Hallo Allerseits,

heute schaute ich mir die wininit.ini an [BS = Windows 2000 pr.] - und fand folgende Einträge:

[Rename]
NUL=C:\DOKUME~1\...\LOKALE~1\Temp\~nsu.tmp\Au_.exe
NUL=C:\DOKUME~1\...\LOKALE~1\Temp\~nsu.tmp\Bu_.exe
NUL=C:\DOKUME~1\...\LOKALE~1\Temp\~nsu.tmp\Au_.exe

Es exisitiert auf der Festplatte zurzeit nur der leere Ordner ~nsu.tmp

Fragen zum Verständnis:

1. Ist so ein Eintrag eher ein Schutz vor Trojaner, um Trojaner-Hilfsdateien zu löschen (glaub ich weniger). Oder
2. ist der Eintrag Teil einer Trojaner-Inst.-Prozedur.

Ich habe vor die Einträge zu löschen.

Als Virenschutz(scanner) und Firewall habe ich von G-Data das Antivirenkit Internet-Security 2005 (mit Kaspersky-AVScanner drauf) auf dem PC.

Besonderheit: Ein paar Programme aus dem Internet waren ´mal verseucht, aber einer Infektion wurde vorgebeugt.

Was meint Ihr zu den Einträgen? Weiterverfolgen?

Gruß

Bernhard

ich hab nur mal gegoogelt und das kam dabei raus:

AU_.EXE = SpyAxe, SpyAxe Software Installer !!

Das sagt alles, oder?? :aplaus:

Also ein Teil des Installationsprogramms für Spyaxe bzw. Spyfalcon.

Schick doch mal ein Hijack Log und einer der Moderatoren wird sich spätestens dann darauf melden ....

Oder aber er bekommt den durchaus weisen Ratschlag die Bordsuche zu verwenden oder Google zu bemühen.Beides ist bei Spyaxe angezeigt und wird ihm helfen die Sache zu regeln.
Irrlicht

Zitat:

Zitat von Bernhard-Sch

Ein paar Programme aus dem Internet waren ´mal verseucht, aber einer Infektion wurde vorgebeugt.

Welche Programme?
Wie wurde einer Infektion vorgebeugt?
Welche Tools hast du schon über das System laufen lassen?

Danke für die Tipps,

nutzen tue ich Firefox 1.501. Den IE nutze ich nur für ganz wenige spezielle Intranet-Seiten, die sich schon immer Mozilla bzw. Firefox verweigern [unterliegt nicht meinen Einfluß leider].

Gelegentlich schaue ich mit Trojancheck.de geänderte Einträge an. Nun weiß ich immer noch nicht ganz sicher, ob ich die Nul=... -Einträge löschen soll...

@Bilbo: Die G-Data-Software im Hintergrund, vgl. auch Logfile. Einmal im Vierteljahr brenne ich mit der Software eine selbststartende Antivirusscan-CD mit den aktuellen Signaturen. Autostart der CD (Virusscan) mit Linux als BS.

@[Gc]Sunny: Doch jetzt wie gewünscht das Highjack-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:01:05, on 2006-03-03
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\cports\cports.exe
C:\Programme\WinRAR\WinRAR.exe
C:\test\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Irgendwo im Nirgendwo
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINNT\system32\SiPlugins.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Firewall.lnk = C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C29F3282-B5F3-44B1-B411-87981045C580} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C29F3282-B5F3-44B1-B411-87981045C580} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O15 - Trusted Zone: http://www.amazon.de
O15 - Trusted Zone: http://www.arcor.de
O15 - Trusted Zone: http://*.comdirect.de
O15 - Trusted Zone: http://www.hr-online.de
O15 - Trusted Zone: http://www6.hr-online.de
O15 - Trusted Zone: http://*.icq.com
O15 - Trusted Zone: http://focus.msn.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C4FF40C-4FA4-4191-93F0-D6FBD364167A}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe

Was bedeutet eigentlich HKLM\System\CCS\Services\Tcpip\..\{9C4FF40C-4FA4-4191-93F0-D6FBD364167A}: NameServer = 195.50.140.252 195.50.140.114 eigentlich. Adresse ?

Ist ein Scan mit Startuplist sinnvoll [riesige Liste in "Hosts"]?

