Trojaner-Board - Hab ich einen Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hab ich einen Trojaner (https://www.trojaner-board.de/31684-hab-trojaner.html)

Hab ich einen Trojaner

Hallo,

ich muss mich mal als absoluter Computerdummie bezeichnen und wende mich deswegen jetzt mal an euch.

Ich wurde von einem Bekannten, der wie ich McAfee als Antivirenprogramm/ Firewall hat, ob ich eine Datei namens mpfagent.pf habe. Dies sei Hinweis auf einen Trojaner und sei erst vor kurzem bekannt geworden. Ich müsste diese Datei löschen.

Ich bin niemand, der unbedingt löscht, wenn irgendjemand das mir nennt und hab mich mal versucht, im Internet und mit Hilfe von google schlau zu machen. Allerdings hab ich dazu rein gar nichts gefunden.

Und ihr seid jetzt meine letzte Hilfe. Habe gelesen, dass man Hijackthis drüberlaufen lassen soll und das ist jetzt mein Ergebnis.

Könnt ihr mir da was zu sagen?

Vielen Danke schon mal sagt Catja

Logfile of HijackThis v1.99.1
Scan saved at 20:24:40, on 25.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\KPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\mps\mscifapp.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RauchFrei\RauchFrei.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\system32\CTsvcCDA.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Pinnacle\MediaCenter\pmc.exe
C:\Programme\Pinnacle\Shared Files\Programs\PclePvr\VideoControl.exe
c:\programme\mcafee.com\vso\mcmnhdlr.exe
c:\programme\mcafee.com\shared\mghtml.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\programme\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee Privacy Service Popup Blocker - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\programme\mcafee.com\mps\popupkiller.dll
O2 - BHO: (no name) - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {91BFAC27-B2C2-4480-AE8E-CC2996D91E02} - C:\WINDOWS\system32\conpstui.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SWR3RauchFrei] "C:\Programme\RauchFrei\RauchFrei.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: McAfee Anti-Phishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143920361537
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{083891C8-CCBD-45BA-8FC0-3E70148E1783}: NameServer = 62.220.18.8 62.72.64.237
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: KPService - Unknown owner - C:\WINDOWS\system32\KPService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe

@catja

Zitat:

Ich wurde von einem Bekannten, der wie ich McAfee als Antivirenprogramm/ Firewall hat, ob ich eine Datei namens mpfagent.pf habe. Dies sei Hinweis auf einen Trojaner und sei erst vor kurzem bekannt geworden. Ich müsste diese Datei löschen.

Bitte tue das NIE MEHR, wenn du das Neuaufsetzen vom System nicht besonderst magst ;). Die Informationen von den Bekannten, Freunden & Co. dürfen kein Grund sein, Etwas am eigenen PC zu löschen.
AFAIU gehört die Datei (die Erweiterung hast du offensichtlich unvollständig geschrieben) zu McAfee Firewall, vermutlich McAfeePersonalFirewallAgent. Im Zweifelsfall soll die Datei mei einem oder mehreren anderen Virenscanner geprüft werden, z.B. bei www.virustotal.com.
Bitte checke lieber die Datei:

Zitat:

C:\WINDOWS\system32\KPService.exe

Die kommt mir irgendwie komisch vor. Bitte nutze die kurze Anleitung aus meiner Signatur, um die versteckten und Systemdateien zur Ansicht zu bekommen.

Hallo,

ich hab ja zum Glück nichts gelöscht... Manchmal habe ich einfach Geistesblitze :D

Hab die KPService.exe in meinem windows/system32 gefunden.

Und wie gehts weiter?

Sorry, bin echt PC blond

@catja
Klick!, Durchsuchen, Datei finden, Send anklicken, Ergebnis abwarten, kann u.U. ein Paar Minuten dauern. Scanprotokoll markieren, Kopieren/Einfügen, hier posten.

Zitat:

Sorry, bin echt PC blond

Kommst du mit einem Taschenrechner zurecht ;)? Du bist nicht blonder, als zig anderen, zumindest versuchst du zu lesen und zu verstehen, was man dir empfielt. Das ist nicht immer so :).

Okay, das hab ich jetzt getan und das kam dabei raus

Your file "KPService.exe" is queued in position: 203. Estimated start time is between 19 and 29 minutes.

Na ja, ich versuche es, zu lesen und das dann zu befolgen...

