at2907 Plugin-Test hängt

    Es ging an dich...
    2 plugin-container.exe ist so ungewöhnlich das du deinen Computer mit Malwarebytes durchsuchen solltest.
    Runterladen, installieren und zunächst ein UpDate der Erkennungsregeln machen. Mache einen Fullscan und lasse eine Log-Datei erstellen, poste den Inhalt hier mit der Klammer Code (deren Bedeutung du nun gelernt hast).

    Wird etwas gefunden, freunde dich mit dem Gedanken an, das System neu aufzusetzen. (alternativ ein Image nutzen)
    Lies diesen Artikel, besonders ab Punkt 4.
    Ein befallenes System kann man nicht säubern

    Sichere vorher deine persönlichen Daten.

    Ändere alle Passwörter und beobachte deine Konten: Online-Banking, Ebay, Paypal etc.etc.

    Zitat von Boersenfeger

    Es ging an dich...


    Siehe meine Signatur :-???

    Zitat

    2 plugin-container.exe ist so ungewöhnlich das du deinen Computer mit Malwarebytes durchsuchen solltest.


    Für diesen Hinweis möchte ich mich an dieser Stelle nun mal ganz besonders bedanken. Da ich ja nun den neuen super-dupi Avast am rennen habe, dachte ich, jetzt kann mir erst recht nix mehr passieren. (Mein letztes Viren-Problem hatte ich übrigens trotz NortonAV so um 1996. Grund: eine verseuchte Windows95-OEM Original-CD, wurde auch in der Presse bekannt).
    Also Malwarebytes hat tatsächlich was gefunden.
    Also nochmal im Detail:
    - Hab' Quicktime deinstalliert, und dann wieder neu mit der neuesten Version vom Apple-Download.
    - Sobald ich den Quicktime-Test von at2907 anklicke, sieht dieser zwar OK aus, doch (1) erscheint eine 2. plugin-container.exe im TM, und (2) zieht FF 100 % CPU. Tab-Wechsel, Fenster-verkleinern bzw. -überdecken, auch teilweise, mit anderer Anwendung beruhigt die CPU-Last. Alle anderen Tests auf der Seite zeigen keine Auffälligkeit. Das Schließen des FF danach endet auffällig oft in "Anwendungsfehler aufgetreten".
    - Der Quicktime-Test von der Kölner Uni macht keine Probleme.

    Zitat

    ... (alternativ ein Image nutzen)

    Was meinst Du damit genau?

    Zitat


    Lies diesen Artikel, besonders ab Punkt 4.
    Ein befallenes System kann man nicht säubern


    Hab' ich, sieht zunächst mal schlecht aus.
    Ich soll ja hier das Protokoll posten.
    Könnte Ihr da mal reingucken, und so aus Eurer Erfahrung sagen, wie ernst die Sache zu nehmen ist, und ich Chancen habe, einer System-Neuinstallation zu entkommen?

    Ach ja, full-scann wird heute Nacht durchgeführt !

    Zitat von Herzmann

    .. und ich Chancen habe, einer System-Neuinstallation zu entkommen?

    Wenn du den Artikel gelesen und verstanden hast, dürfte alles klar sein. Du hast keine Chance....
    @ Image: Man kann eine Image-Datei seines Betriebssystems herstellen und damit bei Bedarf seinen Computer wiederherstellen. Das geht z.B. mit Acronis True Image. Kostet zwar was, lohnt sich aber.

    Zitat

    Was meinst Du damit genau?

    Speicherabbild [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png] Acronis TrueImage ist empfehlenswert.

    Zitat

    Könnte Ihr da mal reingucken, und so aus Eurer Erfahrung sagen, wie ernst die Sache zu nehmen ist, und ich Chancen habe, einer System-Neuinstallation zu entkommen?

    Es gibt nix zu gucken. Und es gibt keine Alternative zur Neuinstallation. Du solltest dir lieber Gedanken über dein Sicherheitskonzept machen.

    Dann freunde dich mit einem Neuaufsetzen deines Systems an. Danach alle Passwörter ändern!
    Lies diesen Artikel - wichtig ab Punkt #4

    Malware - was nun?
    * Daten sichern (Dokumente, Musik, Bilder usw. kopieren)
    * Windows-CD/DVD einlegen, booten
    * mit Windows-CD/DVD Systemlaufwerk formatieren
    * Windows neu installieren
    * alle Windows-Updates installieren
    * sicheren Browser benutzen
    * nur Programme aus sicheren Quellen installieren
    * Sicherheitskonzept überdenken!
    * nicht mehr als Admin surfen!

