Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Anti-Virenboard (https://www.dedies-board.de/wbb2/board.php?boardid=8)
--- Unbekannte Einträge in HjT (https://www.dedies-board.de/wbb2/thread.php?threadid=294)
Geschrieben von Selket am 06.05.2005 um 11:34:
Unbekannte Einträge in HjT
Nachdem mein Spielerechner mehrere Lanpartys hinter sich hat habe ich erstmal Antvir, Ad-Aware und Escan laufen lassen, gefunden wurde nichts.
Zur Sicherheit hab ich noch ein hijakthis logfile erstellt,laut der automatischen Auswertung gibt es 3 unbekannte Prozesse. So möchte ich den Rechner nicht wieder in mein Netzwerk einbinden
Logfile of HijackThis v1.99.1
Scan saved at 10:30:34, on 06.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\512i digital\512id.exe
C:\WINDOWS\StartupMonitor.exe
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Dokumente und Einstellungen\******\Desktop\hjt\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [512id] C:\Programme\512i digital\512id.exe /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O8 - Extra context menu item: Mit GetRight laden - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit GetRight-Browser öffnen - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - ****://-Web.Washer-/ie_add
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O15 - Trusted Zone: ****://www.mustek.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ****://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/w
uweb_site.cab?1105197607640
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINDOWS\System32\Wintab32.exe
Geschrieben von Selket am 06.05.2005 um 13:50:
| Zitat: |
| C:\Programme\512i digital\512id.exe |
|
,das konnte ich auch zuordnen
Aber was ist C:\WINDOWS\system32\UAService7.exe = ein Kopierschutz
wird der von Spielen installiert die diesen Kopierschutz haben
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file = genauso
ist doch ein leerer Eintrag,kann also weg?
Web.Washer ist gar nicht mehr installiert!
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe = hier auch noch
Sonst nichts verdächtiges? Und der Rechner kann wieder ans Netz
Geschrieben von MobyDuck am 06.05.2005 um 14:13:
| Zitat: |
| ein Kopierschutz (...) wird der von Spielen installiert die diesen Kopierschutz haben |
|
So ist es. Gehört zu Securom User Access. Soweit ich weiß, läuft das Teil als Dienst mit. Kannst ja mal nachsehen:
start -> ausführen "msinfo32" eingeben (ohne "") und dann zu Softwareumgebung -> Dienste
| Zitat: |
| O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F |
|
kann weg.
| Zitat: |
| O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe = |
|
Das ist auch so'n Kopierschutzteil, diesmal von Macrovision. Wird z.B. von Dreamweaver benutzt. Würde ich im Zweifel stehen lassen.
Ansonsten sehe ich nichts verdächtiges.
Geschrieben von deoroller am 06.05.2005 um 22:38:
@Selket
Machst du keine Imagesicherung, die du nach der LAN-Party einfach zurückschreiben kannst?
Das wäre wohl die sauberste und billigste Lösung. Außerdem werden damit Probleme beseitigt, bevor man sie überhaupt bemerkt.
Wegen der sarah.dll, mal hiermit versuchen zu reparieren:
http://www.spychecker.com/program/lspfix.html
Sicher die dll-Datei aber vorher.
Geschrieben von deoroller am 06.05.2005 um 22:48:
dann handelt es sich mal wieder um einen Bug in HJT 1.99.1.
Ich empfehle dringend einen weiteren Scan mit der Vorversion 1.99.
In letzter Zeit stolpert ma immer wieder auf Einträge "Unknown file in...".
Bei 1.99 werden sie seltsamerweise richtig erkannt.
Geschrieben von Selket am 07.05.2005 um 18:37:
| Zitat: |
| Wegen der sarah.dll, mal hiermit versuchen zu reparieren |
|
hab ich gemacht,aber dann geht -- C:\Programme\FRITZ!DSL\FwebProt.exe-- nicht mehr,habs wieder rückgänig gemacht (WebProt. neu konfiguriert ) dann ist die Dll wieder da,5 mal
Das ist auf meinen anderen PCs auch so (Ich habe alle Logfiles zum Vergleich gespeichert)
| Zitat: |
| Machst du keine Imagesicherung, |
|
daran hab ich noch garnicht gedacht
reicht dann von C:Windows ?
| Zitat: |
| Das Problem sollte mit der Version 1.99.2 behoben sein |
|
ich dachte meine Version sei aktuell,ich kann auch bei
keine neuere finden.
Geschrieben von Cidre am 07.05.2005 um 18:44:
| Zitat: |
| dann ist die Dll wieder da,5 mal grübeln Das ist auf meinen anderen PCs auch so |
|
Bei allen bis jetzt begutachteten Log-Files ist dies normal.
| Zitat: |
| reicht dann von C:Windows ? |
|
Nein, du musst die gesamte Systempartition, sprich C:\ sichern.
