|
Wininit.ini NUL=... au_.exe Hallo Allerseits, heute schaute ich mir die wininit.ini an [BS = Windows 2000 pr.] - und fand folgende Einträge: [Rename] NUL=C:\DOKUME~1\...\LOKALE~1\Temp\~nsu.tmp\Au_.exe NUL=C:\DOKUME~1\...\LOKALE~1\Temp\~nsu.tmp\Bu_.exe NUL=C:\DOKUME~1\...\LOKALE~1\Temp\~nsu.tmp\Au_.exe Es exisitiert auf der Festplatte zurzeit nur der leere Ordner ~nsu.tmp Fragen zum Verständnis:
Ich habe vor die Einträge zu löschen. Als Virenschutz(scanner) und Firewall habe ich von G-Data das Antivirenkit Internet-Security 2005 (mit Kaspersky-AVScanner drauf) auf dem PC. Besonderheit: Ein paar Programme aus dem Internet waren ´mal verseucht, aber einer Infektion wurde vorgebeugt. Was meint Ihr zu den Einträgen? Weiterverfolgen? :kloppen: Gruß Bernhard |
ich hab nur mal gegoogelt und das kam dabei raus: AU_.EXE = SpyAxe, SpyAxe Software Installer !! Das sagt alles, oder?? :aplaus: Also ein Teil des Installationsprogramms für Spyaxe bzw. Spyfalcon. Schick doch mal ein Hijack Log und einer der Moderatoren wird sich spätestens dann darauf melden .... :D |
Oder aber er bekommt den durchaus weisen Ratschlag die Bordsuche zu verwenden oder Google zu bemühen.Beides ist bei Spyaxe angezeigt und wird ihm helfen die Sache zu regeln. Irrlicht |
Zitat:
Welche Programme? Wie wurde einer Infektion vorgebeugt? Welche Tools hast du schon über das System laufen lassen? ;) |
Danke für die Tipps, nutzen tue ich Firefox 1.501. Den IE nutze ich nur für ganz wenige spezielle Intranet-Seiten, die sich schon immer Mozilla bzw. Firefox verweigern [unterliegt nicht meinen Einfluß leider]. Gelegentlich schaue ich mit Trojancheck.de geänderte Einträge an. Nun weiß ich immer noch nicht ganz sicher, ob ich die Nul=... -Einträge löschen soll... @Bilbo: Die G-Data-Software im Hintergrund, vgl. auch Logfile. Einmal im Vierteljahr brenne ich mit der Software eine selbststartende Antivirusscan-CD mit den aktuellen Signaturen. Autostart der CD (Virusscan) mit Linux als BS. @[Gc]Sunny: Doch jetzt wie gewünscht das Highjack-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 23:01:05, on 2006-03-03 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\WINNT\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINNT\system32\regsvc.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINNT\system32\ctfmon.exe C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe C:\Programme\ArcorOnline\Arcor.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\cports\cports.exe C:\Programme\WinRAR\WinRAR.exe C:\test\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Irgendwo im Nirgendwo R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINNT\system32\SiPlugins.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Startup: Firewall.lnk = C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C29F3282-B5F3-44B1-B411-87981045C580} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C29F3282-B5F3-44B1-B411-87981045C580} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU) O15 - Trusted Zone: http://www.amazon.de O15 - Trusted Zone: http://www.arcor.de O15 - Trusted Zone: http://*.comdirect.de O15 - Trusted Zone: http://www.hr-online.de O15 - Trusted Zone: http://www6.hr-online.de O15 - Trusted Zone: http://*.icq.com O15 - Trusted Zone: http://focus.msn.de O17 - HKLM\System\CCS\Services\Tcpip\..\{9C4FF40C-4FA4-4191-93F0-D6FBD364167A}: NameServer = 195.50.140.252 195.50.140.114 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe Was bedeutet eigentlich HKLM\System\CCS\Services\Tcpip\..