    Zitat

    Ach ja, full-scann wird heute Nacht durchgeführt !

    Kannst du dir auch sparen, das ändert nichts an der Tatsache, dass dein Rechner verseucht ist. Klar wird dir alles, wenn du den verlinkten MS-Artikel liest.

    Zitat von Boersenfeger

    Wenn du den Artikel gelesen und verstanden hast, dürfte alles klar sein. Du hast keine Chance....


    Ja danke für die eindringlichen Worte. Werde mich aber noch ein wenig über die hier gefundene Malware erkundigen, was die so "kann", und woran ich erkennen kann, ob sie vielleicht bloß tot auf meiner Festplatte rumgelegen hat.

    Noch mal zur plugin-container.exe: Kann jemand von Euch mal ausprobieren, ob bei Euch wirklich nur eine davon im TM auftaucht, wenn der Quicktime-Test aufgerufen wird? Wäre nett!

    Zitat

    @ Image: Man kann eine Image-Datei seines Betriebssystems herstellen und damit bei Bedarf seinen Computer wiederherstellen. Das geht z.B. mit Acronis True Image. Kostet zwar was, lohnt sich aber.


    Hab' bisher mit DriveImage gute Erfahrungen gemacht. Was kann denn Acronis besser?
    Warum überhaupt ein Image ziehen? Meine Daten kann ich doch auch konventionell sichern, und der Rest vom System ist doch wertlos, da eh verseucht (im Zweifellsfall sogar die Daten). Ich nehme an, Ihr habt gute Gründe, dennoch ein Image zu empfehlen.

    Zitat von Herzmann

    ...und woran ich erkennen kann, ob sie vielleicht bloß tot auf meiner Festplatte rumgelegen hat.

    Du hast es auch schon erkannt, dass der Charakter von Malware nicht ist, tot rumzuliegen. Denn du hast die Auswirkungen geschildert.
    Vom plugin-container.exe gibt es im sauberen System nur ein Exemplar.

    Zitat

    Hab' bisher mit DriveImage gute Erfahrungen gemacht. Was kann denn Acronis besser?

    Wenn du DI kennst, warum benutzt du es dann nicht? Hätte dir die anstehende OS-Neuinstallation erspart.
    Warum ein Image. Google mal ein wenig, dann bekommst du Erklärungen, die dir den Sinn näherbringen. Vorteil TruImage: Gibbet in Deutsch. Die Bedienung gefallt mir. Und ein Abblid deiner Systempartition kannst du nicht manuell machen, dazu braucht es ein Programm. Wenn du ein Image hättest, könntest du dieses wiederherstellen und das würde i.d.R. Windows und installierte Programme beinhalten. Und ein Image gilt als nicht kompromittierbar. Wenn du ganz auf Nummer sicher gehen willst, kannst du das Image auch auf DVD brennen; das Imageprogramm per Boot-CD starten und anschließend das Image wiederherstellen. Der Obersinn ist einfach: Du sparst enorm viel Arbeit und Zeit, die du jetzt vor dir hast, weil eine Neuinstallaion mit allem, was dran hängt, ansteht.

    Noch etwas zum Nachdenken (und leichter Relativierung der beiden Vorposter):

    Unterstellt, daß im vollständigen Scan keine weiteren Funde auftreten sollten (erfahrungsgemäß unwahrscheinlich) und wenn es nicht bis vor kurzem das insuffiziente NAV 04 gegeben hätte (anderer Thread) könnte es eine Chance geben, daß ein Neu-Aufsetzen des Systems vermeidbar wäre, wenn eine entscheidende Voraussetzung gegeben sein sollte: Das Konto "ich" hat keine(!) Administratorrechte.