Siehe meinen Beitrag bei
protecus
| Zitat: |
| ich dachte meine Version sei aktuell,ich kann auch bei keine neuere finden. |
|
Sie ist auch die aktuellste Version. 1.99.2 wird aber irgendwann kommen.
Geschrieben von Bishop am 07.05.2005 um 19:02:
| Zitat: |
| Nein, du musst die gesamte Systempartition, sprich C:\ sichern. |
|
Und um ein langwieriges Neu-Installieren aller benötigten Programme zu vermeiden, empfiehlt sich auf jeden Fall auch die Programm-Partition zu sichern.[1]
Dazu noch die laufend anfallenden Daten, und du hast bei Bedarfsafall Ruck-Zuck ein frisches, aktuelles und sauberes System.
[1] Bei vernünftiger Partitionierung sollte das machbar sein.
mfg
Geschrieben von Selket am 07.05.2005 um 19:25:
| Zitat: |
| Bei vernünftiger Partitionierung sollte das machbar sein |
|
fürchte das ist eher nicht so
1. Platte 80Gb mit Win. und allen Programmen Paint Shop,Word,Antivir u.s.w.
2. Platte 200Gb mit zwei Partionen, nur Spiele
Geschrieben von Cidre am 07.05.2005 um 19:49:
@ Bishop
Full ACK.
@ Selket
Würde trotzdem funktionieren, auch wenn das Image sehr viel Speicherplatz belegen wird, aber du kannst es ja auf die 2. Platte ablegen.
Die 2. Platte brauchst du nicht zu sichern.
Geschrieben von Bishop am 07.05.2005 um 20:17:
| Zitat: |
| 1. Platte 80Gb mit Win. und allen Programmen Paint Shop,Word,Antivir u.s.w. |
|
Das ist ein Punkt, über den ich mir in deinem Fall Gedanken machen würde.
Strikte Trennung von System, Programmen, Daten und dergleichen vereinfacht die Sache ungemein. Da sind Partitionen hilfreich.
Und für die Datensicherung machen Partitionen ebenfalls Sinn.
mfg
Geschrieben von deoroller am 07.05.2005 um 20:28:
So sieht das bei mir aus:
3GB c:
gesichert auf f: (letztes Image) + DVD-RAM (3 Images)
Geschrieben von Vimes am 07.05.2005 um 22:40:
@Selket: Sind die Platten voll? Das kann ich mir kaum vorstellen. 80 GB mit Windows, Antivir und ähnlichem Kram? Du mußt monstermäßig installiert haben...
Ansonsten bildet ein Image natürlich nur den belegten Bereich ab, bei mir also von 15 GB für C nur die 7 GB, die bei Windows belegt sind.
MfG
Vimes
Geschrieben von Selket am 07.05.2005 um 22:42:
Das mehrere Partitionen sinvoller sind hab ich mir schon gedacht,aber jedesmal beim Neuaufsetzen wusste ich nicht wie groß z.B. die Partition für das System sein muß und hab's halt gelassen,war wohl nicht so eine tolle Idee
Geschrieben von Cidre am 07.05.2005 um 23:10:
Schau mal Selket, deoroller hat dieses Tutorial verfasst ->
| Zitat: |
c: System, 3GB - Windows 2000, Systemprogramme, Mediakomponenten, Treiber, Browser und Mail
d: Programme 1, 8GB - Anwendungsprogramme
e: Programme 2, 8GB - Spiele
f: Daten, 19GB - Archiv, Sicherungen, alles mögliche
g: Pagefile, 1GB - Auslagerungsdatei
h: DVD-ROM
i: DVD-Brenner
j: CD-RW
k: Wechselmedium (DVD-RAM) Es passen 3 Images von c: auf eine DVD-RAM. |
|
Quelle:
Sicherungsmaßnahmen zur Systemwiederherstellung
Geschrieben von Selket am 08.05.2005 um 23:38:
nein! natürlich nicht, 80 GB ist die Plattengröße,da dieser PC auser zum spielen auch zu Bildbearbeitung verwendet wird, ist schon einiges zusammengekommen,ca 40GB sind aber noch frei
Und die 200derter Platte ist etwa zu 2/3 voll mit Spielen
das Tutorial - Sicherungsmaßnahmen zur Systemwiederherstellung- lese ich mir bestimmt noch mal duch,für jetzt ist es ja zu spät,aber beim nächsten Neuaufsetzen werde ich das so machen.
Und
für eure Hilfe
Grüße an euch von Selket