Bitte um Logfileauswertung Einstellungen

[schopili]

Hi,
leider konnte ich eine nEintrag nicht identifizieen bzw die Onlineauswertung und ich bitte deswegen um eure Mithilfe. Wäre evtl nett wenn ihr euch einmal den kompletten Log anschaut bevor ich sage was bei HJT unbekannt in der Einstufung war.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:02:06, on 08.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\oodtray.exe
C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\Synkron\Synkron.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sandboxie\SandboxieRpcSs.exe
C:\Programme\Sandboxie\SandboxieDcomLaunch.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
W:\U TORRENT\utorrent161.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Synkron.lnk = C:\Programme\Synkron\Synkron.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A40A478-A5A6-41D4-ACE5-0241A7DBD7F5}: NameServer = 192.168.0.1,80.69.100.138
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 5177 bytes

[Rios]

Hast du ein bestimmtes Problem, oder geht es dir nur um einen speziellen Eintrag?
z.B. 04 Eintrag

[Gast_Scrapie_*]

Hi

1.) FNPLicensingService.exe ist mir unbekannt. Googeln kannst du selber, ob du die entsprechende Software installiert hast.

2.) Du hast vier Starteinträge bei RunOnce für alle vier Benutzer deines Systems. Hast du was deinstalliert oder installiert ohne seitdem einen Neustart gemacht zu haben? Normal findet sich hier nur ein Eintrag für den nächsten Start und wird dann ausgetragen.

3.) Dein zweiter DNS (neben deinem Router) ist offline. Stell z.B. 217.237.150.188 an erste Stelle und den Router an zweite. Ist schneller, weil bei DNS nicht noch der Router Vermittler spielen muss. Ich hab bei TCP/IP- Einstellungen den Router ganz raus genommen deswegen und die DNS-Server manuell vergeben.


Ansonsten konnte ich nur KIS als Schadsoftware erkennen


Scrapie

[schopili]

Hi

1.) FNPLicensingService.exe ist mir unbekannt. Googeln kannst du selber, ob du die entsprechende Software installiert hast.

2.) Du hast vier Starteinträge bei RunOnce für alle vier Benutzer deines Systems. Hast du was deinstalliert oder installiert ohne seitdem einen Neustart gemacht zu haben? Normal findet sich hier nur ein Eintrag für den nächsten Start und wird dann ausgetragen.

3.) Dein zweiter DNS (neben deinem Router) ist offline. Stell z.B. 217.237.150.188 an erste Stelle und den Router an zweite. Ist schneller, weil bei DNS nicht noch der Router Vermittler spielen muss. Ich hab bei TCP/IP- Einstellungen den Router ganz raus genommen deswegen und die DNS-Server manuell vergeben.


Ansonsten konnte ich nur KIS als Schadsoftware erkennen


Scrapie

Hi,
FNP das passt, ist für Photoshop. 4 Benutzer? Ich bin der einzigste Benutzer auf meinem Sysdtem neben dem Gast Konto. Könnte evtl mit Sandboxie zusammenhängen?!?!?!? Seltsam.
Zu Punkt 3 weiss ich ehrlich gesagt nicht genau was du meinst^^ Vielleicht hilft es dir wenn ich sage dass ich die IP manuell vergeben habe und auch alternative DNS Server eingetragen habe. Meinst du das man den Standard DNS Server gegen den alternativen tauscht?

Der Eintrag der mir als unbekannt angezeigt wurde war folgender.

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')

Und mit KIS als Schadsoftware muss ich leben^^ Das ist einfach zu hartnäckig das Zeug :-)

[Gast_Scrapie_*]

4 Benutzer? Ich bin der einzigste Benutzer auf meinem Sysdtem neben dem Gast Konto.

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

Ja, fast
Ist schon okay so - nur warum der Eintrag gleich 4x auftauchen muss = ?
Auf alle Fälle ruft die rundll32.exe die API "LaunchINFSectionEx" mit den Parametern "Quiet mode" und "Never reboot" auf und lädt die Datei "C:\nLite.inf" (bin mir beim Pfad unsicher) für weitere Anweisungen. Hilft dir das etwas weiter?

Zu Punkt 3 weiss ich ehrlich gesagt nicht genau was du meinst^^ Vielleicht hilft es dir wenn ich sage dass ich die IP manuell vergeben habe und auch alternative DNS Server eingetragen habe. Meinst du das man den Standard DNS Server gegen den alternativen tauscht?

O17 - HKLM\System\CCS\Services\Tcpip\..\{2A40A478-A5A6-41D4-ACE5-0241A7DBD7F5}: NameServer = 192.168.0.1,80.69.100.138

Sieht so aus, als ob DNS erst an deinen Router gehen und dann zum DNS-Server 80.69.100.138. Der ist aber offline. Du könntest die Namensauflösung beschleunigen, wenn du zwei manuelle DNS-Server händisch bei den TCP/IP- Einstellungen einträgst. Du sagst du hast das schon gemacht - der Log sagt aber etwas Anderes, check nochmal pls.



Gruß,
Scrapie

[schopili]

Auf alle Fälle ruft die rundll32.exe die API "LaunchINFSectionEx" mit den Parametern "Quiet mode" und "Never reboot" auf und lädt die Datei "C:\nLite.inf" (bin mir beim Pfad unsicher) für weitere Anweisungen. Hilft dir das etwas weiter?

Hmmm, wenn ich ehrlich bin nein, werde aber mal nach den Einträgen googlen evtl ergibt sich da etwas. Könnte es sein wenn man eine Installation verwendet die mit NLite bearbeitet wurde? KIS und MBAM sowie ASquared finden keinerlei Sachen auf meinem Rechner.

Sieht so aus, als ob DNS erst an deinen Router gehen und dann zum DNS-Server 80.69.100.138. Der ist aber offline. Du könntest die Namensauflösung beschleunigen, wenn du zwei manuelle DNS-Server händisch bei den TCP/IP- Einstellungen einträgst. Du sagst du hast das schon gemacht - der Log sagt aber etwas Anderes, check nochmal pls.

Gruß,
Scrapie

Ja genau so hatte ich es in den Netzwerkeinstellungen eingegeben. Hatte diese 80er IP mal ergoogled, und dann manuell eingegeben weil ich Probleme hatte mich im utorrent connectable zu machen und das hat wenigstens geholfen. Was würdest du mir denn genau raten da einzugeben.

Der Beitrag wurde von schopili bearbeitet: 08.03.2009, 20:42

[Heike]

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

Ist bei mir auf einem PC auch so.

Könnte es sein wenn man eine Installation verwendet die mit NLite bearbeitet wurde?

ja

[schopili]

Hi,
na da bin ich ja nach dem unbemerkte nKeylogger dessen Herkunft unbekannt war beruhigt :-)

[klaus_ue]

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

Bei schopli sind die Einträge alle doppelt vorhanden. Bei mir nicht, obwohl Windows XP auch mit n-lite neu aufgesetzt.

O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe

Nebenbei bemerkt:
O&O Defrag muss aber nicht unbedingt im Autostart laufen. Persönlich habe ich den Dienst auf manuell gesetzt.
Everest Ultimate muss auch nicht unbedingt immer mitgestartet werden.

Das kannst du z. B. sehr gut mit autoruns von Microsoft (Sysinternals) einstellen.

Der Beitrag wurde von klaus_ue bearbeitet: 09.03.2009, 17:43

[schopili]

Hi,
das Everest ist im Autostart weil ich immer den Temperaturüberblick über die Komponenten haben möchte und es nicht manuell starten möchte und das =&= läuft auch immer im HG da es dort die Festplatten bearbeitet.

Greetz