Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   merkwürdiger HJT-Eintrag (https://www.trojaner-board.de/71786-merkwuerdiger-hjt-eintrag.html)

KaPh 06.04.2009 18:36
merkwürdiger HJT-Eintrag
 
Hallo,

ich habe gerade ein neues System eingerichtet und dann einen merkwürdigen Eintrag im Autostart entdeckt. Es handelt sich um den "[GEST] m’|\ü"-Eintrag im folgenden HJT-Logfile

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:12, on 06.04.2009
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\VMware\VMware Server\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\VMware\VMware Server\vmserverdWin32.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [EasyTuneVI] C:\Programme\GIGABYTE\ET6\ETcall.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmserverdWin32.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 5246 bytes
Kann mit diesem Eintrag nichts anfangen und würde ihn mit "Autoruns" entfernen. Habe dann noch "mbam" laufen lassen, welches leider fündig wurde; mit folgendem Logfile

Code:
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3, v.3264

06.04.2009 17:11:10
mbam-log-2009-04-06 (17-10-44).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 168444
Laufzeit: 31 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Ich weiß nicht, was mir diese Einträge sagen, und kenne mich mit mbam auch nicht aus. Würde mich freuen, wenn mir jemand weiter helfen kann.

Beste Grüße, Phil

nochdigger 07.04.2009 05:43
Hallo und :hallo:

der Eintrag
Zitat:
O4 - HKLM\..\Run: [GEST] m’|\ü
sollte von Gigabyte stammen, ebenso wie dieser
Zitat:
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
und wenn du jetzt noch ein Motherboard von Gigabyte verbaut und dessen Treiber installiert hast, könnte das passen.

MFG

KaPh 07.04.2009 11:25
Yep, das stimmt. Vielen Dank für den Hinweis. :daumenhoc

Was mich allerdings noch verwirrt: Warum verweist der Eintrag nicht auf eine exe? Wenn ich ihn aus dem Autostart nehme, bootet mein Rechner wie gewohnt. Kann es sein, dass der Eintrag überflüssig ist?

Zudem kann ich mit der Meldung von mbam nichts anfangen. Ich erkenne eigentlich keine Anzeichen, dass mein System infiziert ist und bin mir nicht sicher, wie ich mit den "Infizierte Dateiobjekte der Registrierung" verfahren soll.
Ist dies wirklich ein Hinweis auf einen Virus, oder kann es sich um einen Verweis auf etwas anderes handeln? (z.B. habe ich Win-Update deaktiviert)
Meine Frage also: Was sind "Dateiobjekte der Registrierung" und kann ich diese gefahrlos mit mbam entfernen? :confused:

Würde mich über eine Antwort freuen, auch wenn andere hier im Forum vermutlich mit schwerwiegenderen Problemen zu kämpfen haben.
Vielen Dank im voraus und beste Grüße

nochdigger 07.04.2009 17:11
Hallo

Zitat:
Was mich allerdings noch verwirrt: Warum verweist der Eintrag nicht auf eine exe? Wenn ich ihn aus dem Autostart nehme, bootet mein Rechner wie gewohnt. Kann es sein, dass der Eintrag überflüssig ist?
kann sein, ich kann es dir nicht sagen, aber der Verdacht, dass es sich um ein Gigabyteeintrag handelt, lag sehr nah.

Zitat:
Zudem kann ich mit der Meldung von mbam nichts anfangen. Ich erkenne eigentlich keine Anzeichen, dass mein System infiziert ist und bin mir nicht sicher, wie ich mit den "Infizierte Dateiobjekte der Registrierung" verfahren soll.
Ist dies wirklich ein Hinweis auf einen Virus, oder kann es sich um einen Verweis auf etwas anderes handeln? (z.B. habe ich Win-Update deaktiviert)
Meine Frage also: Was sind "Dateiobjekte der Registrierung" und kann ich diese gefahrlos mit mbam entfernen?
Ich denke auch, dass das der Grund für die Meldungen von MBAM ist.
Aktiviere die automatischen Updates und bringe ihn bei, dass du für Firewall und Antivirenprogramm sorgst;).
Anschließend nochmal mit MBAM kontrollieren.

MFG


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55