You are not logged in.

Wednesday, April 16th 2014, 9:03pm

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • "stonehensch" started this thread

Date of registration:
Feb 6th 2010

  • Send private message

1

Saturday, February 6th 2010, 7:32pm

PLFSetl.exe

Hallo liebe Leute,

hab mich grad frisch angemeldet und zack schon gleich die erste frage!

Neulich stöberte ich mal wieder im autostart rum, um zu schauen, welche Programme sich da mal wieder verewigt haben und da springt mir eine neue .exe entgegen, die ich noch garnicht kannte und auch nicht gewollt/ bewusst installiert habe. Sie nennt sich PLFsetl.exe.
Als ich sie dann per google nachschlage, schreiben andere foren, dass dies ein gefährlicher trojaner sei und man am besten sein ganzen system neu aufsetzen sollte, damit der schädling verschwindet!
und tatsächlich, er lässt sich nicht so leicht entfernen, wie er wahrscheinlich installiert wurden ist! nun lauert er erstmal in der quärantäne, bis ich ein paar mehr informationen sammeln konnte.

fakt ist zumindest, dass antivir nicht als bedrohung einstuft und mein OS nach-wie-vor läuft als wäre nichts gewesen!
wie ich in der forensuche gesehen habe, ist bei vielen andern diese .exe auch installiert, aber es gibt keine weiteren forenbeiträge zum thema .

Hat jemand schon ein paar erfahrungen mit dieser .exe sammeln können und ist diese nun so eine große bedrohung? Und was macht sie?
selbst wenn, muss es doch noch andere mgklt geben, als das OS neu zu installieren!

grz der stoni

JR67

Community member

Date of registration:
Feb 18th 2007

Operating System:
WinXP Home + Prof SP3; Win7 SP1

  • Send private message

2

Saturday, February 6th 2010, 7:46pm

Hallo

besitzt du eine Webcam?
Läuft die evtl mit der sonix-Software?

Du kannst die Datei ja mal bei Virustotal überprüfen lassen und und das Ergebnis zeigen ;)

Gruß Jens
Eine Regierung muss sparsam sein, weil das Geld, das sie erhält, aus dem Blut und Schweiß ihres Volkes stammt. Es ist gerecht, dass jeder einzelne dazu beiträgt, die Ausgaben des Staates tragen zu helfen. Aber es ist nicht gerecht, dass er die Hälfte seines jährlichen Einkommens mit dem Staate teilen muss.
Friedrich II. der Große

  • "stonehensch" started this thread

Date of registration:
Feb 6th 2010

  • Send private message

3

Saturday, February 6th 2010, 8:12pm

webcam ja, sonix nein!
in der registry ist unter dem test auch nichts eingetragen! aber hier das ergebnis der untersuchten datei!


File size: 200704 bytes
MD5 : 2ac7f8b8bf0d5d327a3a2a00453222c4
SHA1 : 801b48d7d5739038a7f293dbbf215431f77d8ee9
SHA256: f71b6cfa7f4ae2a13c8ddf296631ef26c72e7c0387d88b9701577dae133ec583
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9FE0
timedatestamp.....: 0x471D62D0 (Tue Oct 23 04:56:16 2007)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2059F 0x21000 6.52 16d16d5b03dbdba19ce7a207a8c4b332
.rdata 0x22000 0x8720 0x9000 4.58 b67e7269fb7e03bb992b809f7b8b656e
.data 0x2B000 0x6348 0x3000 3.24 7180e1b25d7c9c8c1461a09f8479ffd6
.rsrc 0x32000 0x2490 0x3000 3.86 8fd26e728f6382b0e527cb04d7230d00

( 11 imports )

