Hallo, ja nun habe ich auch mal eine Frage.
Da ja, als ich im Krankenhaus verweilen musste, einige Personen auch an meinem Arbeitsrechner waren, haben sie einiges verstellt.
Und ich bin nun, da zwei Monate Ausfall, nicht mehr ganz auf der Höhe der Zeit!
Nun zur Sache, ich habe im Hijackthis, einen Eintrag, den ich nicht interpretieren kann.
Ich vermute, weiß es aber nicht, dass das mit der Netzwerkeinstellung von VM ware zu tun hat, ich habe da „Use bridged networking“ eingestellt.
So nun mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:28:28, on 01.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
H:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\clapton\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119904152111
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - H:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe


O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

Ja, mit dem Eintrag, kann ich nichts anfangen!
Schon mal vielen Dank für die Hilfe.
Liebe Grüße, Charlie und ein schönes WE.

[edit]
links entfernt
[/edit]

Hallo,

ich hab zwar nicht viel Ahnung von dem allem (fast gar keine ^^), jedoch hab ich denLog einfach mal bei
http://www.hijackthis.de/index.php?langselect=english
eingegeben ... Also genau der Eintrag den du da hast der wird als "böse" angezeigt.

Die engliche Beschreibung davon:
These entries shows all services which are not from Microsoft. Often malware is starting as a systemservice and it's not easy to detect it.

Also meiner meinung nach solltest du dringendst fixen.

Aber naja... vertrau mir selbst nicht ganz richtig ... vllt. gibt ja auch jemand anderes seine meinung noch dazu!

Ich hoffe ich konnt en bissel helfen falls es richtig ist was ich hier geschrieben hab.

Mfg contestedgenius

Hallo, erst einmal vielen Dank für deine Bemühungen.
Ja, aber ich bin kein Freund der automatischen Auswertung, den die macht mir zu viele Fehler, positiv, sowie auch negativ.
Was mich etwas irritiert ist, warum wird dieser Eintrag überhaupt erzeugt?
Denn ich habe weder auf dem Hostsystem noch Gastsystem die Win-FW aktiviert, ja das ganze Sicherheitscenter ist bei beiden Systemen deaktiviert.
Ja und mit fixen bin ich nicht so schnell, habe natürlich BA, auch sonst Sicherrungen, wie ein sauberes Image, aber ich möchte halt immer erst wissen was es ist und warum?
Ja und machen tut das“Teil“ gar nichts, denn mein Sniffer zeigt keinerlei Aktivitäten, weder im LAN, noch im WAN!
Ein HJT meiner Virtuellen Maschine folgt gleich, aber die muss ich erst mal starten.
Also bis gleich, liebe Grüße, Charlie.

Nachtrag:

Logfile of HijackThis v1.99.1
Scan saved at 10:51:10, on 03.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VMware\VMware Tools\VMwareTray.exe
C:\Programme\VMware\VMware Tools\VMwareUser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\VMware\VMware Tools\VMwareService.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HJT\HijackThis.exe

O4 - HKLM\..\Run: [VMware Tools] C:\Programme\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware Tools\VMwareUser.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Programme\VMware\VMware Tools\VMwareService.exe

Hey charlie!
Hau den Eintrag doch einfach raus. Der ist nicht böse sondern einfach überflüssig, weil die dazugehörige Datei schlichtweg fehlt.
cacatoa

Hallo Cacatoa, ja die Datei muss ja fehlen, denn ich habe ja die FW’s abgeschalten.
Aber das lustige ist, der Eintrag lässt sich mit HJT nicht fixen, Systemwiederherstellung ist deaktiviert, ja dass weiß ich noch.
Meine Güte, über zwei Monate keinen PC unter den Fingern und man fängt von Vorne wieder an, dass hätte ich vor Monaten noch mit Links gemacht.
Liebe Grüße und noch ein schönes Restwochenende, wünscht Charlie.

Hi Charlie,

nun enttäuscht du mich aber...
Du weißt, daß es sich bei den O23 Einträge um Dienste handelt?
Wie beendet man diesen Dienst?
Genau...

Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf 'Windows-Firewall/Gemeinsame Nutzung der Internetverbindung' -> Eigenschaften -> 'Starttyp' deaktiviert und 'Dienststatus' beenden einstellen -> Übernehmen

Somit verschwindet auch der Eintrag...

Danke Cidre, ich Rindvieh, und schon ist Ruhe in der Kiste, meine Güte Charlie, Charlie, welche Blamage!!
Wer weiß, was die bei meiner OP noch so alles entfernt haben, sollte eventuell auf mein Gehirn ein gutes Backup aufspielen!
Liebe Grüße, Charlie

hey charlie1

Hast du schon irgendwelsche Einträge gefixt oder Dateien gelöscht?
#PC neustarten & poste mal dein aktuelle HijackThis Log

Gruss
Expert

Hallo @ All, da ich ja ein sturer Bock bin, gebe ich ja nicht zeitiger Ruhe, bis ich die Ursache gefunden habe, koste es, was es wolle, in dem Falle, halt zwei Tage.
Nun habe ich es endlich, zwei Fehler meinerseits!
Ich hatte bei VW ware Netzwerkeinstellungen, versehendlich, NAT eingestellt, oder es wurde in meiner Abwesenheit geändert.
Bei dieser Einstellung nutzt das Gastsystem die Netzwerkeinstellungen des Hostbetriebssystems um mit dem Netzwerk oder Internet zu kommunizieren, das war die genaue Ursache, des Eintrages und kein Bug von HJT, sondern einer meinerseits.
Es gibt ja für Alles eine Ursache und die will ich immer wissen, bin nu mal so, aber das mit den Diensten beenden ist mir jetzt noch peinlich, danke Cidre, dass hätte ich nun wirklich wissen müssen!
LG, Charlie