\{9C4FF40C-4FA4-4191-93F0-D6FBD364167A}: NameServer = 195.50.140.252 195.50.140.114 eigentlich. Adresse ? Ist ein Scan mit Startuplist sinnvoll [riesige Liste in "Hosts"]? Ich bin auf Eure Kommentare gespannt. Mir scheint wenig verdächtig. Lediglich cports.exe (Current Ports) gibt so ein Zeug her wie: ================================================== Prozessbezeichnung: lsass.exe Prozess-ID : 316 Protokoll : UDP Lokaler Port : 500 Lokaler Port-Name : isakmp Lokale Adresse : 169.254.128.138 Remote-Port : Remote Port-Name : Remote-Adresse : Remote-Hostname : Status : Prozesspfad : C:\WINNT\system32\lsass.exe Produktbezeichnung: Betriebssystem Microsoft(R) Windows (R) 2000 Dateibeschreibung : LSA-Exe und Server-DLL Dateiversion : 5.00.2195.7011 Hersteller : Microsoft Corporation Prozess erzeugt am: 2006-03-03 21:54:26 Benutzername : NT-AUTORITÄT\SYSTEM Prozessesdienste : PolicyAgent, SamSs Prozessattribute : A ================================================== Lokale Port-Adresse 169.254.128.138? So eine Datenfülle kann ganz schön verwirren, Gruß Bernhard :confused: |
Nachtrag: ======= Hallo Allerseits, ihr habt mich noch auf eine Idee gebracht; ich hab´mal die Registry nach dem Begriff "spy" mit folgenden Ergebnissen (alle Nennungen mehrfach) durchsucht: * SpybotSD (bzw. ausgeschrieben) * xp-Antispy * Microsoft.AntiSpyware.Trust ferner * GIANTCompany Unterschlüssel Antispyware mit gcasDtServStartTime = 2005-09-20 21:45:12 ServState=0 und * SPYINST.EXE mit DLLPatch-x, RGZ= x, Reg_binary = 0c 00 00 00 00 00 00 00 06 00 00 00 00 00 00 00 Vielleicht sind die Schlüssel mit GiantCompany ja Anti-Spyware-Schlüssel und ich Dödel hab´die Programme mal benutzt - Alzheimer in Verbindung mit Sicherheitsneuröslein? Ein Programm Spyinst.* konnte ich nirgends finden: Papierkorb geleert, Festplattenscan und der Ordner "System Volume Information" ist auch leer (fast, die Track.log-Datei ist natürlich noch da). Und jetzt? |
Ist Dein ISP (internet Service provider) "ARCOR" ???? Wenn ja, dann erklärt es diese Zeile! "Was bedeutet eigentlich HKLM\System\CCS\Services\Tcpip\..\{9C4FF40C-4FA4-4191-93F0-D6FBD364167A}: NameServer = 195.50.140.252 195.50.140.114 eigentlich. Adresse ? " |
@ [GC]Sunny: Klasse, Arcor ist richtig. Dieser Arcor-Butler scheint gern nach Hause zu funken und mich "Unwissenden" zu verwirren. Langsam komme ich mir wie Don Quichote vor. :party: Insgesamt glaube ich, dass ich keine Spyware auf dem PC habe. Und die Wininit.ini-Einträge lösche ich jetzt. Danke auch für die Info darüber, welches Spionage-Programm sich breit machen wollte. Viele Grüsse Bernhard |
ich bin zwar (noch) kein Profi was das überprüfen eines Hijack Logs betrifft, doch würde ich folgende Zeilen überprüfen lassen und zwar von einen unserer Admins hier ... Möchte hier keinen Ärger kriegen :bussi: O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINNT\system32\SiPlugins.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: WebFilter-Leiste -{75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C29F3282-B5F3-44B1-B411-87981045C580} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C29F3282-B5F3-44B1-B411-87981045C580} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU) das sollte es sein , wie man diese Einträge aber löscht lass dir von nem Moderator erklären, werde mich diesbezüglich explizit enthalten!!! Das meiste sind toolbars, bzw der Downloadmanager "Flashget" ist werbefinanziert! Kostenlose Spy- und Malware "könnten" vorprogrammiert sein ... SO NUN ABER GENUG !!! |
Nun, diesen Prozess hatte ich auch mal im Task-Mgr. Aber seit nem Neustart ist der weg, und auch in der Registry nach der Suche nach dem Begriff "Spy": Ein Schlüssel, aber der ist Leer (Name: Wert: 0) Kaspersky CBE 10: Der Computer ist sicher. Aber meine Schlußfolgerung: ---Der Prozess "Au_.exe" ist der Initialisierungsprozess von HyperCam. Danke für das lesen, und ich hoffe die AW war hilfreich. alias203 |
Zitat:
Da wird sich der TO nach 4½ Jahren bestimmt freuen... :lach: |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board