Ein Versuch ist es wert

Catja

mOIn catja,

du hast in der Warteschleife gehangen und es bräuchte zwischen "19 and 29 minutes" bis die Datei ausgewertet würde,
versuch es nochmal und warte ein bisschen
(oder alternativ hier versuchen Jotti).

MFG

Hallo,

ja, ja... Jetzt hab ich es...

Dauert um diese Zeit nicht ganz so lange *lach*

Complete scanning result of "KPService.exe", received in VirusTotal at 08.26.2006, 08:00:42 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.3 08.25.2006 no virus found
Authentium 4.93.8 08.25.2006 no virus found
Avast 4.7.844.0 08.24.2006 no virus found
AVG 386 08.25.2006 no virus found
BitDefender 7.2 08.26.2006 no virus found
CAT-QuickHeal 8.00 08.25.2006 no virus found
ClamAV devel-20060426 08.26.2006 no virus found
DrWeb 4.33 08.25.2006 no virus found
eTrust-InoculateIT 23.72.107 08.25.2006 no virus found
eTrust-Vet 30.3.3039 08.25.2006 no virus found
Ewido 4.0 08.25.2006 no virus found
Fortinet 2.77.0.0 08.25.2006 no virus found
F-Prot 3.16f 08.25.2006 no virus found
F-Prot4 4.2.1.29 08.26.2006 no virus found
Ikarus 0.2.65.0 08.25.2006 no virus found
Kaspersky 4.0.2.24 08.26.2006 no virus found
McAfee 4838 08.25.2006 no virus found
Microsoft 1.1560 08.26.2006 no virus found
NOD32v2 1.1724 08.24.2006 no virus found
Norman 5.90.23 08.25.2006 no virus found
Panda 9.0.0.4 08.25.2006 no virus found
Sophos 4.08.0 08.25.2006 no virus found
Symantec 8.0 08.26.2006 no virus found
TheHacker 5.9.8.200 08.25.2006 no virus found
UNA 1.83 08.26.2006 no virus found
VBA32 3.11.1 08.25.2006 no virus found
VirusBuster 4.3.7:9 08.25.2006 no virus found

Aditional Information
File size: 36864 bytes
MD5: a5235b1afc8d60376de4b352e60d299e
SHA1: 08bfaeddeb7ae6f509a4dd54cfa0aa2f78f9fa76

Und da ich einfach übervorsichtig bin *lach*

Datei: KPService.exe
Auslastung:
0% 100%
Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

mOIn catja,

Es ist schon ein bisschen verdächtig, wenn die Sandbox sich so meldet.
Versuche die Datei mal umzubennen (z.B. aus .exe mache .vir) und schau dann, ob sich irgendein Programm beschwert oder etwas nicht mehr funktioniert.

MFG

ERst mal muss ich ganz laut *DANKE* sagen. Ihr seid ein echt tolles und hilfsbereites Forum! Bin froh, dass ich euch gefunden habe.

Ich habe die KPService.exe jetzt mal umbenannt und weil ich noch nichts festgestellt habe, habe ich mich dann todesmutig entschlossen, einen Neustart zu machen...

Ich weiß jetzt auch, was die KPService.exe für eine DAtei ist. Da mir mein Windows XP zu langweilig war, hab ich das mal irgendwo heruntergeladen und installiert, um mir einen anderen Style zu laden.
Jetzt sehe ich meine Oberfläche wieder in Windows Standard.

Ich wollte das Prog deinstallieren, weil ich nicht genau wusste, ob es jetzt gefährlich ist oder nicht, finde es allerdings nicht mehr... Weder in Software, noch in meinem Startmenue... Und dummerweise habe ich auch den Namen vergessen *red*
Es war halt einfach auf meinem Rechner und gut ist...

Na ja, vielen Dank euch noch mal... Und wenn mir ein Bekannter wieder einen "gut gemeinten" Ratschlag" gibt, dass ich was löschen sollte, weil es ein Trojaner ist, wende ich mich wieder vertrauensvoll an euch

DANKE

Catja

Zitat:

Zitat von catja

Da mir mein Windows XP zu langweilig war, hab ich das mal irgendwo heruntergeladen und installiert, um mir einen anderen Style zu laden.

Ich habe auch die KPService.exe in meinen System!
Da ich auch nicht auf Standard stehe, benutze ich zum stylen, StyleXP, WinDresser und den TuneUp Styler.
Ist es eines dieser 3 Progs gewesen?