biotentakel
Goto Top

Trojaner, Systemdatei, rpcnetp.exe

Guten Morgen,

ich habe folgendes Problem. Das Programm TrojanHunter meldete vor einer Woche das mein Notebook mit einem Trojaner infiziert ist.
Er zeigte mir daraufhin die Systemdateien rpcnetp.exe sowie die rpcnetp.dll an. Zudem wurden Einträge im Autostart eingetragen welche ich nicht löschen konnte. So wurde bei jedem Neustart zwei Dos-Fenster geöffnet und mein Rechner wurde sehr langsam. Ich entschied mich daraufhin das System zu bereinigen. Jedoch schlugen die versuche mit AVG und F-Secure fehl. Auch konnte die F-Secure Emergency CD diesen Trojaner nicht finden.
Ich entschied mich daraufhin auf ein neuaufsetzen des Systems. Jedoch meldete Trojanhunter nach der Installation erneut das die beiden dateien infiziert sind. Ein löschen bringt nichts da diese nach einem Neustart wieder da sind. Lediglich die Autostarteinträge sind nicht mehr da.

Ich installierte darauf hin das System erneut und löschte meine zwei Partitionen und erstellte zwei neue mit geänderten Größen.
Jedoch auch danach meldete das Program erneut das die Dateien infiziert sind.
Ich habe daraufhin die beiden Dateien zu Avira geschickt, ein Hijack logfile erstellt und dieses unter haijackthis.de analysieren lassen. Dort steht jedoch nur das dieses Programm unbekannt ist und der Hersteller nicht angegeben wurde.
Ich entschied mich daraufhin gestern einfach Vista zu installieren um das Notebook erstmals weiter zu benutzen. Jedoch auch hier direkt nach der Installation meldet das Programm das die Dateien infiziert sind. Nun jedoch nur noch die rpcnetp.exe.
Avira hat mir nun mitgeteilt das die Datei beschädigt ist und sie daher nicht analysiert werden konnte.

Daher nun zu meiner Frage. Handelt es sich hier evtl um einen Fehlalarm? Meldet Trojanhunter fälschlicherweise hier einen Trojaner.
Es existiert auf meinem Notebook noch eine versteckte Partition. Darin ist das Vista enthalten für mein Notebook. Kann es sein das sich dort auch der Trojaner eingenistet hat und daher immer nach einer neuinstallation die Systemdateien infiziert sind?
Ich bin mit meinem Latein am ende. Ich hoffe ihr könnt mir helfen.

Lg
Biotentakel

Content-ID: 100580

Url: https://administrator.de/forum/trojaner-systemdatei-rpcnetp-exe-100580.html

Ausgedruckt am: 23.12.2024 um 16:12 Uhr

Driver401
Driver401 30.10.2008 um 11:09:17 Uhr
Goto Top
Es wäre hilfreich, wenn Du den Trojaner namentlich nennen würdest. Dann könnte man recherchieren, was das Teil genau macht und wie die Erkennung bei anderen Programmen aussieht. Ebenso wie die korrekte Entfernung funktioniert.

Eine eigene Definition zur Erkennung haste aber beim Trojanhunter nicht irgendwie angegeben?

Gruß
Jürgen
biotentakel
biotentakel 30.10.2008 um 12:27:03 Uhr
Goto Top
Hallo Jürgen,

danke für die schnelle Antwort. Der Name des Trojaners ist mir nciht bekannt. nur die Bezeichnungen der einzelnen Programme. So bezeichnet TrojanHunter diesen als Agent.2177.
die namen die virustotal genannt hat habe ich leider nicht mehr. ich werde heute das system erneut aufsetzen. dann müsten die dateien wieder infiziert sein. dann werde ich die erneut prüfen lassen und hier eintragen.

