[elafina]

Hallo,

ich nochmal. Nach den gutgemeinten Ratschlägen aus dem vorausgegangenen Thread von mir ( NOV 2002 kein Autostart/keine erneute Installation möglich )
hab ich wieder diesen vermeintlichen Trojaner im System.

Die Datei: Pctptt.exe
sie wird von Windows angefordert, beim Installieren der Treiber für mein Modem.

Nun hab ich ganz unterschiedliche Aussagen dazu und bin total verunsichert:
pctptt.exeCountry selection for a PCtel HSP56 based modem. Often found in OEM (Dell,Compaq, HP, etc) systems for their modems included on the motherboard or as a separate card. Once you've set the modem up to the chosen country it's not required


Quelle: http://sysinfo.org/startuplist.php?filter=&letter=P



und noch: Pctptt.ex_1105889838.85959 Infiziert: not-a-virus:Porn-Dialer.Win32.Generic
Quelle: http://www.kaspersky.com/de/scanforvirus


Wieso fragt denn Windows 98 SE bei der Installation der Treiber nach dieser Datei? Leider hab ich keine original Treiber mehr und musste sie aus dem Netz laden, sie kommen von der Site zdnet....

Kann mir jemand weiterhelfen?

Vielen Dank schon mal,
Ela

[elafina]

ups,

hab im falschen "Fred" gepostet, kann man das verschieben?


die Ela

[MountainKing]

Also spontan wäre ja zu sagen dass Pctptt.exe schlicht eine andere Datei als Pctptt.ex_1105889838.85959 ist. Wahrscheinlich hast du ein onboard-modem und win98 ist ja nun auch schon etwas älter und hat keine passenden Treiber mitgeliefert, soweit wäre das eigentlich alles noch nachvollziehbar und ungefährlich. Nun wäre es wichtig, zu wissen, in welchen Verzeichnissen genau sich diese beiden Dateien befinden bzw. ist mir nicht ganz klar, ob die Pctptt.ex_1105889838.85959 bei dir überhaupt auf dem PC gefunden wurde oder du darüber beim Recherchieren gestoßen bist? Oder hast du die pctptt.exe hochgeladen und sie wurde von Kaspersky umbenannt? Poste am besten mal ein Hijackthis-Log, damit man ein paar Informationen hat.

[elafina]

Hallo,

hier ist der Log, bin mal gespannt ob es da was interessantes gibt,
für mich sind es nur böhmische Dörfer...

Logfile of HijackThis v1.99.0
Scan saved at 14:04:53, on 18.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\EXPLORER.EXE
C:\MX\VI_GRM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\WINDOWS\ptsnoop.exe
C:\PROGRAMME\VIRENSCHUTZ\AVKWCTL9.EXE
F:\PROGRAMME\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
F:\AOL 9.0\WAOL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
F:\AOL 9.0\SHELLMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\AOLTPSPD.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
F:\PROGRAMME\AIM95\AIM.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
F:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
F1 - win.ini: load=c:\mx\vi_grm.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O4 - HKLM\..\Run: [AVKWCtl] C:\PROGRA~1\VIRENS~1\AVKWCTL9.EXE
O4 - HKLM\..\Run: [AVGCtrl] F:\PROGRAMME\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - F:\PROGRAMME\AIM95\AIM.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net



Danke schon mal,
die Ela

[MountainKing]

Was genau hast du denn nun mit der Datei gemacht? Sie bei Kaspersky scannen lassen? Und wo befindet sie sich auf deinem Rechner?

Lass nochmal E-Scan wie beschrieben durchlaufen und suche aus der Logdatei eventuelle "infected"-Einträge:

http://www.trojaner-board.de/42731-escan-anleitung.html

[elafina]

Hi,

war das Hijack Logfile OK?
Die Datei liegt auf C/Windows sie ist eine Origial Treiberdatei von
PCTel, die wird nur von Kaspersky angemeckert,
schein ein Fehlaram zu sein.....

Jemand war so nett und hat die Datei
(Check der Originaldatei bei Kasperky ergab das hier:
Zu überprüfende Datei: Pctptt.ex_
Pctptt.ex_1105907511.6490 Infiziert: not-a-virus:Porn-Dialer.Win32.Generic )

zu Kaspersky geschickt,folgende Antwort kam:

Zitat:Hello. You're right. That is false positive. It will be fixed on approximately 28 of January. Thank you for your help.


-----------------
Regards, Alexey Malanov
Virus Analyst, Kaspersky Lab.

Ph.: +7(095) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com http://www.viruslist.com



Bei der HijackThis automatischen Logfile Auswertung wird mir das hier angezeigt, betrifft auch den Modemtreiber:

O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
Böse Zum eingegebenen Programm PTSNOOP haben wir folgendes Programm gefunden: PTSNOOP. Trefferquote: 99 % (Resultate) Unbedingt fixen!

Und die gleiche Datei bei http://virusscan.jotti.org/de gescannt:
File: ptsnoop.exe Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None
AntiVir No viruses found (0.16 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.36 seconds taken)
ClamAV No viruses found (0.39 seconds taken)
Dr.Web No viruses found (0.54 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus No viruses found (0.65 seconds taken)
mks_vir No viruses found (0.21 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.12 seconds taken)


Ist sicher ne wichtige Info, wenn ich das recht ergoogelt habe dann sind schon mehrere Rechner wegen dieser Datei(en) formatiert worden, genau wie meiner auch.
Da ich definitiv ein PCTel Modem habe, scheint das so auch OK zu sein, oder
gibt es Einwände?

Grüssle,
die Ela