Bitte um Logfileauswertung |
Willkommen, Gast ( Anmelden | Registrierung )
Bitte um Logfileauswertung |
08.03.2009, 18:06
Beitrag
#1
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 172 Mitglied seit: 13.02.2007 Mitglieds-Nr.: 5.833 Betriebssystem: Windows XP Virenscanner: KIS 2009 Firewall: KIS 2009 |
Hi,
leider konnte ich eine nEintrag nicht identifizieen bzw die Onlineauswertung und ich bitte deswegen um eure Mithilfe. Wäre evtl nett wenn ihr euch einmal den kompletten Log anschaut bevor ich sage was bei HJT unbekannt in der Einstufung war. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:02:06, on 08.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\oodtray.exe C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe C:\Programme\TrueCrypt\TrueCrypt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Sandboxie\SbieCtrl.exe C:\Programme\Synkron\Synkron.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Sandboxie\SbieSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sandboxie\SandboxieRpcSs.exe C:\Programme\Sandboxie\SandboxieDcomLaunch.exe C:\Programme\Trillian\trillian.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe W:\U TORRENT\utorrent161.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Startup: Synkron.lnk = C:\Programme\Synkron\Synkron.exe O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{2A40A478-A5A6-41D4-ACE5-0241A7DBD7F5}: NameServer = 192.168.0.1,80.69.100.138 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe -- End of file - 5177 bytes |
|
|
08.03.2009, 18:25
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 4.246 Mitglied seit: 12.06.2004 Mitglieds-Nr.: 984 Betriebssystem: Windows 10 |
Hast du ein bestimmtes Problem, oder geht es dir nur um einen speziellen Eintrag?
z.B. 04 Eintrag |
|
|
Gast_Scrapie_* |
08.03.2009, 18:27
Beitrag
#3
|
Gäste |
Hi
1.) FNPLicensingService.exe ist mir unbekannt. Googeln kannst du selber, ob du die entsprechende Software installiert hast. 2.) Du hast vier Starteinträge bei RunOnce für alle vier Benutzer deines Systems. Hast du was deinstalliert oder installiert ohne seitdem einen Neustart gemacht zu haben? Normal findet sich hier nur ein Eintrag für den nächsten Start und wird dann ausgetragen. 3.) Dein zweiter DNS (neben deinem Router) ist offline. Stell z.B. 217.237.150.188 an erste Stelle und den Router an zweite. Ist schneller, weil bei DNS nicht noch der Router Vermittler spielen muss. Ich hab bei TCP/IP- Einstellungen den Router ganz raus genommen deswegen und die DNS-Server manuell vergeben. Ansonsten konnte ich nur KIS als Schadsoftware erkennen Scrapie |
|
|
08.03.2009, 18:48
Beitrag
#4
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 172 Mitglied seit: 13.02.2007 Mitglieds-Nr.: 5.833 Betriebssystem: Windows XP Virenscanner: KIS 2009 Firewall: KIS 2009 |
Hi 1.) FNPLicensingService.exe ist mir unbekannt. Googeln kannst du selber, ob du die entsprechende Software installiert hast. 2.) Du hast vier Starteinträge bei RunOnce für alle vier Benutzer deines Systems. Hast du was deinstalliert oder installiert ohne seitdem einen Neustart gemacht zu haben? Normal findet sich hier nur ein Eintrag für den nächsten Start und wird dann ausgetragen. 3.) Dein zweiter DNS (neben deinem Router) ist offline. Stell z.B. 217.237.150.188 an erste Stelle und den Router an zweite. Ist schneller, weil bei DNS nicht noch der Router Vermittler spielen muss. Ich hab bei TCP/IP- Einstellungen den Router ganz raus genommen deswegen und die DNS-Server manuell vergeben. Ansonsten konnte ich nur KIS als Schadsoftware erkennen Scrapie Hi, FNP das passt, ist für Photoshop. 4 Benutzer? Ich bin der einzigste Benutzer auf meinem Sysdtem neben dem Gast Konto. Könnte evtl mit Sandboxie zusammenhängen?!?!?!? Seltsam. Zu Punkt 3 weiss ich ehrlich gesagt nicht genau was du meinst^^ Vielleicht hilft es dir wenn ich sage dass ich die IP manuell vergeben habe und auch alternative DNS Server eingetragen habe. Meinst du das man den Standard DNS Server gegen den alternativen tauscht? Der Eintrag der mir als unbekannt angezeigt wurde war folgender. O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') Und mit KIS als Schadsoftware muss ich leben^^ Das ist einfach zu hartnäckig das Zeug :-) |
|
|
Gast_Scrapie_* |
08.03.2009, 19:50
Beitrag
#5
|
Gäste |
