gearsec.exe

[MRThomm]

Weiss jemand von euch was damit an zu fangen??

Hab schon etwas bei Google gestöbert, aber keine passenden Beiträge für mich gefunden. Ich seh diese Exe auch zum ersten Mal im Task-Manager. Was ich seit heute ebenfalls noch fest stellen musste.

Ich hab im Explorer bei System C folgende Datei vorhin gerade entdeckt:
f797d91a2e25460639f67c1da945ade1

Dahinter verbirgt sich ein Unterordner namens "Update". Wenn ich diesen öffnen will, heisst es Zugriff verweigert.

Danke schonmal für eure Hilfe

[Gonzo]

http://www.neuber.com/taskmanager/de...arSec.exe.html

sieht erst mal harmlos aus, zumindestens wenn du irgendwas davon bei dir installiert hast

Mit dem Unterordner bin ich allerdings ratlos, woher weisst du dass es sich um einen Unterordner Update handelt ?

[Swizzy]

Mach mal nen Hijackthis Test und fahr im abgesicherten Modus hoch und überprüfe die Datei nochmals. Schau aber mal noch mit Rechtsklick -> Sicherheit nach, welche Berechtigungen für diesen Ordner gelten. Ansonsten mal als Admin einloggen und dann sehen ob a) der Task da ist und b) ob du auf den Ordner kommst etc.

Komische Geschichte, Virenscanner haste sicher schonmal durchlaufen lassen?

[~Memento~]

also der Ordner ist soweit ich weis von einen Windows Update bzw. Installation eines ServicePack mal angelegt worden. Kannst im Prinzip einfach wieder löschen =)

[Chriss]

Ich wüsste keinen sinvollen Grund so ne Datei anzulegen. Es ist jedenfalls definitiv nix von Windows, folglich würd ich sowas löschen. Da kann eigentlich fast nur Schmu dahinterstecken.

Manchmal legt man Dateien in die Richtung als Temporäre Dateien an, aber das sollte dann an sich im Temp-Ordner sein, und kannst du in dem Fall auch gefahrlos löschen.

[~Memento~]

doch weil z.b. auch das service pack wenn du es entpackst ein ordner anlegt der irgenwie so komisch heißt. Oder bei irgendein Update wars... hatte das genauso schon, jedenfalls nix worum man sich sorgen machen sollte sprich nix gefährliches =) Also im Prinzip nur Temporär.

[MRThomm]

Danke schonmal für die schnellen Antworten von euch

Bin leider die letzten Tage nicht dazu gekommen ins Forum zu schauen und bin auch jetzt eine Woche im Urlaub.

Werd mir das alles aber mal in zwei Wochen ansehen

Bis dann!

[MRThomm]

Zitat:

Zitat von Swizz_ruler

Mach mal nen Hijackthis Test und fahr im abgesicherten Modus hoch und überprüfe die Datei nochmals. Schau aber mal noch mit Rechtsklick -> Sicherheit nach, welche Berechtigungen für diesen Ordner gelten. Ansonsten mal als Admin einloggen und dann sehen ob a) der Task da ist und b) ob du auf den Ordner kommst etc.

Komische Geschichte, Virenscanner haste sicher schonmal durchlaufen lassen?

Virenscanner hab ich drüber laufen lassen, nichts gefunden.

Ich kann die Datei nicht öffnen, weil ich angeblich keine Berechtigung für diese Datei hab. Ich soll mich als Besitzer anmelden usw.

Ich bin aber generell als Admin angemeldet, wie komm ich dann in die Datei rein??

Löschen kann ich es nicht, denn dann heisst es wie üblich: Der Zugriff wurde verweigert. Die Quelldatei ist möglicherweise geöffnet ...

Hier noch die Logfile vom Hijack

Logfile of HijackThis v1.99.1
Scan saved at 18:17:09, on 13.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\GEARSec.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\svchost.exe
C:\DOKUME~1\TOM\LOKALE~1\Temp\Rar$EX00.687\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {26EFAAF3-5278-46FA-AB91-6C590148A831} - C:\WINNT\system32\odbc17gt.dll (file missing)
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{B06821A4-D7FD-47E2-B5AE-EE4034667FFE}: NameServer = 10.80.14.254
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\System32\GEARSec.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

[Chriss]

Kann sein das du selbst als Administrator unter win die Rechte nicht hast, aber du kannst sie dir geben.

Eigenschaften, Sicherheitseinstellungen, Hinzufügen oder ändern, was auch immer. Wenn du das nicht kannst musst du erst den Besitz für die Datei übernehmen, das kannst du als Admin immer.

Wenn sie geöffnet ist, Abgesicherter Modus, oder noch besser anderes Betriebssystem, also Zweite Win-Installation, Live-CD...

[Narodnaja]

Gehts denn nu um die gearsec.exe oder diesen Ordner ?

Die gearsec.exe kann wohl auch von itunes stammen. Läuft das bei dir ?

[MRThomm]

Es geht eigentlich immer noch um beides

Also von iTunes hab ich soweit gar nichts. Das komische ist ja, die gearsec.exe ist mir sonst nie aufgefallen.

--------------------------------------------------------------------------

Zu dem Ordner kam jetzt seit heute noch ein zweiter Ordner hinzu. Ich konnte mir auch für den Unterordner Update die Besitzerrechte geben und darin findet sich nun einmal eine Update.exe Datei + wudfcustom.dll Datei und beim anderen Ordner ebenfalls die Update.exe + wpdinstallutil.dll

Könnt ihr mit dem was anfangen?

[Sven]

Letztere sind von Windows Update....

[MRThomm]

also kann ich die auch löschen, ohne Gefahr zu laufen einen Systemfehler mir einzufangen?

[Sven]

Normalerweise schon, jo