> advapi32.dll: RegCloseKey, RegSetValueExA, RegCreateKeyExA, RegQueryValueExA, RegOpenKeyExA
> comctl32.dll: -
> comdlg32.dll: GetFileTitleA
> gdi32.dll: SetMapMode, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, IntersectClipRect, DeleteObject, GetDeviceCaps, GetViewportExtEx, GetWindowExtEx, CreateSolidBrush, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, GetTextColor, GetBkColor, DPtoLP, LPtoDP, GetMapMode, PatBlt, SetBkMode, GetStockObject, SelectObject, RestoreDC, SaveDC, DeleteDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateDIBitmap, GetTextExtentPointA, BitBlt, CreateCompatibleDC, CreateBitmap
> kernel32.dll: GetStartupInfoA, GetCommandLineA, ExitProcess, TerminateProcess, HeapFree, HeapAlloc, RaiseException, HeapReAlloc, HeapSize, GetACP, GetTimeZoneInformation, LCMapStringA, LCMapStringW, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, RtlUnwind, GetFileType, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, SetUnhandledExceptionFilter, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, FormatMessageA, GetProfileStringA, GetTickCount, FileTimeToLocalFileTime, FileTimeToSystemTime, SetErrorMode, GetFileTime, GetFileSize, GetFileAttributesA, GetOEMCP, GetCPInfo, SizeofResource, GetProcessVersion, WritePrivateProfileStringA, GlobalFlags, TlsGetValue, LocalReAlloc, TlsSetValue, EnterCriticalSection, GlobalReAlloc, LeaveCriticalSection, TlsFree, GlobalHandle, DeleteCriticalSection, TlsAlloc, InitializeCriticalSection, LocalFree, LocalAlloc, GetThreadLocale, GetFullPathNameA, lstrcpynA, GetVolumeInformationA, FindFirstFileA, FindClose, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, CreateFileA, GetCurrentProcess, DuplicateHandle, GetLastError, MulDiv, SetLastError, MultiByteToWideChar, lstrlenA, InterlockedIncrement, InterlockedDecrement, LoadLibraryA, FreeLibrary, GetVersion, lstrcatA, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, lstrcpyA, GetModuleHandleA, GetProcAddress, GlobalUnlock, GlobalFree, LockResource, FindResourceA, LoadResource, CloseHandle, GetModuleFileNameA, GlobalLock, GlobalAlloc, GlobalDeleteAtom, lstrcmpA, lstrcmpiA, GetCurrentThread, GetCurrentThreadId, lstrcpyW, WideCharToMultiByte, GetWindowsDirectoryA, Sleep, GetStdHandle, GetSystemDefaultLCID
> ole32.dll: CoFreeUnusedLibraries, OleUninitialize, CoTaskMemAlloc, CoTaskMemFree, CreateILockBytesOnHGlobal, StgCreateDocfileOnILockBytes, StgOpenStorageOnILockBytes, CoGetClassObject, CLSIDFromString, CLSIDFromProgID, CoCreateInstance, CoInitialize, CoUninitialize, CoRegisterMessageFilter, CoRevokeClassObject, OleFlushClipboard, OleIsCurrentClipboard, OleInitialize
> oleaut32.dll: -, -, -, -, -, -, -, -, -
> oledlg.dll: -
> olepro32.dll: -
> user32.dll: SetRect, GetNextDlgGroupItem, MessageBeep, InvalidateRect, InflateRect, RegisterClipboardFormatA, PostThreadMessageA, GetSysColor, SetFocus, AdjustWindowRectEx, ScreenToClient, CopyRect, GetTopWindow, IsChild, GetCapture, WinHelpA, wsprintfA, GetClassInfoA, RegisterClassA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, GetWindowTextLengthA, GetWindowTextA, GetDlgCtrlID, DefWindowProcA, CreateWindowExA, GetClassLongA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, CopyAcceleratorTableA, GetMessagePos, GetClassNameA, SetForegroundWindow, SetWindowLongA, RegisterWindowMessageA, OffsetRect, IntersectRect, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, MapDialogRect, SetWindowPos, GetWindow, SetWindowContextHelpId, EndDialog, SetActiveWindow, IsWindow, CreateDialogIndirectParamA, GetDlgItem, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, GetKeyState, CallNextHookEx, ValidateRect, IsWindowVisible, PeekMessageA, GetCursorPos, LoadIconA, SendMessageA, AppendMenuA, UnregisterClassA, HideCaret, ShowCaret, ExcludeUpdateRgn, DrawFocusRect, SetWindowsHookExA, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongA, MessageBoxA, SetCursor, PostQuitMessage, PostMessageA, EnableWindow, IsIconic, GetSystemMetrics, CharNextA, GetSysColorBrush, GetMessageTime, GetClientRect, DrawIcon, DefDlgProcA, IsWindowUnicode, GetSystemMenu, GetDesktopWindow, LoadCursorA, CharUpperA, GrayStringA, DrawTextA, TabbedTextOutA, EndPaint, BeginPaint, GetWindowDC, ReleaseDC, GetDC, ClientToScreen, DestroyMenu, LoadStringA, ShowWindow, MoveWindow, SetWindowTextA, IsDialogMessageA, MapWindowPoints, UpdateWindow, DestroyWindow, PtInRect, GetForegroundWindow, SendDlgItemMessageA
> winspool.drv: ClosePrinter, DocumentPropertiesA, OpenPrinterA

