Kriege "TR/Rootkit.Gen" und "TR/PSW.PdPi.CT.1.D" nicht von Rechner runter!
 

AntiVir und Spybot haben mir das folgende Ergenis gebracht:

08.01.2007,22:18:12 [WARNUNG] Ist das Trojanische Pferd TR/Rootkit.Gen!
C:\WINDOWS\system32\reg0x86a.sys

08.01.2007,22:18:15 [WARNUNG] Ist das Trojanische Pferd TR/PSW.PdPi.CT.1.D!
C:\WINDOWS\System32\regsd73u.dll

Habe beide in Quarantäne geschickt. Bei jedem neuen Start des PCs wird allerdings "TR/PSW.PdPi.CT.1.D" wieder neu von AntiVir angezeigt.

AdAware kann ich nicht mehr laufen lassen, da es nach kürzester Zeit des scannens den PC zum Neustart abstürzen lässt.

Wie krieg ich den Kram weg?

Nachtrag: Ich benutze auch ZoneAlarm.

Hallo.

Lade dir mal folgendes Tool und starte es -> F-Secure Blacklight

Poste im Anschluss den Inhalt des Reports, zusätzlich auch ein Hijacklog, Anleitung dazu in meiner Signatur verlinkt.

Gruß ;)
Sunny

Step 1 - Scan
Step 2 - Cleaning
Finish


Nach welchem Punkt soll ich was posten? Soll ich cleanen und DAS Ergebnis dann posten?

Jepp ;) genau das...

"Scan Completed - No Hidden Items Found"

hijackthis hab ich eine version: v1.99.1

ist die ok? oder brauch ich ne neue?

Das ist die aktuelle.... :o

Awrighty... das ist die Auswertung:

Logfile of HijackThis v1.99.1
Scan saved at 22:05:56, on 09.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Tbridge\Flatbed.exe
C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Programme\OpenOffice.org1.0.1\program\soffice.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elvisclubberlin.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {8deb092f-fcf8-4351-afc3-7054f769ea9e} - C:\WINDOWS\system32\ipncst.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.0.1\program\quickstart.exe
O4 - Global Startup: Detector.lnk = ?
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by1fd.bay1.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/250c74170b3bd71d5103/netzip/RdxIE601_de.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37890.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACB09FA-7C93-46B2-B581-90834D98F102}: NameServer = 194.97.173.125 194.97.173.124
O20 - Winlogon Notify: ipncst - C:\WINDOWS\SYSTEM32\ipncst.dll
O20 - Winlogon Notify: regsd73u - C:\WINDOWS\SYSTEM32\regsd73u.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



:o Bahnhof, verstehe ich nur...

hijackthis-hp sagt:

O2 - BHO: (no name) - {8deb092f-fcf8-4351-afc3-7054f769ea9e} - C:\WINDOWS\system32\ipncst.dll
>> Nicht bekanntes Programm.


O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Nicht gefährlich aber unnötig.


C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
Nicht gefährlich aber unnötig.


C:\Tbridge\Flatbed.exe
Nicht gefährlich aber unnötig.
Twain driver for the Visioneer PaperPort 3100b scanner that allows you to scan, fax, copy, print, and easily communicate by simply dragging and dropping scans on your PaperPort Desktop


O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACB09FA-7C93-46B2-B581-90834D98F102}: NameServer = 194.97.173.125 194.97.173.124
>> Kennen Sie die IP oder die Domäne '194.97.173.125 194.97.173.124' nicht, fixen.



O20 - Winlogon Notify: ipncst - C:\WINDOWS\SYSTEM32\ipncst.dll
?


O20 - Winlogon Notify: regsd73u - C:\WINDOWS\SYSTEM32\regsd73u.dll
?

(Also das ist mein TR/PSW.PdPi.CT.1.D-Dingens, soviel ist klar...)

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Hierbei könnte es sich um neue Schädlinge handeln, lass sie also vorher überprüfen.

Gruß
Sunny

Beim Raussuchen der Datei auf meinem PC und beim Upload wurde dreimal von AnriVir Alarm geschlagen. Hab jedesmal in Quarantäne versschoben.

