Hallo liebes Forum,

ich habe mir vmtl. einen Trojaner eingefangen, wahrscheinlich über einen USB-stick von einem Bekannten, dessen Rechner total verseucht ist. Kann das sein?

Das Hijackthis-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:33:36, on 14.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Programme\iTunes2\iTunesHelper.exe
C:\programme\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\Programme\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [NPDTray] C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StorageGuard] "c:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=052507 serial=DR12WEX-1504397-KTY lang=DE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes2\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .csm: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .csml: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cub: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cube: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .dx: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .emb: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .embl: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .gau: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .jdx: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mol: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mop: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .pdb: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .pl: C:\Programme\Internet Explorer\PLUGINS\npchime.dll
O12 - Plugin for .rxn: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .scr: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .skc: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .spt: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .tgf: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .xyz: C:\Programme\Internet Explorer\Plugins\npchime.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Ich habe gegoogelt und gefundne, dass der O23 PLSRemote.exe ein Trojaner ist.
Wie bekomme ich ihn denn möglichst einfach los, ich habe gerade keine Zeit, das System neu aufzusetzen und brauch den Computer dirngend. Bisher läuft er auch noch ganz OK, er lüftet nur sehr oft.
Bin für jede Hilfe dankbar!

Vielen Dank und viele Grüße

Drehwurm

Hallo,

um etwas loszuwerden sollte man zuerst wissen um was es sich genau handelt.

bitte genau diese Datei (PLSRemote.exe) und die QCONSVC.EXE (O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE)

bei VIRUSTOTAL - Free Online Virus and Malware Scan

oder bei http://virusscan.jotti.org/de/

scannen lassen und das komplette ergebnis posten...

hab noch eine vergessen tfswctrl.exe

P.S. Update für java is available

Hallo,

vielen Dank schonmal für die Hilfe. Hier die Ergebnisse der Virustotal-Scans:

QCONSVC.EXE:

Antivirus Version Update Result
AhnLab-V3 2007.5.15.1 05.15.2007 no virus found
AntiVir 7.4.0.15 05.15.2007 no virus found
Authentium 4.93.8 05.14.2007 no virus found
Avast 4.7.997.0 05.15.2007 no virus found
AVG 7.5.0.467 05.15.2007 no virus found
BitDefender 7.2 05.15.2007 no virus found
CAT-QuickHeal 9.00 05.15.2007 no virus found
ClamAV devel-20070416 05.15.2007 no virus found
DrWeb 4.33 05.15.2007 no virus found
eSafe 7.0.15.0 05.15.2007 no virus found
eTrust-Vet 30.7.3634 05.15.2007 no virus found
Ewido 4.0 05.15.2007 no virus found
FileAdvisor 1 05.15.2007 no virus found
Fortinet 2.85.0.0 05.15.2007 no virus found
F-Prot 4.3.2.48 05.15.2007 no virus found
F-Secure 6.70.13030.0 05.15.2007 no virus found
Ikarus T3.1.1.7 05.15.2007 no virus found
Kaspersky 4.0.2.24 05.15.2007 no virus found
McAfee 5031 05.15.2007 no virus found
Microsoft 1.2503 05.15.2007 no virus found
NOD32v2 2268 05.15.2007 no virus found
Norman 5.80.02 05.15.2007 no virus found
Panda 9.0.0.4 05.15.2007 no virus found
Prevx1 V2 05.15.2007 no virus found
Sophos 4.17.0 05.11.2007 no virus found
Sunbelt 2.2.907.0 05.12.2007 no virus found
Symantec 10 05.15.2007 no virus found
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.15.2007 no virus found
VirusBuster 4.3.7:9 05.15.2007 no virus found
Webwasher-Gateway 6.0.1 05.15.2007 no virus found

tfswctrl.exe:

Antivirus Version Update Result
AhnLab-V3 2007.5.15.1 05.15.2007 no virus found
AntiVir 7.4.0.15 05.15.2007 no virus found
Authentium 4.93.8 05.14.2007 no virus found
Avast 4.7.997.0 05.15.2007 no virus found
AVG 7.5.0.467 05.15.2007 no virus found
BitDefender 7.2 05.15.2007 no virus found
CAT-QuickHeal 9.00 05.15.2007 no virus found
ClamAV devel-20070416 05.15.2007 no virus found
DrWeb 4.33 05.15.2007 no virus found
eSafe 7.0.15.0 05.15.2007 no virus found
eTrust-Vet 30.7.3634 05.15.2007 no virus found
Ewido 4.0 05.15.2007 no virus found
FileAdvisor 1 05.15.2007 no virus found
Fortinet 2.85.0.0 05.15.2007 no virus found
F-Prot 4.3.2.48 05.15.2007 no virus found
F-Secure 6.70.13030.0 05.15.2007 no virus found
Ikarus T3.1.1.7 05.15.2007 no virus found
Kaspersky 4.0.2.24 05.15.2007 no virus found
McAfee 5031 05.15.2007 no virus found
Microsoft 1.2503 05.15.2007 no virus found
NOD32v2 2268 05.15.2007 no virus found
Norman 5.80.02 05.15.2007 no virus found
Panda 9.0.0.4 05.15.2007 no virus found
Prevx1 V2 05.15.2007 no virus found
Sophos 4.17.0 05.11.2007 no virus found
Sunbelt 2.2.907.0 05.12.2007 no virus found
Symantec 10 05.15.2007 no virus found
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.15.2007 no virus found
VirusBuster 4.3.7:9 05.15.2007 no virus found
Webwasher-Gateway 6.0.1 05.15.2007 no virus found

