P1ug and P1ay service - Privacy en beveiliging

donderdag 17 augustus 2006 11:00

Acties:

Verwijderd

Topicstarter

Goeiedag,

Ik draai thuis een server met windows 2000 erop, waar onder andere apache, php, mysql en kerio mailserver op draaien.
Onlangs had ik steeds het probleem dat de mysql en de mailserver niet meer reageerden. In de eventlog stonden de volgende meldingen:

The Kerio MailServer service terminated unexpectedly. It has done this 1 time(s). The following corrective action will be taken in 0 milliseconds: No action.

The MySQL service terminated unexpectedly. It has done this 1 time(s). The following corrective action will be taken in 0 milliseconds: No action.

Het vreemde was echter dat ook de volgende melding in de eventlog stond(let op de 1 voor een l):

The P1ug and P1ay service terminated unexpectedly. It has done this 1 time(s). The following corrective action will be taken in 0 milliseconds: No action.

Ik heb zelf nog nooit van deze service gehoord en het feit dat bij services.msc de volgende beschrijving stond vind ik ook vreemd (kan de tekst niet copy/pasten, vandaar een plaatje)

Afbeeldingslocatie: http://www.toonbier.nl/meuk/p1ug.jpg

Afbeeldingslocatie: http://www.toonbier.nl/meuk/p1ug.jpg

Googlen levert niet echt veel op, alleen deze link http://www.trojaner-board.de/showthread.php?t=31387 , maar virustotaal vind geen virus of trojan in services.exe.

Heeft iemand hier weleens mee te maken gehad of weet iemand hier meer van?

donderdag 17 augustus 2006 11:02

Acties:

NMe

Quia Ego Sic Dico.

Het lijkt me ook sterk dat zo'n virus in services.exe zou zitten. Scan je hele pc eens.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

donderdag 17 augustus 2006 11:14

Acties:

chromeeh

the Gnome

-NMe- schreef op donderdag 17 augustus 2006 @ 11:02:
Het lijkt me ook sterk dat zo'n virus in services.exe zou zitten. Scan je hele pc eens.

Het lijkt me dat een stukje malware of iets dergelijks zich probeerd te stealthen onder je services.exe
Online virusscans doen, Hitman Pro draaien en post je HijackThis log eens

[ Voor 24% gewijzigd door chromeeh op 17-08-2006 11:18 ]

"Some day, I hope to find the nuggets on a chicken."

donderdag 17 augustus 2006 11:27

Acties:

Verwijderd

chromeeh schreef op donderdag 17 augustus 2006 @ 11:14:
[...]
Online virusscans doen, Hitman Pro draaien en post je HijackThis log eens

post eerst je HijackThis log, want de resultaten van hijackthis zijn na hitmanpro erg mager, met de kans dat je er nooit achterkomt wat er nou eigenlijk aan de hand is/was

donderdag 17 augustus 2006 13:21

Acties:

Verwijderd

Topicstarter

Ok, bedankt voor de eerste reacties.
Hierbij de Hijackthislog

code: Hijackthislog

Logfile of HijackThis v1.99.1
Scan saved at 1:12:00 PM, on 8/17/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Apache Software Foundation\Apache2.2\bin\httpd.exe
C:\WINNT\system32\svchost.exe
C:\MySQL\bin\mysqld-nt.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Apache Software Foundation\Apache2.2\bin\httpd.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\unps.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Kerio\MailServer\mailserver.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Apache Software Foundation\Tomcat 5.5\bin\tomcat5w.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe
C:\Program Files\BWMeter\BWMeter.exe
C:\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ApacheTomcatMonitor] "C:\Program Files\Apache Software Foundation\Tomcat 5.5\bin\tomcat5w.exe" //MS//Tomcat5
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - Startup: BWMeter.lnk = C:\Program Files\BWMeter\BWMeter.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144926785296
O17 - HKLM\System\CCS\Services\Tcpip\..\{D90FF5BE-A30A-4286-B1C5-C1FBFB478780}: NameServer = 83.80.1.236
O23 - Service: Apache2.2 - Unknown owner - C:\Program Files\Apache Software Foundation\Apache2.2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Kerio MailServer (KerioMailServer) - Kerio Technologies - C:\Program Files\Kerio\MailServer\mailserver.exe
O23 - Service: MySQL - Unknown owner - C:\MySQL\bin\mysqld-nt".exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Program Files\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 (file missing)
O23 - Service: Uninterruptible Power Supply (UPS) - Unknown owner - C:\WINNT\System32\unps.exe" /service (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Zie er niet echt iets geks in.
Een scan met NOD leverde ook niets op. Ga nu even met Hitman pro er overheen.

donderdag 17 augustus 2006 17:12

Acties:

Verwijderd

Topicstarter

Hitman pro kan ook niets vinden, heb de service p1ug and p1ay gewoon uitgeschakeld en heb nu de hele dag nog geen problemen met mysql en mailserver gehad. Misschien is het daarmee opgelost.

donderdag 17 augustus 2006 17:20

Acties:

Jaap-Jan

-NMe- schreef op donderdag 17 augustus 2006 @ 11:02:
Het lijkt me ook sterk dat zo'n virus in services.exe zou zitten. Scan je hele pc eens.

Je ziet wel iets over het hoofd: deze services.exe zit in C:\WINNT\System terwijl de officiële services.exe in C:\WINNT\system32 zit. Dit heb ik gecontroleerd op een laptop die Windows 2000 Professional draait

.Waarschijnlijk ís die services.exe wél een virus.

Misschien kun je die services.exe eens door de JottiScan gooien om te zien of een ander pakket er wel iets in vind.

[ Voor 14% gewijzigd door Jaap-Jan op 17-08-2006 17:22 ]

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

zondag 20 augustus 2006 15:10

Acties:

dbzfan

Nee.

Waarschijnlijk is het een servu of radmin. Proces stoppen en services.exe weggooien