    Die beiden letzteren im Log-genannten Dateien befinden sich in den Benutzerdaten des Windows-Kontos "ich". Was ich aus der Entfernung nicht sagen kann ist die Frage, ob die erste genannte Datei im Log zu demselben Benutzerkonto stammt. Auf jeden Fall läßt der Pfadname dieser Datei (die sich im Papierkorb befindet) darauf schließen, daß es sich bei diesem Konto nicht um das erste Konto handelt, daß nach der XP-Installation angelegt worden war. (Möglicherweise existieren das erste jemals erstellte und ein weiteres Benutzerkonto heute nicht mehr, möglicherweise ist auch einmal eine Reparaturinstallation in der Vergangenheit gemacht worden.) Ob die Datei im Papierkorb zum Konto "ich" gehört und welche Rechte das Konto hat, ist von hier aus nicht erkennbar.

    Warum sage ich das? Sollten sich alle 3 Dateien in eingeschränkten Konten befinden und die Situation, wie ich sie im ersten Absatz genannt habe, wäre nicht gegeben, so würde das Löschen des Windows-Benutzerkontos die Situation bereits bereinigen können. Mit anderen Worten: Verwende ein eingeschränktes Konto auf dem neu zu installierenden System in Zukunft und du wirst dir viel Trouble ersparen.

    Zum Thema Image:
    Jetzt ein Image zu ziehen bringt in der Tat nichts, da hast du Recht. Gemeint war, daß im Falle, daß ein sauberes (!) Image bereits vorhanden sein sollte, man dieses verwenden kann und nicht mit einer Neuinstallation bei Adam und Eva anfangen muß.

    Du schreibst von DriveImage; welches Programm genau meinst du damit? Wenn du über ein Image verfügst, das sauber ist, könntest du das grundsätzlich natürlich statt einer Neuinstallation verwenden. Ich befürchte in deinem Fall allerdings, daß dieses möglicherweise vorhandene Image entweder uralt ist (dann ist der Vorteil logischerweise gering) oder um das Image eines Systems handelt, daß jahrelang mit dem insuffizienten NAV 04 "gesegnet" war und wer weiß, ob dieses Image wirklich sauber ist. Immerhin, ein Image (selbst wenn es Jahre alt sein sollte) von Windows kurz (idealerweise unmittelbar) nach dessen Installation gezogen würde es ersparen, Windows erneut aktivieren zu müssen, wenn die Aktivierung vor der Erstellung des Images erfolgt war und die Hardware seitdem nicht wesentlich geändert worden ist.

    Zitat von Fox2Fox

    Vom plugin-container.exe gibt es im sauberen System nur ein Exemplar.

    Hm, hab' die Gelegenheit gehabt, auf einem anderen System das mal auszuprobieren.
    Leider erscheint dort auch eine 2. plugin-container.exe im TM, sobald man auf "Quicktime" im at2907-Plugin-Test klickt. Allerdings ohne, daß die CPU-Last merklich hoch geht.
    Wäre doch komisch, wenn auch das System die gleiche Macke hätte :-???

    Zitat von Fox2Fox

    Hilfreich wäre, wenn du die noch ausstehenden Fragen beantwortest.


    Bitte hilf mir auf die Sprünge, auf welche Du konkret eine Antwort vermisst.
    Meine Frage ist nach wie vor:
    Kann jemand von Euch mal ausprobieren, ob bei Euch wirklich nur eine davon im TM auftaucht, wenn der Quicktime-Test aufgerufen wird?
    ... bevor ich mich da verückt mache wegen evtl. Malware-Verseuchung. Die besagte Trojan.Agent-Datei liegt übrigens schon seit über einem Jahr in dem Cookie Ordner rum, und weder mein Bankkonto ist geplündert, noch irgend eine andere Ausspäh-Verdächtigkeit ist mir seit dem aufgefallen.

    Zitat

    Eine abschließende Antwort zur PlugIn-Container.exe kann ich dir nicht geben, weil ich diese Datei gar nicht habe.


    Hm, und wie soll ich dann Deine frühere Aussage einordnen:
    "Vom plugin-container.exe gibt es im sauberen System nur ein Exemplar."

    Ok, dann hätten wir mal was grundsätzliches KLAR:
    2 mal plugin-container.exe im TM ist KEIN Zeichen für ein kompromittiertes System!

    Zitat von Road-Runner

    Nicht unbedingt. Ich habe gerade einen normalen Quick Time Film und gleichzeitig ein Flash-Video bei youtube aufgerufen und habe dann auch 2 mal die plugin-container.exe im Taskmanager. Vielleicht lief auf dem anderen System auch noch ein Flash-Video im Hintergrund?


