Merkwürdiger Eintrag im Startmenü der MSConfig

  • geschlossen

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Merkwürdiger Eintrag im Startmenü der MSConfig

    Hallo

    Ich bin heute zufällig in der Msconfig.EXE über folgenden komischen Startmenüeintrag gestolpert:



    Dieser doch recht merkwürdige Name ist mir schon etwas Suspekt.
    Die Suche in der Registry ergab auch nichts Genaueres. Der Einzige Fund war vermutlic der Eintrag selbst, in einem Unterordner namens GEST. Die Suche nach GEST brachte allerdings auch nichts Brauchbares.

    Weiß jemand was das sein könnte und wieso ich das Programm in keinem Run- oder RunEx-Schlüssel finden kann?
    Und worauf verweist dieser Pfad eigentlich? HKCurrentUser, HKLocalMachine oder wohin?

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Shadowww ()

  • du hast 2 Ordner verweise mit RUN:D

    1. HKCurrentUser/Software/Microsoft/Windows/CurrentVersion/Run ---Alle Benutzer

    2. HKLocalMachine/Software/Microsoft/Windows/CurrentVersion/Run --- Benutzer
    in den beiden schluesseln steht alles was in deinem system startet;)

    zur not kannste hier noch nach GEST suchen und den eintrag loeschen

    HKClassic Root

    dort ist alles alphabetisch aufgeliestet, aber vorsicht dort beim entfernen

    du must genau wissen,was du dort machst,sonnst zerlegst du dein system.

    hast du schon mal ThisHijacker durchlaufen lassen und die log ausgewaertet ?

    hoffe konnte dir etwas helfen

    gruss snoppy:drum:

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von snoppy1906 ()

  • Hallo

    Zieh mal so wie auf dem Bild die Zeilen auseinander.Dann kannst Du mehr lesen,wo sich dieser Eintrag in der Registry befindet.




    Die anderen kannst Du ja zusammenschieben das Du Platz bekommst.


    Greetz
    [COLOR="Blue"][SIZE="3"]Das Problem ist nicht der Computer,das Problem sitzt davor.[/SIZE][/color]
  • @ rabe22
    Den Haken hab ich ja erst selbst rausgenommen.

    @ Firecat
    Der Pfad ist nicht läger. Das mit dem Schieben ist mir schon klar. Aber die Zeile fängt erst mit SOFTWARE an. Vielleicht weil ich es deaktiviert habe?

    @ snoopy
    Wie gesagt, die Run-Schlüssel hab ich durchsucht. Auch die RunOnce(Ex)-Schlüssel (da sollte es doch sein wenns deaktiviert ist, oder?)
    Bei der Suche nach GEST hab ich auch nur Schlüsselnamen entdeckt die nichts damit zu tun haben.


    edit: Beim Hochfahren krieg ich übrigens die Meldung
    ---------------------------
    Systemkonfigurationsprogramm
    ---------------------------
    Es wurde ein Zugriffsverweigerungsfehler, beim Versuch einen Dienst zu ändern, zurückgegeben. Sie können sich als Administrator anmelden, um diese Änderungen durchzuführen.
    ---------------------------
    OK
    ---------------------------

    Komischerweise auch wenn ich es wieder eingeschaltet habe.

    Übrigens ist der Schlüssel wieder unter HKLM sichtbar sobald es eingeschaltet ist. Dann ist es auch wieder zu finden. Allerdings eben nur als Zeichenfolge mit dem Namen GEST.

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Shadowww ()

  • mmm merkwuerdig,normal mueste es in irgend einem der beiden Run Schluessel stehen.

    Bei der Suche nach GEST hab ich auch nur Schlüsselnamen entdeckt die nichts damit zu tun haben


    woher weisst du dieses ?

    hast du auch mal im ordner C:Windows/System32 durchgeforstet ?

    dort schreibts sich alles oder wird hinzugefuegt ,was gerne starten moechte .

    gehe aber vorher unter ordneroptionen und alles anzeigen zu lassen etc.

    hast du in letzter zeit irgendetwas geladen ( Bildschirmschoner oder andere Dateien)

    sonst stelle doch mal bitte ein log file von This Hijacker rein.


    gruss snoppy:drum:
  • Tja, wie oben steht, es taucht im Schlüssel nur auf wenn es aktiviert ist.

    Beim Durchsuchen bin ich mir deshalb recht sicher, weil es sich nur um Schlüssel wie digest irgendwas oder PackageStore handelt, im Windowsordner genauso.

    Ich hab auch schon einen Autostartmanager laufen lassen, der findet aber auch nur das was in der Registry / msconfig steht und keine Erklärung zu dem Eintrag.

    Meinst du Hijack this? Ich werds mal laufen lassen...

    edit: Hijack this findet auch nix Verdächtiges.

