Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Programm sofort beenden (https://www.trojaner-board.de/12735-programm-sofort-beenden.html)

binsche 25.01.2005 17:08

Programm sofort beenden
 
Hallo zusammen,

würd mich sehr freuen, wenn jemand mal über mein logfile drüber schauen könnte. Ich hab seit einiger Zeit das Problem, dass Programme wie z.B. itunes nicht mehr reagieren und sofort beendet werden müssen. Warum weiß ich allerdings nicht... und die automatische Auswertung hat nichts konkretes gefunden. Tausend Dank!!



Logfile of HijackThis v1.99.0
Scan saved at 17:02:58, on 25.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SSC Service Utility\ssc_serv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about: blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [NPDTray] C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [StorageGuard] "c:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC Service Utility] C:\Programme\SSC Service Utility\ssc_serv.exe /s
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105124878940
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IBM PM Service - Unknown - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: PLSRemote Service - Unknown - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: QCONSVC - Unknown - C:\WINDOWS\System32\QCONSVC.EXE

binsche 25.01.2005 19:26

Irgend jemand eine Idee oder ist die Antwort zu banal?!? :sleepy:

cacatoa 25.01.2005 19:31

Bitte lasse folgende Dateien mal bei Jotti online scannen und berichte dann das 10-zeilige Ergebnis:
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\SYSTEM32\PLSRemote.exe

cacatoa

binsche 25.01.2005 19:55

Okay, hier die Ergebnisse:

File: QCONSVC.EXE
Status:
OK
Packers detected:
None

AntiVir
No viruses found (0.29 seconds taken)
Avast
No viruses found (3.06 seconds taken)
BitDefender
No viruses found (0.37 seconds taken)
ClamAV
No viruses found (0.43 seconds taken)
Dr.Web
No viruses found (0.55 seconds taken)
F-Prot Antivirus
No viruses found (0.12 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.68 seconds taken)
mks_vir
No viruses found (0.22 seconds taken)
NOD32
No viruses found (0.39 seconds taken)
Norman Virus Control
No viruses found (0.48 seconds taken)

File: tfswctrl.exe
Status:
OK
Packers detected:
None

AntiVir
No viruses found (0.17 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.37 seconds taken)
ClamAV
No viruses found (0.39 seconds taken)
Dr.Web
No viruses found (0.56 seconds taken)
F-Prot Antivirus
No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.69 seconds taken)
mks_vir
No viruses found (0.22 seconds taken)
NOD32
No viruses found (0.39 seconds taken)
Norman Virus Control
No viruses found (0.86 seconds taken)

File: PLSRemote.exe
Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
None

AntiVir
No viruses found (0.17 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.38 seconds taken)
ClamAV
No viruses found (0.45 seconds taken)
Dr.Web
No viruses found (0.58 seconds taken)
F-Prot Antivirus
No viruses found (0.09 seconds taken)
Kaspersky Anti-Virus
not-a-virus:RiskWare.RemoteAdmin.PLSRemot (0.67 seconds taken)
mks_vir
No viruses found (0.23 seconds taken)
NOD32
No viruses found (0.40 seconds taken)
Norman Virus Control
No viruses found (1.03 seconds taken)

Uups, bis zum dritten Ergebnis hab ich mich ja schon fast gefreut... und nun?

binsche 25.01.2005 19:56

- oder bedeutet non-destructive einfach ignorieren?

cacatoa 25.01.2005 20:00

Die dritte löschen.
und mal einen escan im abgesicherten Modus genau nach Anleitung durchführen(Dauert ca. 1 Stunde) und das Ergebnis reinposten (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen).
cacatoa

binsche 25.01.2005 22:32

Okay, vielen Dank schon mal

PLSRemote.exe hab ich gefixt

escan hat mir bei der Suche nach infected folgendes ausgespuckt:
Tue Jan 25 21:39:51 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

?!?

und noch was: beim Herunterfahren kam die Meldung, dass das Programm sgtray.exe sofort beendet werden müßte. hab gegoogelt und dann gelesen, dass dies weder spam sowie weder ein trojaner noch ein virus sei.

bin jetzt ein bißchen ratlos... und für jeden weiteren tipp dankbar :crazy:

binsche 26.01.2005 13:43

Hat noch jemand eine Idee?!? THX

Chris14 26.01.2005 13:45

sgtray.exe ist ein normales programm, sofort beenden kommt nur, wenn das programm abstürzt.
jetz zum escan log..

du sollst alle treffer ins forum kopieren. C:\Programme\AVPersonal\INFECTED\ ist der quarantäne ordner von antivir.

binsche 26.01.2005 13:55

dachte ich mir schon... :o

Sorry, wenn ich da was missverstanden habe.
escan hat folgenden treffer in der virus log information gebracht:
File C:\RECYCLER\S-1-5-21-790020188-417563470-2151281545-1004\Dc1.exe tagged as not-a-virus:RiskWare.RemoteAdmin.PLSRemot. No Action Taken.

ist es das?!?

Chris14 26.01.2005 13:57

das ist was gefährliches. zwar nicht eins der dinge die wo antivir meint das ein virus ist, aber egal.
diese riskware reicht aus, um dein windows neu zu installieren.

beachte auch diese Anleitung

binsche 26.01.2005 14:00

ich hab ihn erst vor ein paar wochen neu installiert und wirklich ALLES beachtet, was es auch nur zu empfehlen gibt :koch: ich hab mich stundenlang durch sämtliche anleitungen durchgequält...

was genau hab ich mir denn da eingefangen? und vor allem wie?!? und: was genau macht diese riskware?

Chris14 26.01.2005 14:27

riskware gelangt durch unterschiedliche wege auf den computer. zu einem ist es möglich, dass sie durch sicherheitslücken im betriebssystem ins system gelangen, zum anderen kann eine vermeintlich seriöse seite diese enthalten (beim IE reichts auf eine falsche site zu klicken um einen trojaner zu erhalten)
riskware ist von riskware zu riskware unterschiedlich. wir haben hier aber einen "RemoteAdmin"
das ist ungefähr dasselbe wie ein backdoor, da er über remote sich steuern lässt (dos-attacken, speichern von tastenfolgen wäre auch möglich, programme wie trojaner auf dem comp ausführen usw)

du hast die anleitung glaube ich nicht genau durchgegangen.
wenn du:
-nur einen anderen browser wie firefox oder opera einsetzt
-die windowsupdates regelmäßig ausführst
-du endlich firewalls wie norton abschaltest und stattdessen einstellungsprogramme wie das von dingens.org verwendet
-du einen anderen emailclienten wie mozilla thunderbird verwendest

kann dir viel weniger passieren als mit firewall und den allesblockern.

binsche 26.01.2005 14:42

das was Du aufzählst, hab ich alles gemacht bzw. mache ich! was denn noch?

Chris14 26.01.2005 14:50

wenn du das beachtet hast, ist es möglich, das du die riskware automatisch mitinstallierst mit einem programm.
es ist auch möglich, dass sie niemals ganz gelöscht wurde, und du nur windows neuinstalliert hast.
um den virus ein für alle mal los zu bekommen, wird es wohl zeit die festplatte ganz zu partitionieren, so das überhaupt keine daten mehr übrig bleiben.
dass hier is ne recht gute anleitung zum partitionieren und installieren im windows-xp setup


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131