Trojaner-Board - Programm sofort beenden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Programm sofort beenden (https://www.trojaner-board.de/12735-programm-sofort-beenden.html)

Programm sofort beenden

Hallo zusammen,

würd mich sehr freuen, wenn jemand mal über mein logfile drüber schauen könnte. Ich hab seit einiger Zeit das Problem, dass Programme wie z.B. itunes nicht mehr reagieren und sofort beendet werden müssen. Warum weiß ich allerdings nicht... und die automatische Auswertung hat nichts konkretes gefunden. Tausend Dank!!

Logfile of HijackThis v1.99.0
Scan saved at 17:02:58, on 25.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SSC Service Utility\ssc_serv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about: blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [NPDTray] C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [StorageGuard] "c:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC Service Utility] C:\Programme\SSC Service Utility\ssc_serv.exe /s
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105124878940
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IBM PM Service - Unknown - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: PLSRemote Service - Unknown - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: QCONSVC - Unknown - C:\WINDOWS\System32\QCONSVC.EXE

Irgend jemand eine Idee oder ist die Antwort zu banal?!? :sleepy:

Bitte lasse folgende Dateien mal bei Jotti online scannen und berichte dann das 10-zeilige Ergebnis:
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\SYSTEM32\PLSRemote.exe

cacatoa

Okay, hier die Ergebnisse:

File: QCONSVC.EXE
Status:
OK
Packers detected:
None

AntiVir
No viruses found (0.29 seconds taken)
Avast
No viruses found (3.06 seconds taken)
BitDefender
No viruses found (0.37 seconds taken)
ClamAV
No viruses found (0.43 seconds taken)
Dr.Web
No viruses found (0.55 seconds taken)
F-Prot Antivirus
No viruses found (0.12 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.68 seconds taken)
mks_vir
No viruses found (0.22 seconds taken)
NOD32
No viruses found (0.39 seconds taken)
Norman Virus Control
No viruses found (0.48 seconds taken)

File: tfswctrl.exe
Status:
OK
Packers detected:
None

AntiVir
No viruses found (0.17 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.37 seconds taken)
ClamAV
No viruses found (0.39 seconds taken)
Dr.Web
No viruses found (0.56 seconds taken)
F-Prot Antivirus
No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.69 seconds taken)
mks_vir
No viruses found (0.22 seconds taken)
NOD32
No viruses found (0.39 seconds taken)
Norman Virus Control
No viruses found (0.86 seconds taken)

File: PLSRemote.exe
Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
None

AntiVir
No viruses found (0.17 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.38 seconds taken)
ClamAV
No viruses found (0.45 seconds taken)
Dr.Web
No viruses found (0.58 seconds taken)
F-Prot Antivirus
No viruses found (0.09 seconds taken)
Kaspersky Anti-Virus
not-a-virus:RiskWare.RemoteAdmin.PLSRemot (0.67 seconds taken)
mks_vir
No viruses found (0.23 seconds taken)
NOD32
No viruses found (0.40 seconds taken)
Norman Virus Control
No viruses found (1.03 seconds taken)

Uups, bis zum dritten Ergebnis hab ich mich ja schon fast gefreut... und nun?

- oder bedeutet non-destructive einfach ignorieren?

Die dritte löschen.
und mal einen escan im abgesicherten Modus genau nach Anleitung durchführen(Dauert ca. 1 Stunde) und das Ergebnis reinposten (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen).
cacatoa

Okay, vielen Dank schon mal

PLSRemote.exe hab ich gefixt

escan hat mir bei der Suche nach infected folgendes ausgespuckt:
Tue Jan 25 21:39:51 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

?!?

und noch was: beim Herunterfahren kam die Meldung, dass das Programm sgtray.exe sofort beendet werden müßte. hab gegoogelt und dann gelesen, dass dies weder spam sowie weder ein trojaner noch ein virus sei.

bin jetzt ein bißchen ratlos... und für jeden weiteren tipp dankbar :crazy:

Hat noch jemand eine Idee?!? THX

sgtray.exe ist ein normales programm, sofort beenden kommt nur, wenn das programm abstürzt.
jetz zum escan log..

du sollst alle treffer ins forum kopieren. C:\Programme\AVPersonal\INFECTED\ ist der quarantäne ordner von antivir.

dachte ich mir schon... :o

Sorry, wenn ich da was missverstanden habe.
escan hat folgenden treffer in der virus log information gebracht:
File C:\RECYCLER\S-1-5-21-790020188-417563470-2151281545-1004\Dc1.exe tagged as not-a-virus:RiskWare.RemoteAdmin.PLSRemot. No Action Taken.

ist es das?!?

das ist was gefährliches. zwar nicht eins der dinge die wo antivir meint das ein virus ist, aber egal.
diese riskware reicht aus, um dein windows neu zu installieren.

beachte auch diese Anleitung

ich hab ihn erst vor ein paar wochen neu installiert und wirklich ALLES beachtet, was es auch nur zu empfehlen gibt :koch: ich hab mich stundenlang durch sämtliche anleitungen durchgequält...

was genau hab ich mir denn da eingefangen? und vor allem wie?!? und: was genau macht diese riskware?

riskware gelangt durch unterschiedliche wege auf den computer. zu einem ist es möglich, dass sie durch sicherheitslücken im betriebssystem ins system gelangen, zum anderen kann eine vermeintlich seriöse seite diese enthalten (beim IE reichts auf eine falsche site zu klicken um einen trojaner zu erhalten)
riskware ist von riskware zu riskware unterschiedlich. wir haben hier aber einen "RemoteAdmin"
das ist ungefähr dasselbe wie ein backdoor, da er über remote sich steuern lässt (dos-attacken, speichern von tastenfolgen wäre auch möglich, programme wie trojaner auf dem comp ausführen usw)

du hast die anleitung glaube ich nicht genau durchgegangen.
wenn du:
-nur einen anderen browser wie firefox oder opera einsetzt
-die windowsupdates regelmäßig ausführst
-du endlich firewalls wie norton abschaltest und stattdessen einstellungsprogramme wie das von dingens.org verwendet
-du einen anderen emailclienten wie mozilla thunderbird verwendest

kann dir viel weniger passieren als mit firewall und den allesblockern.

das was Du aufzählst, hab ich alles gemacht bzw. mache ich! was denn noch?

wenn du das beachtet hast, ist es möglich, das du die riskware automatisch mitinstallierst mit einem programm.
es ist auch möglich, dass sie niemals ganz gelöscht wurde, und du nur windows neuinstalliert hast.
um den virus ein für alle mal los zu bekommen, wird es wohl zeit die festplatte ganz zu partitionieren, so das überhaupt keine daten mehr übrig bleiben.
dass hier is ne recht gute anleitung zum partitionieren und installieren im windows-xp setup