( 0 exports )
TrID : File type identification
Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)

ThreatExpert: http://www.threatexpert.com/report.aspx?md5=2ac7f8b8bf0d5d327a3a2a00453222c4

ssdeep: 3072:hBb0sexGRc3ZKmKxtAEjZoHLGIMAP0GV7UIJeIZ4yIy8o8bgCR8Z:DBc3ZKAEjkGIFAjyC
PEiD : Armadillo v1.71

CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=2ac7f8b8bf0d5d327a3a2a00453222c4

RDS : NSRL Reference Data Set

danke für deine schnelle antwort!

was bedeutet es denn, wenn 0/40 ausgegeben wird ? ist das nun gut oder schlecht?

JR67

Community member

Date of registration:
Feb 18th 2007

Operating System:
WinXP Home + Prof SP3; Win7 SP1

  • Send private message

4

Saturday, February 6th 2010, 8:24pm

was bedeutet es denn, wenn 0/40 ausgegeben wird ? ist das nun gut oder schlecht?


Ähm .... gut würde ich sagen ;)

deine eingestellten Untersuchungsergebnise sind ja schon wat älter ....
aber anhand der Checksummen kann man sehen, dass es sich wohl um die gleiche Datei handelt ...
übrigens .. bei Virustotal wäre der Teil interessant gewesen, welcher sich über dem von dir eingestellten befindet .... bis zur Zeile PEInfo ;)

die bei ThreatExpert gemachten Angaben über die Registrierungseinträge stützen meine Vermutung über die Software:

Quoted

The following Registry Keys were created:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo
HKEY_CURRENT_USER\Software\Sonix
HKEY_CURRENT_USER\Software\Sonix\PCCAM
HKEY_CURRENT_USER\Software\Sonix\PCCAM\SNP2UVC


sollte also zur Webcam gehören.

Gruß Jens
Eine Regierung muss sparsam sein, weil das Geld, das sie erhält, aus dem Blut und Schweiß ihres Volkes stammt. Es ist gerecht, dass jeder einzelne dazu beiträgt, die Ausgaben des Staates tragen zu helfen. Aber es ist nicht gerecht, dass er die Hälfte seines jährlichen Einkommens mit dem Staate teilen muss.
Friedrich II. der Große