Ich habe diese Dateien immer von TrojanHunter entfernen lassen. ( war dies evtl ein fehler?).dieseverschiebt diese in einen Quarantäne ordner. dort habe ich sie dann gelöscht
Meist habe ich mit Hilfe von clearprog und Easycleaner nach dem entfernen der autostarteinträge die Reg gesäubert und den Tempordner gelöscht. danach verlangte trojanhunter ein neustart.
nun waren jedoch die Dateien wieder da sowie auch die Einträge in der reg.

eine eigene Definition habe ich nciht benutzt. ich lasse ihn immer so drüberlaufen.( komplett scan).

lg
Biotentakel
biotentakel
biotentakel 30.10.2008 um 12:39:08 Uhr
Goto Top
ich vergaß.
Ein neustart reicht ja aus face-big-smile
hier nun die analysierten Dateien:

"rpcnetp.exe" wird erkannt als :

Win-AppCare/Malware.17408
W32/Agent.SW!tr
Win32.SuspectCrc

"rpcnetp.dll" wird erkannt als :

Trojan-downloader.17876
W32/agent.SW!tr
Win-AppCare/Malware.17408

interessant ist auch, das anfangs nur die exe als schädlich erkannt wird. nach einigen rauf und runterfahren wird dann auch die dll datei als schädlich erkannt. nach erneuten mehrmaligem rauf und runterfahren sind diese dateien auch in unterschiedlichen ordnern wiederzufinden und ebenfalls infiziert. Laut TrojanHunter.

hoffe das diese Informationen weiterhelfen. sollte noch was benötigt werden einfach bescheidsagen.

lg
Biotentakel
Driver401
Driver401 30.10.2008 um 12:47:13 Uhr
Goto Top
Google mal nach rpcnetp.exe....

Soweit ich jetzt herausgefunden habe, gibt es die rpcnet.exe (nebst dll), die von http://www.absolute.com/ als Diebstahlsicherung auf Laptops vorhanden ist. Angeblich im BIOS oder sogar als Chip am Board verankert. Daher kommt die wohl immer wieder nach dem Löschen.
Entfernung nur durch Herstellerfirma oder als workaround die Dateien löschen und leer neu anlegen und mit Schreibschutz versehen.

Über die rpcnetp.exe scheiden sich die Geister. Die einen sagen, es wären Abarten von o.g. Datei, andere meinen, das wäre ein echter Trojaner der sich nur als diese Datei tarnt. Wenns so ist, fragt sichs nur, warum das Ding immer wiederkommt.

Hier ein paar Links, Du kannst ja selbst noch weiter recherchieren, das könnte komplex werden...
http://www.hijackfree.com/en/processdetails/?id=348
http://www.file.net/prozess/rpcnetp.exe.html
http://www.techspot.com/vb/topic68882.html
http://my.opera.com/lounge/forums/topic.dml?id=233007


Ich würde die Dinger löschen und leer neu erstellen - mit Schreibschutz versehen. Dann müsste Ruhe sein.

HTH
Jürgen
biotentakel
biotentakel 30.10.2008 um 14:44:48 Uhr
Goto Top
hallo Jürgen,

danke für die Tips und Links. Werde mich weiter reinarbeiten. sobald ich neues habe werde ich dies hier schreiben.

lg
Biotentakel
biotentakel
biotentakel 30.10.2008 um 18:55:13 Uhr
Goto Top
Guten Abend,

ich bin dem Problem weiter nachgegangen.
Ich habe die beiden Dateien erneut an Avira gesendet. diesmal konnten diese analysiert werden. Anbei die Berichte. zudem habe ich erneut die Dateien von virustotal checken lassen. Diese Berichte sind nun auch hier zu finden.
Zudem hat mir Avira mitgeteilt das die Dateien ein bestandteil von "Computrace" sind. Laut meinen Recherchen ist das ein Programm um ein Notebook bei diebstahl zu lokalisieren. weiss da einer mehr drüber?

Virustotal Bericht rpcnetp.dll
AhnLab-V3 2008.10.30.1 2008.10.30 Win-AppCare/Malware.17408
Fortinet 3.117.0.0 2008.10.28 W32/Agent.SW!tr

weitere Informationen
File size: 17408 bytes
MD5...: 37cf46dd1d215ab1add3a342a6144bc3
SHA1..: e410481dc49700d6f342b487894111d6e09edffc
SHA256: 3ac70a5d20b81a5cc9b271ddefae356ad6b398c45ae74742c5d25d0050d3c68a
SHA512: 34931adac5b8b93881fccf5718ec45751c172b77ce81ac61eb5cacaeb29fcbd3
661cda56ed3894b5e569cb6a9cb2919b0b1e7f353070cdd3e79170470a97b7e4
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4034a1
timedatestamp.....: 0x46130dc7 (Wed Apr 04 02:30:31 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x35e6 0x3600 6.40 42b93c06fc17a25bb197ac2e049b7652
.data 0x5000 0x168 0x200 1.00 7d14c621e4b3de1393559eafbced3ee5
.cdata 0x6000 0x23c 0x400 1.32 ff994e0d4f0483bd56e9997336b7b25f
.reloc 0x7000 0x338 0x400 5.81 68487b3d7b3b6e699e7b50df1f7f5126