Hier die Auswertung:



STATUS: FINISHED
Complete scanning result of "regsd73u.dll", received in VirusTotal at 01.09.2007, 22:30:51 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.09.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.09.2007 no virus found
BitDefender 7.2 01.09.2007 no virus found
CAT-QuickHeal 9.00 01.09.2007 no virus found
ClamAV devel-20060426 01.09.2007 no virus found
DrWeb 4.33 01.09.2007 no virus found
eSafe 7.0.14.0 01.09.2007 no virus found
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 no virus found
Ewido 4.0 01.09.2007 no virus found
Fortinet 2.82.0.0 01.09.2007 no virus found
F-Prot 3.16f 01.09.2007 no virus found
F-Prot4 4.2.1.29 01.09.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.09.2007 no virus found
McAfee 4935 01.09.2007 no virus found
Microsoft 1.1904 01.09.2007 no virus found
NOD32v2 1968 01.09.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.09.2007 no virus found
Prevx1 V2 01.09.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.09.2007 no virus found
VBA32 3.11.2 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.09.2007 no virus found


Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

STATUS: FINISHED
Complete scanning result of "ipncst.dll", received in VirusTotal at 01.09.2007, 22:37:48 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 ADSPY/Effective.A.2
Authentium 4.93.8 01.09.2007 W32/Downloader.ADQZ
Avast 4.7.892.0 12.30.2006 Win32:Conhook-L
AVG 386 01.09.2007 Downloader.Generic2.DNI
BitDefender 7.2 01.09.2007 Trojan.Downloader.ConHook.AA
CAT-QuickHeal 9.00 01.09.2007 TrojanDownloader.ConHook.aa
ClamAV devel-20060426 01.09.2007 Trojan.Downloader.ConHook-3
DrWeb 4.33 01.09.2007 Trojan.DownLoader.10624
eSafe 7.0.14.0 01.09.2007 Win32.ConHook.aa
eTrust-InoculateIT 23.73.109 01.09.2007 Win32/Darksma.0fb!DLL!Trojan
eTrust-Vet 30.3.3313 01.09.2007 Win32/Darksma!generic
Ewido 4.0 01.09.2007 Downloader.ConHook.aa
Fortinet 2.82.0.0 01.09.2007 no virus found
F-Prot 3.16f 01.09.2007 security risk named W32/Downloader.ADQZ
F-Prot4 4.2.1.29 01.09.2007 W32/Downloader.ADQZ
Ikarus T3.1.0.27 01.09.2007 Trojan-Downloader.Win32.ConHook.aa
Kaspersky 4.0.2.24 01.09.2007 Trojan-Downloader.Win32.ConHook.aa
McAfee 4935 01.09.2007 Downloader-AWX
Microsoft 1.1904 01.09.2007 no virus found
NOD32v2 1968 01.09.2007 Win32/TrojanDownloader.ConHook.AA
Norman 5.80.02 12.31.2007 W32/ConHook.AU
Panda 9.0.0.4 01.09.2007 Trj/Conhook.N
Prevx1 V2 01.09.2007 no virus found
Sophos 4.13.0 01.05.2007 Troj/Candun-Gen
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.09.2007 no virus found
VBA32 3.11.2 01.09.2007 Trojan.DownLoader.10624
VirusBuster 4.3.19:9 01.09.2007 Trojan.DL.ConHook.V


Aditional Information
File size: 29184 bytes
MD5: 98f6068371ac7de82a4709b032cdeb33
SHA1: f0e1908b0c063b881e0d3dbbf4f5d919dfeabef0




:( :( :( :( :(

Wenn ich den hier senden will...:

C:\WINDOWS\system32\reg0x86a.sys


...kommt das...:

http://w_w.virustotal.com/vt/en/recepcionf

Die Seite kann nicht angezeigt werden.
Die gewünschte Seite ist zurzeit nicht verfügbar. Möglicherweise sind technische Schwierigkeiten aufgetreten oder Sie sollten die Browsereinstellungen überprüfen.



"Uploading File" erscheint noch, dann kommt "Die Seite kann nicht...."

Das ist dann wieder der "TR/Rootkit.Gen"


Name: TR/Rootkit.Gen
Art: Trojan
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein
Engine Version: 7.01.01.02

Spezialerkennung TR/Rootkit.Gen

Beschreibung:
Eine generische Erkennungsroutine um gemeinsame Familienmerkmale der verschiedenen Varianten zu erkennen.

Diese generische Erkennungsroutine wurde entwickelt um unbekannte Varianten zu erkennen. Sie wird kontinuierlich weiterentwickelt.


Versionsliste:
Um die Erkennung zu verbessern wurde die Engine mit folgenden Versionen aktualisiert:

• 7.01.01.02 ( 02/08/2006 )
• 7.01.01.05 ( 22/08/2006 )
• 7.02.00.34 ( 26/10/2006 )
• 7.02.00.39 ( 07/11/2006 )
• 7.02.00.49 ( 05/12/2006 )


Was heisst das denn?

Lösche die Dateien mal über die Wiederherstellungskonsole.

was ist das?