4 Benutzer? Ich bin der einzigste Benutzer auf meinem Sysdtem neben dem Gast Konto. ZITAT O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') Ja, fast Ist schon okay so - nur warum der Eintrag gleich 4x auftauchen muss = ? Auf alle Fälle ruft die rundll32.exe die API "LaunchINFSectionEx" mit den Parametern "Quiet mode" und "Never reboot" auf und lädt die Datei "C:\nLite.inf" (bin mir beim Pfad unsicher) für weitere Anweisungen. Hilft dir das etwas weiter? Zu Punkt 3 weiss ich ehrlich gesagt nicht genau was du meinst^^ Vielleicht hilft es dir wenn ich sage dass ich die IP manuell vergeben habe und auch alternative DNS Server eingetragen habe. Meinst du das man den Standard DNS Server gegen den alternativen tauscht? ZITAT O17 - HKLM\System\CCS\Services\Tcpip\..\{2A40A478-A5A6-41D4-ACE5-0241A7DBD7F5}: NameServer = 192.168.0.1,80.69.100.138 Sieht so aus, als ob DNS erst an deinen Router gehen und dann zum DNS-Server 80.69.100.138. Der ist aber offline. Du könntest die Namensauflösung beschleunigen, wenn du zwei manuelle DNS-Server händisch bei den TCP/IP- Einstellungen einträgst. Du sagst du hast das schon gemacht - der Log sagt aber etwas Anderes, check nochmal pls. Gruß, Scrapie |
|
|
08.03.2009, 20:36
Beitrag
#6
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 172 Mitglied seit: 13.02.2007 Mitglieds-Nr.: 5.833 Betriebssystem: Windows XP Virenscanner: KIS 2009 Firewall: KIS 2009 |
Auf alle Fälle ruft die rundll32.exe die API "LaunchINFSectionEx" mit den Parametern "Quiet mode" und "Never reboot" auf und lädt die Datei "C:\nLite.inf" (bin mir beim Pfad unsicher) für weitere Anweisungen. Hilft dir das etwas weiter? Hmmm, wenn ich ehrlich bin nein, werde aber mal nach den Einträgen googlen evtl ergibt sich da etwas. Könnte es sein wenn man eine Installation verwendet die mit NLite bearbeitet wurde? KIS und MBAM sowie ASquared finden keinerlei Sachen auf meinem Rechner. Sieht so aus, als ob DNS erst an deinen Router gehen und dann zum DNS-Server 80.69.100.138. Der ist aber offline. Du könntest die Namensauflösung beschleunigen, wenn du zwei manuelle DNS-Server händisch bei den TCP/IP- Einstellungen einträgst. Du sagst du hast das schon gemacht - der Log sagt aber etwas Anderes, check nochmal pls. Gruß, Scrapie Ja genau so hatte ich es in den Netzwerkeinstellungen eingegeben. Hatte diese 80er IP mal ergoogled, und dann manuell eingegeben weil ich Probleme hatte mich im utorrent connectable zu machen und das hat wenigstens geholfen. Was würdest du mir denn genau raten da einzugeben. Der Beitrag wurde von schopili bearbeitet: 08.03.2009, 20:42 |
|
|
08.03.2009, 20:59
Beitrag
#7
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.694 Mitglied seit: 15.04.2003 Wohnort: Hamburg Mitglieds-Nr.: 13 Betriebssystem: win2k, XP, Vista Virenscanner: keinen Firewall: keine |
ZITAT O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') Ist bei mir auf einem PC auch so. ZITAT Könnte es sein wenn man eine Installation verwendet die mit NLite bearbeitet wurde? ja -------------------- Lust auf Telefonsex? Unbeschwert nur hier. Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
|
|
08.03.2009, 21:06
Beitrag
#8
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 172 Mitglied seit: 13.02.2007 Mitglieds-Nr.: 5.833 Betriebssystem: Windows XP Virenscanner: KIS 2009 Firewall: KIS 2009 |
Hi,
na da bin ich ja nach dem unbemerkte nKeylogger dessen Herkunft unbekannt war beruhigt :-) |
|
|
09.03.2009, 17:37
Beitrag
#9
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.778 Mitglied seit: 02.02.2006 Wohnort: Uelzen Mitglieds-Nr.: 4.352 Betriebssystem: Windows 10 Pro 64 Bit Virenscanner: Emsisoft Anti-Malware Firewall: Windows 10 |
ZITAT(klaus_ue) O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') ZITAT(schopili) O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') Bei schopli sind die Einträge alle doppelt vorhanden. Bei mir nicht, obwohl Windows XP auch mit n-lite neu aufgesetzt. ZITAT O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe Nebenbei bemerkt: O&O Defrag muss aber nicht unbedingt im Autostart laufen. Persönlich habe ich den Dienst auf manuell gesetzt. Everest Ultimate muss auch nicht unbedingt immer mitgestartet werden. Das kannst du z. B. sehr gut mit autoruns von Microsoft (Sysinternals) einstellen. Der Beitrag wurde von klaus_ue bearbeitet: 09.03.2009, 17:43 -------------------- |
|
|
10.03.2009, 09:33
Beitrag
#10
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 172 Mitglied seit: 13.02.2007 Mitglieds-Nr.: 5.833 Betriebssystem: Windows XP Virenscanner: KIS 2009 Firewall: KIS 2009 |
Hi,
das Everest ist im Autostart weil ich immer den Temperaturüberblick über die Komponenten haben möchte und es nicht manuell starten möchte und das =&= läuft auch immer im HG da es dort die Festplatten bearbeitet. Greetz |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 14.05.2024, 19:02 |