Ich bin auf Eure Kommentare gespannt. Mir scheint wenig verdächtig. Lediglich cports.exe (Current Ports) gibt so ein Zeug her wie:

==================================================
Prozessbezeichnung: lsass.exe
Prozess-ID : 316
Protokoll : UDP
Lokaler Port : 500
Lokaler Port-Name : isakmp
Lokale Adresse : 169.254.128.138
Remote-Port :
Remote Port-Name :
Remote-Adresse :
Remote-Hostname :
Status :
Prozesspfad : C:\WINNT\system32\lsass.exe
Produktbezeichnung: Betriebssystem Microsoft(R) Windows (R) 2000
Dateibeschreibung : LSA-Exe und Server-DLL
Dateiversion : 5.00.2195.7011
Hersteller : Microsoft Corporation
Prozess erzeugt am: 2006-03-03 21:54:26
Benutzername : NT-AUTORITÄT\SYSTEM
Prozessesdienste : PolicyAgent, SamSs
Prozessattribute : A
==================================================

Lokale Port-Adresse 169.254.128.138?

So eine Datenfülle kann ganz schön verwirren,

Gruß

Bernhard

Nachtrag:
=======


Hallo Allerseits,

ihr habt mich noch auf eine Idee gebracht; ich hab´mal die Registry nach dem Begriff "spy" mit folgenden Ergebnissen (alle Nennungen mehrfach) durchsucht:
* SpybotSD (bzw. ausgeschrieben)
* xp-Antispy
* Microsoft.AntiSpyware.Trust

ferner

* GIANTCompany
Unterschlüssel Antispyware
mit
gcasDtServStartTime = 2005-09-20 21:45:12
ServState=0

und

* SPYINST.EXE
mit
DLLPatch-x, RGZ=
x, Reg_binary = 0c 00 00 00 00 00 00 00 06 00 00 00 00 00 00 00

Vielleicht sind die Schlüssel mit GiantCompany ja Anti-Spyware-Schlüssel und ich Dödel hab´die Programme mal benutzt - Alzheimer in Verbindung mit Sicherheitsneuröslein? Ein Programm Spyinst.* konnte ich nirgends finden: Papierkorb geleert, Festplattenscan und der Ordner "System Volume Information" ist auch leer (fast, die Track.log-Datei ist natürlich noch da).

Und jetzt?

Ist Dein ISP (internet Service provider) "ARCOR" ????

Wenn ja, dann erklärt es diese Zeile!

"Was bedeutet eigentlich HKLM\System\CCS\Services\Tcpip\..\{9C4FF40C-4FA4-4191-93F0-D6FBD364167A}: NameServer = 195.50.140.252 195.50.140.114 eigentlich. Adresse ? "

@ [GC]Sunny: Klasse, Arcor ist richtig. Dieser Arcor-Butler scheint gern nach Hause zu funken und mich "Unwissenden" zu verwirren. Langsam komme ich mir wie Don Quichote vor.

Insgesamt glaube ich, dass ich keine Spyware auf dem PC habe.

Und die Wininit.ini-Einträge lösche ich jetzt.

Danke auch für die Info darüber, welches Spionage-Programm sich breit machen wollte.

Viele Grüsse

Bernhard

ich bin zwar (noch) kein Profi was das überprüfen eines Hijack Logs betrifft, doch würde ich folgende Zeilen überprüfen lassen und zwar von einen unserer Admins hier ...

Möchte hier keinen Ärger kriegen

O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINNT\system32\SiPlugins.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: WebFilter-Leiste -{75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C29F3282-B5F3-44B1-B411-87981045C580} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C29F3282-B5F3-44B1-B411-87981045C580} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)

das sollte es sein , wie man diese Einträge aber löscht lass dir von nem Moderator erklären, werde mich diesbezüglich explizit enthalten!!!

Das meiste sind toolbars, bzw der Downloadmanager "Flashget" ist werbefinanziert! Kostenlose Spy- und Malware "könnten" vorprogrammiert sein ... SO NUN ABER GENUG !!!

Nun,

diesen Prozess hatte ich auch mal im Task-Mgr.
Aber seit nem Neustart ist der weg, und auch in der Registry nach der Suche nach dem Begriff "Spy": Ein Schlüssel, aber der ist Leer (Name: Wert: 0)
Kaspersky CBE 10: Der Computer ist sicher.
Aber meine Schlußfolgerung:
---Der Prozess "Au_.exe" ist der Initialisierungsprozess von HyperCam.

Danke für das lesen, und ich hoffe die AW war hilfreich.

alias203

Zitat:

Zitat von alias203

Danke für das lesen, und ich hoffe die AW war hilfreich.

Wow...
Da wird sich der TO nach 4½ Jahren bestimmt freuen...

Zitat:

Zitat von Halbstark

Wow...
Da wird sich der TO nach 4½ Jahren bestimmt freuen...

jep so isset.