Starten Sie den Computer mithilfe der Windows-Setupdisketten oder der Windows-CD. Drücken Sie im Begrüßungsbildschirm die Taste [F10] oder die Taste [R], um die Installation zu reparieren.

Nach dem Starten der Windows-Wiederherstellungskonsole wird die folgende Meldung angezeigt:
Microsoft Windows XP(TM)-Wiederherstellungskonsole

Die Wiederherstellungskonsole bietet Reparatur- und Wiederherstellungsfunktionen.
Geben Sie "exit" ein, um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten.

1: C:\WINDOWS

Bei welcher Windows-Installation möchten Sie sich anmelden?
Drücken Sie die Eingabetaste, um den Vorgang abzubrechen.
Nachdem Sie die Nummer für die entsprechende Windows-Installation eingegeben haben, werden Sie zur Eingabe des Kennworts für das Administratorkonto aufgefordert.

Dort angekommen führst Du nacheinander folgende Befehle aus:

del /F C:\WINDOWS\SYSTEM32\regsd73u.dll
del /F C:\WINDOWS\SYSTEM32\ipncst.dll
del /F C:\WINDOWS\SYSTEM32\reg0x86a.sys
exit

Ach Du Scheisse... :eek:

Ähm... ich trau mir das nicht zu, ehrlich gesagt.

Gibt es keinen anderen Weg?

Versuchen wir es mit der Killbox. Der Link führt Dich zu einem Downloadlink, sowie einer bebilderten Anleitung. Lese diese erst durch bevor Du anfängst.
Wichtig ist der folgende Punkt:

"all listed Files will be deleted on Next Reboot" -- "no" klicken und dann die nächste Datei einkopieren.
Bei der letzten Datei bestätigt man "all listed Files will be deleted on Next Reboot" mit "yes" und es wird neugestartet.


Also bitte nicht "Datei markieren - neustarten, Datei markieren - neustarten, ..." sondern alle drei Dateien nacheinander markieren (auf die Liste setzen) und dann einmal neustarten.

kann ich da irgendwas löschen, was ich eventuell bereue?

Wenn Du Dich an diese Liste hälst, sollte nichts schiefgehen:
C:\WINDOWS\SYSTEM32\regsd73u.dll
C:\WINDOWS\SYSTEM32\ipncst.dll
C:\WINDOWS\system32\reg0x86a.sys

Von Experimenten mit LSD25 während der Aktion muss ich aber dringend abraten.

muss ich diese aktion eventuell im agbesicherten modus machen?

Hab es heute nochmal probiert mit dem "C:\WINDOWS\system32\reg0x86a.sys". Aber wieder das gleiche: Die "Seite kann nicht angezeigt werden." - passiert NUR bei diesem speziellen Upload. Seltsam.

Kopiere die Datei mal an einen anderen Ort (kopieren, nicht verschieben) und bennene sie in "virus.exe" oder "virus.sys" um.

ok, vielen dank.

alter, ich bewege mich auf dünnem eis, da ich von diesem ganzen kram null ahnung hab. deswegen die nachfragen und das zögern meinerseits...

ich hau rein und guck mal was geht. bis bald, hoffentlich!

geht nicht. wenn ich sie kopieren will und in win32-ordner gehe, dann schlägt antivir alarm und quarantänisiert.

warum steht da immer "no virus found" und antivir zeigt den virus: "TR/PSW.PdPi.CT.1.D" an???

O2 - BHO: (no name) - {8deb092f-fcf8-4351-afc3-7054f769ea9e} - C:\WINDOWS\system32\ipncst.dll
>> Nicht bekanntes Programm.

Das ist doch auch irgendwas doofes, oder?


edit: Ahja, das ist ja eines der drei Objekte... sorry.

Geil! Danke! Hat geklappt! :huepp:

Hallo,

Uch würde mich hier gerne dran hängen.

TR/Rootkit.Gen

in

C:\windows\new_drv.sys

--------------------------------------------------------------------
Habe Killbox benutzt. LogFile:

Pocket Killbox version 2.0.0.881
Running on Windows XP as Snow(Administrator)
was started @ Donnerstag, Februar 05, 2009, 11:21 AM

# 1 [Delete on Reboot]
Path = C:\Windows\new_drv.sys


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:23:36 AM
Killbox Closed(Exit) @ 11:24:23 AM
-------------------------------------------------------------

Leider keine Wirkung. Beim Systemstart kommt nach wie vor Antivir und medldet mir den Fund des oben erwähnten Trojaners. :(

Hat jemand eine Idee.

Danke im voraus
Snow