( 4 imports )
WSOCK32.dll: -, -
USER32.dll: DefWindowProcA, wsprintfA, PostQuitMessage, RegisterClassA, TranslateMessage, GetMessageA, PeekMessageA, PostMessageA, DispatchMessageA, CreateWindowExA, SetTimer, PostThreadMessageA, KillTimer
KERNEL32.dll: SetFilePointer, RtlUnwind, LocalAlloc, CreateProcessA, GetModuleHandleA, GetStdHandle, SetEvent, LocalFree, ReadFile, TerminateProcess, WriteProcessMemory, ReadProcessMemory, ResetEvent, LeaveCriticalSection, lstrcmpiA, ExitProcess, InitializeCriticalSection, CreateEventA, GetModuleFileNameA, GetProcAddress, WaitForSingleObject, WaitForMultipleObjects, ExitThread, TerminateThread, CreateRemoteThread, GetVersion, OpenProcess, EnterCriticalSection, lstrlenA, GetExitCodeThread, CreateThread, GetCurrentProcessId, CloseHandle, SetThreadPriority, ResumeThread, GetLastError, CreateFileA, FreeLibrary, RaiseException, lstrcpyA, GetOverlappedResult, WriteFile, CopyFileA, SetStdHandle, GetCurrentThreadId, lstrcatA, DeleteCriticalSection, VirtualAllocEx, VirtualFreeEx, Sleep, LoadLibraryA, GetEnvironmentVariableA
ADVAPI32.dll: RegCloseKey, RegDeleteValueA, RegQueryValueExA, DuplicateTokenEx, RegOpenKeyExA, RegOpenKeyA, RegEnumValueA, SetServiceStatus, RegisterServiceCtrlHandlerA, OpenProcessToken, StartServiceCtrlDispatcherA, SetTokenInformation, CreateProcessAsUserA

( 1 exports )
rpcnetp

virustotal Bericht rpcnetp.exe

AhnLab-V3 2008.10.30.1 2008.10.30 Win-AppCare/Malware.17408
Fortinet 3.117.0.0 2008.10.28 W32/Agent.SW!tr
Ikarus T3.1.1.44.0 2008.10.30 Win32.SuspectCrc

weitere Informationen
File size: 17408 bytes
MD5...: 69746fe74257d029d538c3b8429ea0f4
SHA1..: 90814a9882924695100f91e4913d4755ac77c062
SHA256: 2dbe416ee433476ed88f459b385e29088b90bfded860d8d94a6ab2d277b570a5
SHA512: 4eb55077f04f835afc12ee7d1d7cbe5b0c950638a4ec56660d7013158b7415db
1feb6dbc1321eab61c6c855db6eb8db5cd5f3a829c2a9b2c77d1055b1e36271a
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (50.0%)
DOS Executable Generic (49.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4034a1
timedatestamp.....: 0x46130dc7 (Wed Apr 04 02:30:31 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x35e6 0x3600 6.40 42b93c06fc17a25bb197ac2e049b7652
.data 0x5000 0x168 0x200 1.00 7d14c621e4b3de1393559eafbced3ee5
.cdata 0x6000 0x23c 0x400 1.32 ff994e0d4f0483bd56e9997336b7b25f
.reloc 0x7000 0x338 0x400 5.81 68487b3d7b3b6e699e7b50df1f7f5126

