Hallo,

habe hier ein Problem. Das AVG meldet immer wieder einen Trojaner namens
rpcc.exe.

Konnte diesen weder mit Spyboot noch sonstwie löschen oder finden.

Im Logfile steht er drin. Aber mehr weiss ich auch nicht weiter.

Wäre jemand so nett, sich dem Problem mal anzunehmen. Vielen Dank!!!!!

Logfile of HijackThis v1.99.1
Scan saved at 21:02:13, on 17.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rpcc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\NvVid.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\DOKUME~1\Sven\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154623786781
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\win_q6.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hallo,

also da ist noch mehr.

Mal bitte folgende Datein bei Jotti oder Virustotal auswerten lassen:

C:\WINDOWS\system32\win_q6.dll
C:\WINDOWS\SYSTEM32\PLSRemote.exe
C:\WINDOWS\system32\NvVid.exe

Link in meiner SIG. Poste das gesamte Ergebnis, einschließlich der dort angegebenen Größe der Datei!

Was Dir immer gemeldet wird, sollte wohl dieser sein.
Der wird wohl auch den anderen scheiß nachgeladen haben!

Mehr, nach den Ergebnissen des Online Scan!


Gruß Mellosun

Hallo mellosun,

erstmal vielen Dank.
Problem ist, der Trojaner sitzt im PC meines Schwagers. Bei ihm geht leider kein
DSL (also alles dauert ewig) und er hat noch weniger Ahnung als ich. Ich habe mit ihm telefonisch (wir wohnen ziehmlich weit auseinander) das Hijackthis-logfile
erstellt und er hat es mir per email geschickt.

Wie ist da die beste Vorgehensweise. So einfach in seinen PC zu schauen geht
leider nicht

lb Grüsse

Zitat:

Zitat von eisfloeckchen

Wie ist da die beste Vorgehensweise.

lb Grüsse

Gute Frage......also entweder in den Sauren Apfel beißen und warten bis die Auswertung durch ist, oder PC unter den Arm klemmen und zu einer DSL Leitung gehen! Klingt voll blöd, ich weiß!
Also, ich würde wahrscheinlich die Dateien hochladen und warten bis die Auswertung da ist.....
Oder auf CD brennen und von einem anderen Rechner aus hochladen? Gefahr der Infektion und Gefahr der Verfälschung des Ergebnisses sind da wohl möglich!

Müsst Ihr nun entscheiden!


Gruß Mellosun

Hallo mellosun,

vielen Dank erstmal. Ich denke, das werden wir so machen, bleibt nix anderes
übrig. PC würde ich mir gern "unter den Arm klemmen", aber da müsst ich erst
von Chemnitz nach Tübingen.... Is mir zu weit..

Ist das, was da drauf ist, sehr gefährlich und geht es so einfach zu entfernen?

Also sobald ich die Ergebnisse habe, melde ich mich wieder!

Lg Anja

Tja, ob das gefährlich ist...keine Ahnung, jedenfalls gehört es net dahin!
Wird die Online Auswertung zeigen, mit was wir es da zu tun haben!

Tübingen...Chemnitz! Jeeppp, iss etwas weit!
Wohnst ja in meiner Nähe.....aber gehört hier net hin!


Gruß Mellosun