[Systemfailure]

Krall dir die Datei doch mal damit, dann schauen wir mal.
Poste dann mal das Ergebnis, bin dann gleich wieder da, gehe jetzt essen *g*

http://www.wintotal....dex.php?id=2783

[GTSport]

Zitat (Witi: 13.08.2006, 18:50)

Wie wäre es wenn du mal mit dem ProcessExplorer nachguckst, welche Prozesse überhaupt auf diese Dateien zugreifen?

Wie mache ich das?

[ShadowHunter]

Zitat (misteranwa: 13.08.2006, 18:29)

Hallo

Habe aber gelesen das HJT auch gerne Spioniert. Deshlab mach ich das lieber nicht.

Kannst du das genauer erläutern?

[GTSport]

Der Prozess winlogon.exe verwendet die Datei. Prozesspfad ist c:\windows\system32\winlogon.exe

[Systemfailure]

Ist das das Erbenis von Unlocker?

Winlogon.exe ist ein Windows kern Prozess, den kanste auch nicht beenden.
Warum er diese Datei erstellt ist mir aber schleierhaft. Also ich könnte da nur raten. Frag evt. mal beim MS Support.

[JollyRoger2408]

Zitat (misteranwa: 13.08.2006, 18:29)

Hallo

Habe aber gelesen das HJT auch gerne Spioniert. Deshlab mach ich das lieber nicht.

Hallo,
da hätte ich schon gerne nähere Infos zu dieser Behauptung!!

[GTSport]

Ja, ist das Ergebnis von Unlocker. Habe die Datei jetzt gelöscht, bisher hat er keine neu erstellt. Er macht das wohl nur beim Neustart.

Muss ich mir da jetzt irgendwei Sorgen machen bezüglich Spyware/Trojaner oder ähnlichem?
Kasperesky Antivirus und sonstige Programme zeigen keinen Befund.

Hier noch das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:49:29, on 13.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint\Apntex.exe
C:\Dokumente und Einstellungen\Andi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1148819474765
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CC6F3DC-F8C8-4C76-8878-BB2034AAF808}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CC6F3DC-F8C8-4C76-8878-BB2034AAF808}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2CC6F3DC-F8C8-4C76-8878-BB2034AAF808}: NameServer = 192.168.2.1
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe

[Graumagier]

Nicht gut: http://hijackthis.de/logfiles/3c7f92118379...f75eca51ae.html

[GTSport]

Das Problem scheint der Treiber für die Soundkarte zu sein.

"Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor ones actions. It is not a sinister one, like remote control programs, but it is being used by Realtek to gather data about customers
Trefferquote: 91,67 % (Resultate)"

Kann ich aber gar nicht nachvollziehen, denn es ist der Originaltreiber, den ich von Sony runtergeladen habe oder der auch mit dem Notebook ausgeliefert wird.
Wie soll ich jetzt vorgehen? Habe erstmal den Eintrag aus gelöscht, dass er nicht mit Windows geladen wird.

http://www.hijackthis.de/logfiles/df048ab3...1ca0d3c82a.html

Dieser Beitrag wurde von GTSport bearbeitet: 13. August 2006 - 23:59

[ShadowHunter]

Es scannt deinen Rechner, das kann man als "spionieren" sehen aber das ist ja so gewollt um Probleme aufzudecken. Und die Seite für die Auswertung macht auch nur das, was sie soll!

[DK2000]

Gut, ist erstmal die Frage, ob überhaupt ein Problem vorliegt.

Man müsste die Systeme einzeln mit z.B. Process Explorer oder Handle analysieren und schauen, wem die Dateien genau gehören.

Habe auch gerade vier von den Dateien und der Erzeuger dieser ist derzeit eindeutig der
Windows Live Messenger:

msnmsgr.exe pid: 3844 VISTA-PC\Futterzwerg

  6E8: File  (---)   Y:\Temp\User\~DF1C38.tmp
  7CC: File  (---)   Y:\Temp\User\~DF1C2F.tmp
  8E4: File  (---)   Y:\Temp\User\~DF24A4.tmp
  8FC: File  (---)   Y:\Temp\User\~DF24AA.tmp

Gibt alllerdings auch noch andere Anwendungen, die sowas erstellen. Auch Setups gehören dazu. Ob die winlogon.exe auch solche Dateien erstellt, kann ich nicht sagen. Noch nie so genau darauf geachtet, wem da was gehört. Müssen aber nicht zwangsläufig böse sein. Können ganz normale Temp-Dateien sein.

Dieser Beitrag wurde von DK2000 bearbeitet: 20. August 2006 - 18:20

[Tohji]

kann auch sein das Windows den temp nicht leer macht nach dem aktualiesieren, des heisst das es einfach nur daten muell ist, im normal fall kann man den temp ordner immer loeschen (IM NORMAL FALL)

Da windows dort nur zwischenlagert (z.B. bei updates oder sowas), auch speichern alle windows anwendungen vorlaefig dort daten (MSN, auch Office) also i mache mir da an sich kein sorgen wenn sowas ist loeschen und gut ist nen prob ist es nicht wirklich solange keine prozesse laufen die i net kenne

MfG
Tohji