Aditional Information
File size: 106551 bytes
MD5: 8ccb9559f0ec7eb59a49aba67bb9467c
SHA1: a623c3d9431aa7bd3106f375ad0fc8f94d0a61e9


PLSRemote.exe:

Antivirus Version Update Result
AhnLab-V3 2007.5.15.1 05.15.2007 no virus found
AntiVir 7.4.0.15 05.15.2007 no virus found
Authentium 4.93.8 05.14.2007 W32/Backdoor.HXQ
Avast 4.7.997.0 05.15.2007 no virus found
AVG 7.5.0.467 05.15.2007 Potentially harmful program RemoteAdmin.F
BitDefender 7.2 05.15.2007 Application.Remoteadmin.AKV
CAT-QuickHeal 9.00 05.15.2007 no virus found
ClamAV devel-20070416 05.15.2007 no virus found
DrWeb 4.33 05.15.2007 no virus found
eSafe 7.0.15.0 05.15.2007 no virus found
eTrust-Vet 30.7.3634 05.15.2007 no virus found
Ewido 4.0 05.15.2007 Not-A-Virus.RemoteAdmin.Win32.PLSRemot
FileAdvisor 1 05.15.2007 no virus found
Fortinet 2.85.0.0 05.15.2007 RAT/Plsremot
F-Prot 4.3.2.48 05.15.2007 W32/Backdoor.HXQ
F-Secure 6.70.13030.0 05.15.2007 no virus found
Ikarus T3.1.1.7 05.15.2007 not-a-virus:RemoteAdmin.Win32.PLSRemot
Kaspersky 4.0.2.24 05.15.2007 not-a-virus:RemoteAdmin.Win32.PLSRemot
McAfee 5031 05.15.2007 no virus found
Microsoft 1.2503 05.15.2007 no virus found
NOD32v2 2268 05.15.2007 no virus found
Norman 5.80.02 05.15.2007 no virus found
Panda 9.0.0.4 05.15.2007 Bck/Radmin.AK
Prevx1 V2 05.15.2007 RemoteAdmin.Win32.PLSRemot.
Sophos 4.17.0 05.11.2007 no virus found
Sunbelt 2.2.907.0 05.12.2007 no virus found
Symantec 10 05.15.2007 no virus found
TheHacker 6.1.6.115 05.15.2007 Aplicacion/Riskware.RemoteAdmin.PLSRemot
VBA32 3.12.0 05.15.2007 no virus found
VirusBuster 4.3.7:9 05.15.2007 no virus found
Webwasher-Gateway 6.0.1 05.15.2007 no virus found

Aditional Information
File size: 110642 bytes
MD5: b184f0b6be9d3cb43a866e4cb25bc528
SHA1: 7c20a04dc2393dde13179901cee515d013d82f06
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=b1ed35334


Ich habe versucht, die Formatierung anzupassen, hat nicht so ganz funktioniert. Ich hoffe, es ist trotzdem einigermaßen leserlich.
Ich hoffe auf weitere Hilfe, bin nämlich was Computersysteme angeht ziemlicher Laie.


Vielen herzlichen Dank und liebe Grüße

Simon

Ich gehe davon aus, dass Du keinen Systemadmin besitzt?! oder?
Die Datei PLSRemote.exe könnte aber auch zur Originalinstalltion von IBM gehören...

aber selbst das würde ich nicht wollen, dass IBM ein RAT (RAT – Remote Assistance Tool) auf meinem PC installiert...

wenn ich dir jetzt zum Neuaufsetzen rate und du alles feinsäuberlichst machst, kann es sein, dass das programm nachher wieder drauf ist...

hat sonst noch jemand mit vielen Sternen ein Tipp?

Hi,

nein, du hast richtig vermutet, ich habe keinen Systemadmin. Ich bin mir auch ziemlich sicher, dass dieses Programm nicht von ibm stammt. Ich hatte vor geraumer Zeit schonmal ein hijackthis-logfile erstellen lassen, da war soweit ich weiß dieser Dienst nicht drauf.
Falls es nicht von ibm ist, gibt es keine andere Möglichkeit, als neu aufzusetzen?

Viele Grüße

Drehwurm

Ich habe gerade mal geschaut, ich habe noch das hijackthis-logfile vom 21.11.05, dort habe ich auch diesen Prozess entdeckt. Falls es weiterhilft, poste ich gerne das file.

also ich vermute stark dass es von IBM ist.

das kannst ja mal über "Programme entfernen" schauen, ob Du ein zugehöriges IBM Programm findest und es deinstallieren....