( 4 imports )
WSOCK32.dll: -, -
USER32.dll: DefWindowProcA, wsprintfA, PostQuitMessage, RegisterClassA, TranslateMessage, GetMessageA, PeekMessageA, PostMessageA, DispatchMessageA, CreateWindowExA, SetTimer, PostThreadMessageA, KillTimer
KERNEL32.dll: SetFilePointer, RtlUnwind, LocalAlloc, CreateProcessA, GetModuleHandleA, GetStdHandle, SetEvent, LocalFree, ReadFile, TerminateProcess, WriteProcessMemory, ReadProcessMemory, ResetEvent, LeaveCriticalSection, lstrcmpiA, ExitProcess, InitializeCriticalSection, CreateEventA, GetModuleFileNameA, GetProcAddress, WaitForSingleObject, WaitForMultipleObjects, ExitThread, TerminateThread, CreateRemoteThread, GetVersion, OpenProcess, EnterCriticalSection, lstrlenA, GetExitCodeThread, CreateThread, GetCurrentProcessId, CloseHandle, SetThreadPriority, ResumeThread, GetLastError, CreateFileA, FreeLibrary, RaiseException, lstrcpyA, GetOverlappedResult, WriteFile, CopyFileA, SetStdHandle, GetCurrentThreadId, lstrcatA, DeleteCriticalSection, VirtualAllocEx, VirtualFreeEx, Sleep, LoadLibraryA, GetEnvironmentVariableA
ADVAPI32.dll: RegCloseKey, RegDeleteValueA, RegQueryValueExA, DuplicateTokenEx, RegOpenKeyExA, RegOpenKeyA, RegEnumValueA, SetServiceStatus, RegisterServiceCtrlHandlerA, OpenProcessToken, StartServiceCtrlDispatcherA, SetTokenInformation, CreateProcessAsUserA

( 1 exports )
rpcnetp


Avira Bericht rpcnetp.exe

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
2217532 rpcnetp.exe 17 KB KNOWN CLEAN


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
rpcnetp.exe KNOWN CLEAN

Die Datei 'rpcnetp.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Computrace' ist.


Avira Bericht rpcnetp.dll

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25176397 rpcnetp.dll 17 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
rpcnetp.dll MALWARE

Die Datei 'rpcnetp.dll' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben in dieser Datei einen Trojaner gefunden. Diese Art von Programmen verfügt generell über schädliche Funktion, die so genannte Schadensroutine. Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden.

D.h. das mein verdacht bestätigt wurde. Jedoch verstehe ich nciht wie ich diesen los werde. Löschen bringt ncihts und die dateien sind nach jeder Neuinstallation wieder da. Sind diese Dateien auf der XP und Vista CD drauf? kannn das einer für mich überprüfen?
für weitere Tips wäre ich sehr dankbar.

lg
Biotentakel
Driver401
Driver401 31.10.2008 um 09:11:42 Uhr
Goto Top
Zitat von @biotentakel:
Zudem hat mir Avira mitgeteilt das die Dateien ein bestandteil von
"Computrace" sind. Laut meinen Recherchen ist das ein
Programm um ein Notebook bei diebstahl zu lokalisieren. weiss da einer
mehr drüber?

Also doch. Wie ich oben schon schrieb: http://www.absolute.com/

Nein, auf den XP oder Vista-CD's ist das nicht drauf, das ist im BIOS verankert - und eben nur bei (manchen) Laptops. Was hast Du denn für eins?
Hier gibts eine Beschreibung von Dell:
http://www1.euro.dell.com/content/learnmore/learnmore.aspx/computracepl ...


Wie gesagt.... Löschen, Neu und leer anlegen und schreibschützen.
Ansonsten vom Hersteller löschen lassen. Die machen das per Remotecommand, wenn sich das Tool das nächstemal bei denen meldet....

Gruß
Jürgen
biotentakel
biotentakel 01.11.2008 um 23:00:27 Uhr
Goto Top
Guten abend,

Also der Tip mit dem neu erstellen und mit schreibschutz versehen hat geholfen.
seit dem sind die Alarm-Meldungen nicht mehr aufgetretten.
Ich besitze ein Notebook von Lenovo.
Genau gesagt ein 3000N200 der Reihe 0769 B7G.
Ich habe dem Support von Lenovo eine Email geschrieben und dieses Problem geschildert. Leider habe ich bis jetzt keine Rückantwort erhalten.
Sobal ich eine Antwort erhalte werde ich sie hier veröffentlichen.

lg
Biotentakel