    Letzteres kann ich nicht so eindeutig beantworten, da ich einige Tabs offen habe. Evtl. ist da einer dabei, wo irgendeine Werbung das schon veranlasst, z.B. die T-Online.de. Eins kann ich aber sagen, eine plugin-container.exe ist schon im Taskmanager aktiv, bevor ich auf Deiner Testseite irgendetwas anklicke.

    Noch 'ne Ergänzung:
    Das nichtstuende Shockwave plugin frisst bei mir ca. 15% CPU, alle anderen zusammen maximal 2 %. Ist das normal?

    Möchtest du dich um den Malwarebytesbefund eigentlich noch kümmern, oder nimmst du es als gegeben hin?

    Zitat

    Ok, dann hätten wir mal was grundsätzliches KLAR:
    2 mal plugin-container.exe im TM ist KEIN Zeichen für ein kompromittiertes System!

    Sooo, kann man das nicht sagen
    Mache einen Systemneustart, starte Firefox und rufe keine Seite auf... Ist dann auch eine plugin-container.exe im Taskmanager? Rufe nun die Test-Seite auf und mache einen der Tests. Wieviel p-c.exen sind dann im Taskmanager?

    Zitat von Boersenfeger

    Möchtest du dich um den Malwarebytesbefund eigentlich noch kümmern, oder nimmst du es als gegeben hin?


    Da bin ich dran, doch braucht das noch was Vorbereitung, z.B. CDs oder DVDs zur Wiederherstellung erstellen und eine 2. Maschine organisieren, mit der ich wichtige Dinge während der Aus-Zeit erledigen kann, und außerdem während des Installierens auf all Eure Links zugreifen kann.
    Ansonsten krieg ich aber immer mehr das Gefühl, daß ich nicht wirklich ein Malware-Problem habe, auch wenn eine Neuinstallation nach 4 Jahren nicht unbedingt schaden könnte.
    Mein eigentliches Problem Warnung: Nicht antwortendes Skript scheint ja gelöst, und das mir dem Plugin war nur so eine Beobachtung am Rande beim Rumspielen mit RoadRunner's Seite.
    Eine andere Möglichkeit wäre evtl. noch, mal http://www.trojaner-board.de zu konsultieren. Die scheinen ja einiges wieder hin zu kriegen, ohne daß man neu aufsetzen muß, gerade auch bezüglich "Trojan.Agent".

    Zitat

    Sooo, kann man das nicht sagen


    OK, ich korrigiere: 2 mal plugin-container.exe im TM ist KEIN Beweis für ein kompromittiertes System!

    Zitat

    Mache einen Systemneustart, starte Firefox und rufe keine Seite auf... Ist dann auch eine plugin-container.exe im Taskmanager? Rufe nun die Test-Seite auf und mache einen der Tests. Wieviel p-c.exen sind dann im Taskmanager?


    Ok, mach ich mal, auch wenn ich dann all meine Tabs wieder herstellen muß.

    Zitat von Herzmann

    Die scheinen ja einiges wieder hin zu kriegen, ohne daß man neu aufsetzen muß.


    Davor scheust Du Dich am meisten, stimmt´s ?
    Eine Backupsoftware wie etwa True Image würde es Dir erleichtern. 8)

    Einmal editiert, zuletzt von pittifox (24. September 2010 um 16:37)

    Scanne dein System mal mit Malwarebytes[Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png] - Malwarebytes Deutschsprachige bebilderte Anleitung [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]. Vor dem Scan ein Update von Malwarebytes machen, dann einen vollständigen Suchlauf durchführen und den Inhalt des Logfiles in deinen nächsten Post in Klammer CODE einfügen.

    Zitat von Boersenfeger

    Mache einen Systemneustart, starte Firefox und rufe keine Seite auf... Ist dann auch eine plugin-container.exe im Taskmanager? Rufe nun die Test-Seite auf und mache einen der Tests. Wieviel p-c.exen sind dann im Taskmanager?


    FF nackt: 0 p-c.exe
    at2907->QT: 1 p-c.exe
    +at2907->WM: 1 p-c.exe
    +http://www.T-online.de: 2 p-c.exe

    Das sind die Ergebnisse von meiner seit 1 Jahr nicht mehr genutzten, nun aber upgedateten Backup-Platte, die damals unwissenderweise auch schon "Trojan.Agent-infiziert" war.