3WPlayer-Dateien = Trojaner?

hallo,


nach dem öffnen einer datei bekam ich die meldung angezeigt, ich könnte diese nur mit dem 3WPlayer abspielen ..
bei eingabe von 3WPlayer im google wurden verschiedene seiten ausgegeben, auf denen 3WPlayer als Trojaner/Spyware bezeichnet wurde.

wer hat nähere infos dazu, ist mein pc nun mit einem trojaner infiziert? nehme an, in der datei (eine avi-datei) war ein trojaner eingebunden..


mfg
vrirene

 

http://www.pcwelt.de/forum/1494638-post2.html

 

http://www.entfernen-spyware.de/3wplayer-entfernen.html

 

hallo,


auf meinem rechner geht fast nix mehr, was auch immer ich an anwendungen ausführe, doer auch nur öffnen von ordnern, sowie browser, etc., passiert im zeitlupentempo. hier das hijackthis-log, welche schädlinge befinden sich auf dem pc? schnelle hilfe wäre gut, mache den pc morgen platt.

----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich als Text-Datei an den Beitrag anhängen, wie auf folgender Seite (bebildert) beschrieben: http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

Es kann auch weiterhin der Link zum ausgewerteten Log gepostet werden.

Gruß
Nevok
----------------------------------------------------------------


mfg
vrirene

 

Erst im Taskmanager beenden:

HTML:

C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Prevx2\PXAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\j2re1.4.2_14\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe

Dann mit HJT fixen:

HTML:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://client.cyberoro.com/help
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Application Data\Prevx\pxbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_14\bin\npjpi142_14.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_14\bin\npjpi142_14.dll
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx2\PXAgent.exe" -f (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Dazu kommt vieleicht noch ein RAM-, oder Festplattenproblem?

Das nächste Mal bitte den Inhalt des Log-Files als .txt anhängen.

 

kann PXAgent.exe nicht beenden, es erscheint folgende fehlermeldung:
The operation could not be completed. Access is denied.

 

Hallo,

Zeitlupentempo liegt an deinem Spyware-Scanner oder was das Ding auch immer machen soll, es taugt nichts.. (PXAgent.exe).

O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx2\PXAgent.exe" -f (file missing)

C:\Program Files\Prevx2\PXAgent.exe

Hinweise:
- Bitte immer vollständige Log's posten, der Header fehlt und somit die Infos zu deinem Betriebssystem.

- Deine Sun Java-Runtime ist völlig veraltet, Sicherheitslücke

 

Das Ding wird als Dienst gestartet, versuche einmal den Dienst zu beenden.
In der Dienstverwaltung schauen..

[Windowstaste] + [R]
services.msc
ausführen

 

http://www.file.net/prozess/pxagent.exe.html

Vieleicht läuft da noch ein dazugehörender Dienst?
Scheint aber "harmlos zu sein. Hast Du wohl mit Absicht installiert.
http://www.netzwelt.de/news/76223-freeware-der-woche-prevx-csi.html

Hat sich ansonsten was geändert? Nach dem Fixen?

 

ja, Prevx Agent steht bei den Diensten, wenn ich versuche, es zu beenden, erscheint: "Access is denied."

 

Na super.. aber als Administrator bist du auf der Maschine angemeldet ?.
Lässt sich diese Software über "Systemsteuerung Software" deinstallieren ?

 

ich bin als Admin angemeldet.
wenn ich versuche die software über syssteuerung zu deinstallieren, bleibt es bei uninstall 16% stehen, und es erscheint folgende Meldung:
"At least one component of the product is still running. Please shutdown all Prevx processes under all user accounts before you continue."
Bin nur als Admin angemeldet, und beenden kann ich ja die Prevx-Prozesse nicht.

 

Sowas habe ich mir fast gedacht, wo bekommt ihr nur diese merkwürdigen Programme immer her. Gibt es die kostenlos auf irgendwelchen Heft-CD's ?.

Bevor ich die Software jetzt mit Gewalt platt mache schaue einmal im Taskmanager ob dieser Prozess eine hohe CPU-Last (Auslastung) erzeugt. Ich glaube das war das ursprüngliche Problem. Rechner langsam.

 

pxagent scheint keine cpu-kapazität zu fressen ..
das tun ein wenig firefox und hauptsächlich "system idle process"
beim herunterfahren/neustarten (nachdem der rechner lahm geworden ist) erscheint folgende fehlermeldung:

--

Runtime Error !
Program: C:\Windows\System32\svchost.exe

R6025
pure virtual function call

--

 

Es könnte einen Zusammenhang zwischen der Sicherheitssoftware und der Fehlermeldung geben. Die Fehlermeldung "pure virtual function call" kenne ich nur im Zusammenhang mit VB (Runtime Error ! .. sowas in der Art).

Also die Systemwiederherstellung deaktivieren und die Maschine im "Abgesicherten Modus" booten..

Anleitung hier:
Bundesamt für Sicherheit in der Informationstechnologie (BSI)

Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

http://www.bsi.de/av/texte/wiederher_xp.htm

Dann im HiJackThis den eintrag fixen:
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx2\PXAgent.exe" -f (file missing)

Mit den MISC-Tools von HiJackThis oder der KillBox die Datei löschen..
C:\Program Files\Prevx2\PXAgent.exe

.. oder auch das ganze UnterVerzeichnis "\Prevx2\" wenn das mit der KillBox möglich ist.

Info:
Killbox:
löschen von Dateien zur Bootzeit
http://www.bleepingcomputer.com/files/killbox.php

http://virus-protect.org/killbox.html

 

Ich habe gerade einmal per Google nach dir gesucht, habe das hier gefunden vom 25.10.2007:

http://forum.chip.de/windows-xp/pure-virtual-function-call-966920.html

da hast du keine Antwort mehr gegeben, der "octo124" ist recht fit, falls das hier nicht zum Erfolg führt kannst du dich mit ihm nochmal unterhalten.

 

hab versucht mit der killbox den prevx-ordner zu löschen, kam die fehlermeldung
"this file could not be deleted."
werd die anderen sachen auch mal ausprobieren

 

hallo,


angenommen, es befinden sich auf einem rechner trojaner, viren, rootkits und was weiss ich sonst für dreck - und es erfolgt eine sicherung von daten (vom infiziertem pc) auf CD oder DVD .. die werden dann ja wahrscheinlich mitgebrannt.

wenn man auf einem frisch installierten pc jene gesicherten daten von CD/DVD wieder aufspielt - gelangen dann die schädlinge automatisch nach einlage der CD/DVD auf das laufwerk?

oder kommt es auf den gesicherten datentyp auf CD/DVD an? sprich, unterschied zwischen textdateien und z.b. javaprogramme ..

reicht das einlegen einer cd oder müsste man ein infiziertes programm starten, damit der pc wieder mit dem dreck verseucht wird?


mfg
vrirene

 

im Grunde müsstest du was starten, aber da du nie weisst, was der Schädling auf dem infiziertem Sys angestellt hat, ist es möglich dass jede Datei geändert wurde und sich hinter einer Datei eine Ausführung befinden kann usw...

ergo lass es lieber...

 

d.h. man könnte die gesicherten daten nur an einem pc betrachten/bearbeiten, der keinen zugang zum inet hat ..

wie ist es mit textdateien, kann man an/in diese schädlinge (relevante, also systemändernde) anhängen/einschleusen, so dass bei öffnen einer textdatei (*.txt) auf einem frisch installierten pc dieser verseucht wird?