Komische Eintraege in der Registry

[u53r]

hallo leute!!

heute bzw gestern hatte ich mit spybot search&destroy nach trojanern und solche gesucht.
resultate waren ok, er hatte nich viel gefunden. aber das komische ist WO er was gefunden hatte.

in der registry an einer stelle die ich noch nie zuvor gesehen hatte :-(

HKEY_USERS\PE_C_..

HKEY_USERS\PE_C_ADMINISTRATOR



und dann noch diese komischen S-1-5-18 - S-1-5-21

in HKEY_USERS

kann mir einer erklaeren um was es sich hier handelt??

danke!

 

[meister2]

Wenn Spybot das gefunden hat, werden die Einträge wohl von einer Schadsoftware angelegt
worden sein.
Wo und unter welchem Namen die ihren Müll hin schreiben können die sich ja aussuchen.

 

[Behemoth08]

Google spuckt zu allen Einträgen sehr viele Ergebnisse aus, scheint also öfters solche Sachen zu geben.

 

[hal9000]

kannst du mal einen scan mit HijackThis machen, und das logfile posten? http://www.zdnet.de/windows_system_verbessern_hijackthis_download-39002345-20756-1.htm

 

[Cat Toaster]

Es handelt sich um einen Benutzer und dessen SID. Möglicherweise um den einzigen den es gibt und den Du benutzt? Kannst ja mal in die Benutzerverwaltung schauen welche Nutzer es dort gibt.

 

[Drarlor]

PE_C_ADMINISTRATOR

Den habe ich noch nie gesehen. Da solltest du dich wirklich mal schlau machen, woher diese kommen. Aber die Idee, dass wenn Spybot die schon anzeigt, dass es sich um Einträge von Schadsoftware handelt, ist gar nicht so schlecht.

Die anderen Einträge mit den "kryptischen" Zahlen sind die Userprofile der anderen User. Die werden unter der SID abgelegt und nicht unter dem Usernamen.

 

[u53r]

kannst du mal einen scan mit HijackThis machen, und das logfile posten? http://www.zdnet.de/windows_system_verbessern_hijackthis_download-39002345-20756-1.htm

HiJackThis.log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:50:35, on 16.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Windows folder: C:\WINDOWS.1
System folder: C:\WINDOWS.1\system
Hosts file: C:\WINDOWS.1\System32\drivers\etc\hosts

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\WINDOWS.1\Explorer.EXE
E:\Programe\cFosspeed\spd.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\PROGRA~1\DrWeb\spiderui.exe
C:\WINDOWS.1\SYSTEM32\CTXFISPI.EXE
E:\Programe\cFosspeed\cFosSpeed.exe
C:\Programme\Process Lasso\processgovernor.exe
C:\WINDOWS.1\system32\nvsvc32.exe
C:\WINDOWS.1\system32\RunDLL32.exe
C:\Programme\Process Lasso\ProcessLasso.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS.1\system32\PnkBstrA.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS.1\system32\svchost.exe
O:\!warez\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.crossfire.nu/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts file is located at: C:\WINDOWS.1\System32\drivers\etc\hosts
O1 - Hosts: 192.246.40.62 etguidauth.evenbalance.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\Programe\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [SpIDerNT] "C:\PROGRA~1\DrWeb\spiderui.exe" /agent
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe"
O4 - HKLM\..\Run: [cFosSpeed] E:\Programe\cFosspeed\cFosSpeed.exe
O4 - HKLM\..\Run: [ProcessGovernor] C:\Programme\Process Lasso\processgovernor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.1\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ProcessSupervisorGUI] C:\Programme\Process Lasso\ProcessLasso.exe /tray
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" resetprofile
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Folding@home-gpu.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - E:\Programe\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - E:\Programe\FlashGet\jc_link.htm
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programe\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programe\ICQ6\ICQ.exe
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC48B97C-2ACC-4314-BAC1-9B8DED041FCB}: NameServer = 192.168.2.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Cepstral License Server - Cepstral, LLC - C:\Programme\Cepstral\bin\CepstralLicSrv.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - E:\Programe\cFosspeed\spd.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.1\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PD91Engine.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS.1\system32\PnkBstrA.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe
O23 - Service: UPS - Unknown owner - C:\WINDOWS.1\System32\ups.exe (file missing)

--
End of file - 7233 bytes

Es handelt sich um einen Benutzer und dessen SID. Möglicherweise um den einzigen den es gibt und den Du benutzt? Kannst ja mal in die Benutzerverwaltung schauen welche Nutzer es dort gibt.

bei den benutzerkonten gibts mich als user, Gast und ASP.NET Machine A... als user.

seit irgendeiner net.framework version muss ich mich auch immer einloggen, also winlogon screen kommt jedesmal, wo ich dann mich als user auswaehlen muss. das krieg ich auch nimmer weg, regt ziemlich auf :-)

 

[Drarlor]

seit irgendeiner net.framework version muss ich mich auch immer einloggen, also winlogon screen kommt jedesmal, wo ich dann mich als user auswaehlen muss. das krieg ich auch nimmer weg, regt ziemlich auf :-)

TweakUI installieren und automatische Anmeldung einstellen!

Wie gesagt, die Namen der Benutzerkonten bekommst du in der Registry nicht unmittelbar angezeigt sondern nur deren SIDs.

 

[hal9000]

ist nix verdächtiges in den logfiles. das system ist aber nicht mehr ganz aktuell und es gibt wohl einen zweiten windows-ordner, was die funktionsfähigkeit nicht beeinträchtigen sollte.

 

[werkam]

Stell mal ein, das alle Dateien und Systemdateien angezeigt werden, dann geh in Dokumente und Einstellungen und sieh nach wer alles ein Benutzerkonto hat. Sollten sich die beiden Benutzer dort befinden (PE_C_.. und PE_C_ADMINISTRATOR), geh in die Computer-Verwaltung>Lokale Benutzer und Gruppen>Benutzer, da sieh nach wer der benutzer sein soll, evtl könntest Du das Konto deaktivieren um zu testen ob der Rechner dann noch läuft. Dazu musst Du aber Adminstrator/Adminrechte haben.

 

[u53r]

Stell mal ein, das alle Dateien und Systemdateien angezeigt werden, dann geh in Dokumente und Einstellungen und sieh nach wer alles ein Benutzerkonto hat. Sollten sich die beiden Benutzer dort befinden (PE_C_.. und PE_C_ADMINISTRATOR), geh in die Computer-Verwaltung>Lokale Benutzer und Gruppen>Benutzer, da sieh nach wer der benutzer sein soll, evtl könntest Du das Konto deaktivieren um zu testen ob der Rechner dann noch läuft. Dazu musst Du aber Adminstrator/Adminrechte haben.

in dokumente und einstellungen gibt es nur mich, admin und all users. sonst keine user

in computerverwaltung / lokale benutzer/... gibt es admin, mich, aspnet (ASP.NET Machine Account) die aktiv sind. dann noch gast, hilfeassistent und SUPPORT_388945a0 (beschreibung:Herstellerkonto für Hilfe- und Supportdienste) als deaktivierte user.

das war's auch schon.

also keine ahnung wo dieses PC_E dann her kommt.