    Quellcode

    1. Logfile of Trend Micro HijackThis v2.0.2
    2. Scan saved at 11:43:18, on 01.03.2009
    3. Platform: Windows XP SP3 (WinNT 5.01.2600)
    4. MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    5. Boot mode: Normal
    6. Running processes:
    7. C:\WINDOWS\System32\smss.exe
    8. C:\WINDOWS\system32\winlogon.exe
    9. C:\WINDOWS\system32\services.exe
    10. C:\WINDOWS\system32\lsass.exe
    11. C:\WINDOWS\system32\svchost.exe
    12. C:\WINDOWS\System32\svchost.exe
    13. C:\Programme\Ad-Aware\aawservice.exe
    14. C:\WINDOWS\system32\spoolsv.exe
    15. C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    16. C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    17. C:\Programme\CDBurnerXP\NMSAccessU.exe
    18. C:\WINDOWS\system32\nvsvc32.exe
    19. C:\WINDOWS\system32\svchost.exe
    20. C:\Programme\UPHClean\uphclean.exe
    21. C:\Programme\HijackThis\HijackThis.exe
    22. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    23. R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 129.12.3.75:3128
    24. R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
    25. O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    26. O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    27. O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    28. O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    29. O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    30. O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    31. O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    32. O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
    33. O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    34. O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe
    35. O4 - HKLM\..\Run: [tsnp2uvc] C:\WINDOWS\tsnp2uvc.exe
    36. O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\ServicePackFiles\i386\msconfig.exe /auto
    37. O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    38. O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
    39. O4 - HKCU\..\Run: [RGSC] C:\Spiele\GTA IV Zusätze\Rockstar Games Social Club\RGSCLauncher.exe /silent
    40. O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    41. O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    42. O4 - HKUS\S-1-5-21-1078081533-1606980848-839522115-1006\..\Run: [CTFMON.EXE]
    43. C:\WINDOWS\system32\ctfmon.exe (User 'Papa')
    44. O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    45. O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    46. O4 - S-1-5-21-1078081533-1606980848-839522115-1006 Startup: Verknüpfung mit Blacklotus Screenshotmaker
    47. 0.8.exe.lnk = C:\Programme\Screenshot Maker - Black Lotus\Blacklotus Screenshotmaker 0.8.exe (User
    48. 'Papa')
    49. O4 - Startup: Kremlin Sentry.lnk = C:\Programme\Kremlin\Kremlin Sentry.exe
    50. O4 - Startup: Product Registration.lnk = C:\Dokumente und Einstellungen\User\Lokale
    51. Einstellungen\Temp\is-ON83S.tmp\ATR1.exe
    52. O4 - Startup: Verknüpfung mit Blacklotus Screenshotmaker 0.8.exe.lnk = C:\Programme\Screenshot Maker -
    53. Black Lotus\Blacklotus Screenshotmaker 0.8.exe
    54. O4 - Startup: Verknüpfung mit RGSCLauncher.exe.lnk = ?
    55. O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network
    56. Diagnostic\xpnetdiag.exe
    57. O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
    58. C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    59. O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    60. O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    61. O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
    62. C:\Programme\Messenger\msmsgs.exe
    63. O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
    64. C:\Programme\Messenger\msmsgs.exe
    65. O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
    66. http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1216993639787
    67. O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Ad-Aware\aawservice.exe
    68. O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH -
    69. C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    70. O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH -
    71. C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    72. O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
    73. O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
    74. C:\WINDOWS\system32\nvsvc3
    Alles anzeigen

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Shadowww ()

  • Doch, das hatte ich da schon hingeschickt.

    Allerdings mockiert er da hauptsächlich ein paar falsche Programmpfade (die aber stimmen) und ein Programm dass er nicht kennt.
    Dann findet er noch eine C:\WINDOWS\tsnp2uvc.exe, über die ich auch bei Google nix rausgefunden habe. Außer einer japanischen Seite, die laut Google-Übersetzung wohl festgestellt hat dass es kein Virus ist.
  • also da bin ich auch etwas ratlos
    habe zu der datei tsnp2uvc.exe nur dieses noch gefunden

    runscanner.net/fileinfo/.html

    Agics Background tasks - Alphabetic List

    tritt meistens bei webcams auf ,sonst scheint es ein noch unbekannter
    background task zu sein.

    hast du bemerkt ob dein system macken hat?
    also schaedlich scheint dieser wohl nicht zu sein ,sonst wuerde man mehr infos finden :)

    haste mal die firewall einstellungen ueberprueft ob etwas nach aussen gesendet wird oder der gleichen?

    hoffe du kommst etwas weiter:D

    gruss snoppy:drum:
  • Nein, Macken hat es nicht, merkwürdige Sachen macht es nicht, es sendet auch nichts.

    Aber Webcam war ein gutes Stichwort. Ich hab nämlich eine, wenn auch gerade nicht angestöpselt. Aber der Video Device Dienst läuft, das kann somit schon mal nichts mit dem Ü-Programm zu tun haben.