  • "stonehensch" started this thread

Date of registration:
Feb 6th 2010

  • Send private message

5

Saturday, February 6th 2010, 8:36pm

du meinst das?
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.06 -
AhnLab-V3 5.0.0.2 2010.02.06 -
AntiVir 7.9.1.158 2010.02.05 -
Antiy-AVL 2.0.3.7 2010.02.05 -
Authentium 5.2.0.5 2010.02.06 -
Avast 4.8.1351.0 2010.02.06 -
AVG 9.0.0.730 2010.02.06 -
BitDefender 7.2 2010.02.06 -
CAT-QuickHeal 10.00 2010.02.06 -
ClamAV 0.96.0.0-git 2010.02.06 -
Comodo 3843 2010.02.06 -
DrWeb 5.0.1.12222 2010.02.06 -
eSafe 7.0.17.0 2010.02.04 -
eTrust-Vet 35.2.7286 2010.02.05 -
F-Prot 4.5.1.85 2010.02.06 -
F-Secure 9.0.15370.0 2010.02.06 -
Fortinet 4.0.14.0 2010.02.06 -
GData 19 2010.02.06 -
Ikarus T3.1.1.80.0 2010.02.06 -
Jiangmin 13.0.900 2010.02.06 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.06 -
McAfee 5884 2010.02.06 -
McAfee+Artemis 5884 2010.02.06 -
McAfee-GW-Edition 6.8.5 2010.02.06 -
Microsoft 1.5406 2010.02.06 -
NOD32 4842 2010.02.06 -
Norman 6.04.03 2010.02.06 -
nProtect 2009.1.8.0 2010.02.06 -
Panda 10.0.2.2 2010.02.06 -
PCTools 7.0.3.5 2010.02.06 -
Prevx 3.0 2010.02.06 -
Rising 22.33.05.04 2010.02.06 -
Sophos 4.50.0 2010.02.06 -
Sunbelt 3.2.1858.2 2010.02.06 -
TheHacker 6.5.1.0.181 2010.02.06 -
TrendMicro 9.120.0.1004 2010.02.06 -
VBA32 3.12.12.1 2010.02.05 -
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.06 -

woran hast du jetzt gesehen, das die älter sind? hab ich ja gerade erst gemacht! aber die von dir gemeinten registry einträge sind ja bei mir nicht vorhanden!

wie gesagt, besitze ich keine webcam von sonix oder die software davon!
und wie kommen dann andere foren dazu diese datei als trojanisches pferd zu betiteln?

grüße stoni

JR67

Community member

Date of registration:
Feb 18th 2007

Operating System:
WinXP Home + Prof SP3; Win7 SP1

  • Send private message

6

Saturday, February 6th 2010, 8:53pm

also ..

beim VT-Ergebnis steht vor der Auswertung zB auch der Dateiname und das Datum der Überprüfung ...
und das sollte auch mit eingestellt werden, so dass man sieht, dass das Ergebnis das Aktuellste ist

es folgt das Ergebnis der Scanner und dann die ermittelten Checksummen.
Anhand der Checksummen kann man die Dateien vergleichen.

Beim Sunbelt- Ergebnis steht

Quoted

Report generated at 4/10/2008 1:01:57 PM

bei Threat-Expert

Quoted

Submission received: 2 March 2009, 11:08:46

das werden die Daten der Erstübermittlung sein und anhand der Checksummen wird bei weiteren Uploads sicher wieder auf das Erstergebnis verwiesen.

Desweiteren kann man ja einem Virus jeden Namen einer Datei geben... auch wenn er schon als legaler Name einer Datei existiert. Somit können solche Erscheinungen auch auftreten, dass du beim Googlen auf Einträge stößt, in welchen unter diesem Dateinamen von Malware gesprochen wird.
Eine Regierung muss sparsam sein, weil das Geld, das sie erhält, aus dem Blut und Schweiß ihres Volkes stammt. Es ist gerecht, dass jeder einzelne dazu beiträgt, die Ausgaben des Staates tragen zu helfen. Aber es ist nicht gerecht, dass er die Hälfte seines jährlichen Einkommens mit dem Staate teilen muss.
Friedrich II. der Große

  • "stonehensch" started this thread

Date of registration:
Feb 6th 2010

  • Send private message

7

Saturday, February 6th 2010, 9:02pm

okay, die datei ist also höchst wahrscheinlich nicht gefährlich! das erklärt also auch, warum antivir nicht angeschlagen hat! alles klar, damit bin ich zufrieden! :)

danke dir für deine zeit

grüße stoni

JR67

Community member

Date of registration:
Feb 18th 2007

Operating System:
WinXP Home + Prof SP3; Win7 SP1

  • Send private message

8

Saturday, February 6th 2010, 9:15pm

alles klar und gern geschehen :)

Gruß Jens
Eine Regierung muss sparsam sein, weil das Geld, das sie erhält, aus dem Blut und Schweiß ihres Volkes stammt. Es ist gerecht, dass jeder einzelne dazu beiträgt, die Ausgaben des Staates tragen zu helfen. Aber es ist nicht gerecht, dass er die Hälfte seines jährlichen Einkommens mit dem Staate teilen muss.
Friedrich II. der Große