hallo profis!
könntet ihr bitte meine log-file überprüfen?
bei der automatischen auswertung wurden diese beiden meldungen als unbekannt:
C:\WINDOWS\System\Inst.exe
O4 - HKLM\..\Run: [Inst] C:\WINDOWS\System\Inst.exe install

ich hoffe ihr könnt mir helfen.

gruß becherbaer



Logfile of HijackThis v1.99.1
Scan saved at 08:03:46, on 04.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\System\Inst.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Install\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Inst] C:\WINDOWS\System\Inst.exe install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF3C3CB5-0182-4944-82D7-127146740C49}: NameServer = 217.237.150.225 217.237.150.188
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Guten Morgen,

Google ist sehr Hilfreich......

Du hast diesen im System.
Er hat Backdoor Funktionen, deswegen hilft nur eine Neuafsetzung Deines Systems. Alles wichtige findest du in meiner SIG!

Zur Sicherheit kannst du die Datei aber mal bei Virustotal und Jotti auswerten lassen und das Ergebnis mitteilen!


Gruß Mellosun

kann ich die neuaufsetzung nicht umgehen?

ich habe die datei inst.exe auf beiden seiten durchlaufen lassen.
keinen virus gefunden....

bist du sicher das es ein wurm ist?

Zitat:

Zitat von becherbaer

kann ich die neuaufsetzung nicht umgehen?

Klar kannst du das.

Aber wenn dann die Lieben, Netten Grünen Leute vor Deiner tür stehen, Deinen Rechner beschlagnahmen, weil er als Zwischenlager für Kinderpornografie u.ä. genutzt wurde, sagst du sicher:

Hätte ich mal mein System, was jetzt auch mein System sein könnte, Neuaufgesetzt. Weißt du, welche Türen Dein Besucher bei Dir geöffnet hat und was schon alles mit Deinem Rechner angestellt wurde?

Du kommst hier her, um Hilfe zu bekommen, und der Rat der Dir gegeben wird, ist der einzig Vernünftige.....alles andere ist Grob Fahrlässig. Wenn Deine Bremsen am Auto runter sind, lässt du sie doch auch erneuern oder? Und warum? Weil es ein Sicherheitsrisiko ist, mit dem du nicht nur Dich, sonsern auch andere Menschen gefährdest. Genauso ist es mit Deinem Rechner!

Gruß Mellosun


EDIT: Wenn beide Datein sauber sind, dann hast du wahrscheinlich Glück gehabt. Wie gesagt, war mir nicht sicher, da unterscheidliche Meinungen über die Datei zu finden sind!

ich habe das system noch auf einer zweiten platte im original zustand.
also direkt nach dem Neuaufsetzen und dort befindet sich auch diese datei.
wie kann das sein?

Na ja, es gibt natürlich so schlaue Leute, die einen Wurm, Trojaner oder ähnliches Basteln. Um diesen zu schützen, praktisch Unsichtbar zu machen, lassen sie sich namen für die Datein einfallen, die im Windows System vorhanden sind.

Wenn Jotti und Virustotal nichts in der Datei gefunden hat, brauchst du Dir darüber keine Sorgen zu machen!


Gruß Mellosun

ich hab nochmal im netz gewühlt!
http://www.file.net/prozess/inst.exe.html

diese datei wird vom treiber meiner infrarot-schnittstelle erstellt.
scheint also harmlos zu sein.

tut mir leid, ich hätte vielleicht gleich mal etwas intensiver im netz schauen sollen. wer googlelt hat den dreh schnell raus.

trotzdem danke für deine schnelle hilfe!!

Kein Thema, weißt ja jetzt, wie es geht und so wird Dir bestimmt einiges Leichter fallen!


Gruß Mellosun