen Scan bei Virustotal. Vielleicht hast Du ja auch noch ein anderes Spiel, dem Du bis dahin den Vorzug geben kannst.

Hallo KarlKarl,

hier die Antwort von Avira, die ich heute erhalten habe:

Sehr geehrte Damen und Herren,


wir bedanken uns für Ihre Email.

In der von Ihnen eingesendeten Datei haben wir einen neuen Virus
entdeckt. Dessen Erkennungsmerkmale werden nun eingebaut, sodass er
mit einem der nächsten Updates als BDS/Genlot.DX erkannt wird.

Wir bedanken uns für Ihre Mithilfe zur Verbesserung des Virenschutzes.

Überprüfte Datei(en):
- nenum13E.sys
--
Freundliche Gruesse / Best regards
Avira GmbH

Fabian Henne
First Level Support

Avira GmbH
Lindauer Str. 21, D-88069 Tettnang, Germany
Internet: Antivirus, firewall, antispam, recovery security for Linux, Windows and more - Avira AntiVir

Geschäftsführender Gesellschafter: Tjark Auerbach
Sitz der Gesellschaft: Tettnang; AG Ulm HRB 630992


Hab ich nun also doch einen Virus / Trojaner auf dem Rechner, oder nicht?
Bei einem eben gerade durchgeführten Scandurchlauf (mit Update von heute) wurde nichts gefunden! Beim Öffnen des SPiels erhalte ich nun auch keine Meldungen mehr von AntiVir...
Worauf soll ich mich nun verlassen, um rauszufinden, ob sich ein Trojaner auf meinem PC eingenistet hat, oder nicht?!?

Dieser "amtliche" Befund ist schlimm, denn BDS steht für BackDoorServer, so ziemlich das schlimmste was einem auf dem System passieren kann. Um zu einem sicheren vertrauenswürdigen System zu kommen bleibt eigentlich nur die Möglichkeit zu formatieren und neu zu installieren.

So, das ist das eine, jetzt zu dem anderen.

Ich bin da immer noch etwas mißtrauisch, diese Datei bzw. die Erkennung "BDS/Genlot.DX" taucht mir ein bischen viel im Zusammenhang mit Spielen auf, auch Spielen namhafter Hersteller, denen ich mal unterstelle, daß sie keine Malware vertreiben. Wäre nicht der erste Fall, in dem schnell geschaut wurde, was die Konkurrenz dazu sagt und dann das übernommen wurde. Ich bin sehr interessiert daran, mir das einmal selber anzusehen, bräuchte aber dafür ein paar Informationen von dir, und zwar beim Start welchen Spieles dieser Alarm kommt und wo es dieses Spiel gibt, ich denke mir, ich könnte mal wieder eine Runde spielen

Falls Du die Datei noch in der Quarantäne hast, dann hole sie doch bitte noch einmal raus, zippe sie und schicke sie mir, meine Mail lasse ich dir gleich als PN hier im Forum zukommen.

Ich möchte aber darauf aufmerksam machen, daß ich sicherlich kein schnelles Ergebnis haben werde und noch nicht einmal zusagen kann, daß es überhaupt eins geben wird, denn für Codeanalyse läßt mir das Leben leider nicht soviel Zeit wie ich gerne hätte. Außerdem hat ein Tag auch nur 24 Stunden.

Zitat:

Ich möchte aber darauf aufmerksam machen, daß ich sicherlich kein schnelles Ergebnis haben werde und noch nicht einmal zusagen kann, daß es überhaupt eins geben wird, denn für Codeanalyse läßt mir das Leben leider nicht soviel Zeit wie ich gerne hätte. Außerdem hat ein Tag auch nur 24 Stunden.

Hallo Karl83, ähhh KarlKarl...

Welche Tools nutzt du denn zur Analyse, bzw. arbeitest du mit Script-Checker?!

Ein paar Infos zu diesem Thema sind willkommen, gerne auch per PN.

Gruß
Sunny

Hallo zusammen!

Ich habe soeben Adaware scannen lassen und das hat mir folgendes logfile erbracht:

Ad-Aware SE Build 1.06r1
Logfile Created ononnerstag, 1. Februar 2007 18:39:29
Created with Ad-Aware SE Personal, free for private use.
Using definitions fileE1R148 29.01.2007
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »
References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Tracking Cookie(TAC index:3):8 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file
Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects

[url=http://img375.imageshack.us/my.php?image=adawarescancriticalobjepa6.jpg]Dies hier [/RL] sind die als kritische Obkekte angezeigten. Ist da was schlimmes dabei?

Kann man was damit anfagen und somit mir sagen, ob mein PC infiziert ist?

Gibt es Bitdefender auch als kostenlosen Download?

vielen lieben Dank schonmal für die Hilfe!

Nein, Cookies würde ich nicht kritisch nennen. Das schlimmste was von ihnen droht, ist daß die im Internet ansässige Werbeindustrie sich ein Profil basteln kann, was für Interessen Du hast, dadurch, daß sie über die vorhandenen Cookies verfolgen können, welche Seiten Du so besuchst. Jedesmal, wenn Du eine Seite besuchst, auf der ein Banner oder ähnliches von einem Anbieter ist, der ein Cookie auf deinem Computer gespeichert hat, bekommt er dies geschickt und kann dadurch eine Liste von Seiten erstellen, die Du besuchst hast.

Ist natürlich unschön. Abhilfen: Den Browser so konfigurieren, daß er keine Cookies mehr annimmt, für die wenigen Seiten, die wirklich darauf angewiesen sind, kann man Ausnahmen setzen. Noch besser: Firefox benutzen, die Erweiterung AdblockPlus installieren, die nach meiner Erfahrung sehr gut die Werbung ausfiltert. Vorteile: Ein Internet frei von Werbung, eine Menge gesparte Bandbreite und da die Banner garnicht erst abgerufen werden, kommen auch ihre Cookies nicht mehr bzw., falls doch mal eins durchgerutscht ist, wird es kaum mal zurückgesendet.

Was die Datei angeht: Ich habe den Code durchgesehen und finde ihn nicht verdächtig, räume aber ein, daß Kerneltreiber noch Neuland für mich sind. Ich werde sie noch mal an Avira schicken mit Verweis auf diesen Thread. Vielleicht hat ja jemand beim Mailversand an dich nur den falschen Knopf erwischt. Daß sie seit kurzem bei Antivir aus der Erkennung raus ist, deutet darauf hin.

Gruß, Karl

Antwort von Avira:

Zitat:

Sehr geehrte Damen und Herren,


wir bedanken uns für Ihre Email.

In der von Ihnen eingesendeten Datei konnten wir keine Viren oder
virulenten Bestandteile / Erkennungsmerkmale entdecken.

Überprüfte Datei(en):
- nenum13E.sys

-- Freundliche Gruesse / Best regards Avira GmbH Fabian Henne First Level Support

Hallo Karl,

vielen lieben dank für deine Hilfe!

Ich werd nun auch deinen Tipp mit den Cookies befolgen!
Hoffentlich war alles wirklich nur ein Fehlalarm und mein Rechner ist tatsächlich wieder bzw immer noch clean

viele Grüße

Sara