Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Kriege "TR/Rootkit.Gen" und "TR/PSW.PdPi.CT.1.D" nicht von Rechner runter! (https://www.trojaner-board.de/35141-kriege-tr-rootkit-gen-tr-psw-pdpi-ct-1-d-rechner-runter.html)

MightyMarc 10.01.2007 00:04
Zitat:
Zitat von Hesemann (Beitrag 247982)
C:\WINDOWS\SYSTEM32\regsd73u.dll
C:\WINDOWS\SYSTEM32\ipncst.dll
C:\WINDOWS\system32\reg0x86a.sys
Lösche die Dateien mal über die Wiederherstellungskonsole.

Hesemann 10.01.2007 00:09
Zitat:
Zitat von MightyMarc (Beitrag 248000)
Lösche die Dateien mal über die Wiederherstellungskonsole.


was ist das?

MightyMarc 10.01.2007 00:39
Zitat:
Zitat von Hesemann (Beitrag 248001)
was ist das?
Starten Sie den Computer mithilfe der Windows-Setupdisketten oder der Windows-CD. Drücken Sie im Begrüßungsbildschirm die Taste [F10] oder die Taste [R], um die Installation zu reparieren.

Nach dem Starten der Windows-Wiederherstellungskonsole wird die folgende Meldung angezeigt:
Microsoft Windows XP(TM)-Wiederherstellungskonsole

Die Wiederherstellungskonsole bietet Reparatur- und Wiederherstellungsfunktionen.
Geben Sie "exit" ein, um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten.

1: C:\WINDOWS

Bei welcher Windows-Installation möchten Sie sich anmelden?
Drücken Sie die Eingabetaste, um den Vorgang abzubrechen.
Nachdem Sie die Nummer für die entsprechende Windows-Installation eingegeben haben, werden Sie zur Eingabe des Kennworts für das Administratorkonto aufgefordert.

Dort angekommen führst Du nacheinander folgende Befehle aus:

del /F C:\WINDOWS\SYSTEM32\regsd73u.dll
del /F C:\WINDOWS\SYSTEM32\ipncst.dll
del /F C:\WINDOWS\SYSTEM32\reg0x86a.sys
exit

Hesemann 10.01.2007 00:42
Ach Du Scheisse... :eek:

Ähm... ich trau mir das nicht zu, ehrlich gesagt.

Gibt es keinen anderen Weg?

MightyMarc 10.01.2007 00:54
Versuchen wir es mit der Killbox. Der Link führt Dich zu einem Downloadlink, sowie einer bebilderten Anleitung. Lese diese erst durch bevor Du anfängst.
Wichtig ist der folgende Punkt:

"all listed Files will be deleted on Next Reboot" -- "no" klicken und dann die nächste Datei einkopieren.
Bei der letzten Datei bestätigt man "all listed Files will be deleted on Next Reboot" mit "yes" und es wird neugestartet.


Also bitte nicht "Datei markieren - neustarten, Datei markieren - neustarten, ..." sondern alle drei Dateien nacheinander markieren (auf die Liste setzen) und dann einmal neustarten.

Hesemann 10.01.2007 00:57
kann ich da irgendwas löschen, was ich eventuell bereue?

MightyMarc 10.01.2007 01:03
Zitat:
Zitat von Hesemann (Beitrag 248009)
kann ich da irgendwas löschen, was ich eventuell bereue?
Wenn Du Dich an diese Liste hälst, sollte nichts schiefgehen:
C:\WINDOWS\SYSTEM32\regsd73u.dll
C:\WINDOWS\SYSTEM32\ipncst.dll
C:\WINDOWS\system32\reg0x86a.sys

Von Experimenten mit LSD25 während der Aktion muss ich aber dringend abraten.

Hesemann 10.01.2007 21:26
muss ich diese aktion eventuell im agbesicherten modus machen?

Hesemann 10.01.2007 21:51
Zitat:
Zitat von [Gc]Sunny (Beitrag 247977)
Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)



* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Hierbei könnte es sich um neue Schädlinge handeln, lass sie also vorher überprüfen.

Gruß
Sunny
Hab es heute nochmal probiert mit dem "C:\WINDOWS\system32\reg0x86a.sys". Aber wieder das gleiche: Die "Seite kann nicht angezeigt werden." - passiert NUR bei diesem speziellen Upload. Seltsam.

MightyMarc 11.01.2007 15:51
Zitat:
Zitat von Hesemann (Beitrag 248200)
"C:\WINDOWS\system32\reg0x86a.sys". Aber wieder das gleiche: Die "Seite kann nicht angezeigt werden." - passiert NUR bei diesem speziellen Upload. Seltsam.
Kopiere die Datei mal an einen anderen Ort (kopieren, nicht verschieben) und bennene sie in "virus.exe" oder "virus.sys" um.

Hesemann 11.01.2007 20:09
ok, vielen dank.

alter, ich bewege mich auf dünnem eis, da ich von diesem ganzen kram null ahnung hab. deswegen die nachfragen und das zögern meinerseits...

ich hau rein und guck mal was geht. bis bald, hoffentlich!

Hesemann 13.01.2007 18:27
Zitat:
Zitat von MightyMarc (Beitrag 248312)
Kopiere die Datei mal an einen anderen Ort (kopieren, nicht verschieben) und bennene sie in "virus.exe" oder "virus.sys" um.
geht nicht. wenn ich sie kopieren will und in win32-ordner gehe, dann schlägt antivir alarm und quarantänisiert.

Hesemann 13.01.2007 18:29
Zitat:
Zitat von Hesemann (Beitrag 247980)
Beim Raussuchen der Datei auf meinem PC und beim Upload wurde dreimal von AnriVir Alarm geschlagen. Hab jedesmal in Quarantäne versschoben.

Hier die Auswertung:



STATUS: FINISHED
Complete scanning result of "regsd73u.dll", received in VirusTotal at 01.09.2007, 22:30:51 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.09.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.09.2007 no virus found
BitDefender 7.2 01.09.2007 no virus found
CAT-QuickHeal 9.00 01.09.2007 no virus found
ClamAV devel-20060426 01.09.2007 no virus found
DrWeb 4.33 01.09.2007 no virus found
eSafe 7.0.14.0 01.09.2007 no virus found
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 no virus found
Ewido 4.0 01.09.2007 no virus found
Fortinet 2.82.0.0 01.09.2007 no virus found
F-Prot 3.16f 01.09.2007 no virus found
F-Prot4 4.2.1.29 01.09.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.09.2007 no virus found
McAfee 4935 01.09.2007 no virus found
Microsoft 1.1904 01.09.2007 no virus found
NOD32v2 1968 01.09.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.09.2007 no virus found
Prevx1 V2 01.09.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.09.2007 no virus found
VBA32 3.11.2 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.09.2007 no virus found


Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709


warum steht da immer "no virus found" und antivir zeigt den virus: "TR/PSW.PdPi.CT.1.D" an???

Hesemann 13.01.2007 18:34
O2 - BHO: (no name) - {8deb092f-fcf8-4351-afc3-7054f769ea9e} - C:\WINDOWS\system32\ipncst.dll
>> Nicht bekanntes Programm.

Das ist doch auch irgendwas doofes, oder?


edit: Ahja, das ist ja eines der drei Objekte... sorry.

Hesemann 13.01.2007 20:12
Zitat:
Zitat von MightyMarc (Beitrag 248008)
Versuchen wir es mit der Killbox.
Geil! Danke! Hat geklappt! :huepp:


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:33 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131