Trojaner entfernt, noch rogue.installer gefunden. Ist es damit genug?
 

Hallo liebe Trojanerjäger,

ich wende mich an Euch, weil ich eine Dummheit begangen habe:
Meine Zonalarm Security Suite hatte einen Trojaner gefunden, den ich erst in Quarantäne gestellt und dann gelöscht habe. In einem Anfall von Verzweiflung, denn mein Computerexperte ist in Urlaub, versuchte ich die ganze Chose zu verdrängen! :headbang:
Dann bekam ich allerdings heftige Gewissensbisse und bin hierher ins Forum, wo mir vor Jahren schon einmal erfolgreich geholfen wurde (da hatte ich auch noch nicht dieses Monster von Vista als Betriebssystem) Leider hatte ich mir den Trojaner-Namen nicht notiert, es war etwas mit Gray im Namen.
Ich habe die Anweisungen gelesen und dann zuerst den CC Cleaner laufen lassen, danach dann Malwarebytes. Als das nach Stunden fertig war, hat es in letzter Sekunde noch rogue.installer gefunden, den ich ebenfalls entfernt habe.

(Mein PC lief vorher ohne auffällige Probleme, nur sind in letzter Zeit ein paar Windows-Updates nicht durchgelaufen, ganz zuletzt auch 2 "wichtige".)

Als ich nach dem Malwarebyte-Check den PC neu gestartet habe, wird mir jetzt das Service Pack 2 als Update angeboten. Ich hab' das Angebotsfenster jetzt so offengelassen, weil ich mir hier einen Rat erhoffe, ob mein System jetzt wieder "gesund" ist und ich das Update laufen lassen kann. Ich lasse den Computer über Nacht an und hoffe, dass jemand so nett ist, mir hierzu vielleicht morgen seine Meinung zu sagen.

Systeminfo:
Betriebssystemname Microsoft® Windows Vista™ Home Premium
Version 6.0.6001 Service Pack 1 Build 6001
Zusätzliche Betriebssystembeschreibung Nicht verfügbar
Betriebssystemhersteller Microsoft Corporation
Systemname VISTA-PC
Systemhersteller System manufacturer
Systemmodell System Product Name
Systemtyp X86-basierter PC
Prozessor Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz, 2664 MHz, 2 Kern(e), 2 logische(r) Prozessor(en)
BIOS-Version/-Datum American Megatrends Inc. 0507, 20.02.2008
SMBIOS-Version 2.4
Windows-Verzeichnis C:\Windows
Systemverzeichnis C:\Windows\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "6.0.6001.18000"
Benutzername Vista-PC\*NAME*
Zeitzone Mitteleuropäische Sommerzeit
Installierter physikalischer Speicher (RAM) 2,00 GB
Gesamter realer Speicher 2,00 GB
Verfügbarer realer Speicher 865 MB
Gesamter virtueller Speicher 4,23 GB
Verfügbarer virtueller Speicher 2,58 GB
Größe der Auslagerungsdatei 2,29 GB
Auslagerungsdatei C:\pagefile.sys


Und hier auch noch der HijackThis file :

Ich hoffe, ich hab das jetzt alles richtig gemacht. Ich lasse den Computer über Nacht an und hoffe, dass jemand so nett ist, mir hierzu vielleicht morgen(?) seine Meinung zu sagen.
Bitte!

PS: Wenn ich noch was übersehen habe, dann seid versichert, dass es an der späten Stunde liegt, denn ich bin Frühaufsteher und normalerweise schon um 10 im Bett!

Hallo und :hallo:
Das legt nahe, dass du dir selbst helfen kannst.
Das legt nahe, dass dir nicht zu helfen ist. Graybird? => Remote Administration Tool ? Wikipedia

Bitte poste beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html

ciao, andreas

Hallo Andreas,

vielen vielen Dank für die Hilfe (auch wenn die Aussichten eher trüb zu sein scheinen):

Hier die beiden Scans, allerdings muss ich es aufteilen, ich hoffe, ich krieg das einigermaßen hin:

Log-Editor:

Logfile of random's system information tool 1.06 (written by random/random)
Run by *NAME* at 2009-09-16 19:40:41
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 185 GB (40%) free of 456 GB
Total RAM: 2047 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:25, on 16.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\Program Files\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Common Files\aol\1202655797\ee\aolsoftware.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Program Files\Common Files\Lexware\Update Manager\LxUpdateManager.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\phonostar\ps_timer.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE
C:\Program Files\phonostar\ps_agent.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\HDD Thermometer\HDD Thermometer.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Duden\Duden Korrektor\DKTray.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Tobit ClipInc\Player\ClipIncTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Office-Bibliothek\PCLib.exe
C:\Users\*NAME*\AppData\Roaming\Dropbox\bin\Dropbox.exe
C:\Program Files\Moss Bay Software\Think Right Now 1.7\ThinkRightNow.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Duden\Duden Korrektor\DKCore.exe
C:\Windows\system32\txtuser.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Windows\system32\wuauclt.exe
C:\Users\*NAME*\Desktop\RSIT.exe
C:\Program Files\trend micro\*NAME*.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.professionelle-werbetexte.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Program Files\Dealio\kb127\Dealio.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Program Files\Dealio\kb127\Dealio.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TVBroadcast] C:\Program Files\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1202655797\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\NaturallySpeaking9\Ereg.ini
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [au] C:\Program Files\Dealio\DealioAU.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LexwareInfoService] C:\Program Files\Common Files\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Program Files\ASUS\AASP\1.00.24\AsRunHelp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [PhonostarTimer] C:\Program Files\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WEB.DE_WEB.DE SmartDrive Manager] "C:\Program Files\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKCU\..\Run: [PhonostarAgent] C:\Program Files\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Program Files\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Program Files\Duden\Duden Korrektor\DKTray.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Program Files\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Users\*NAME*\AppData\Roaming\Dropbox\bin\Dropbox.exe
O4 - Startup: ThinkRightNow.lnk = C:\Program Files\Moss Bay Software\Think Right Now 1.7\ThinkRightNow.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Program Files\Office-Bibliothek\PCLib.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Users\*NAME*\AppData\LocalLow\Dealio\kb127\res\DealioSearch.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb127\Dealio.dll
O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb127\Dealio.dll
O13 - Gopher Prefix:
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe
O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 13367 bytes

Und jetzt Info-Editor (auf 2 x):

PS: Erst hier hab ich wieder Zugriff auf das gewünschte #Zeichen gehabt.

Und hier der Rest. (Ich blick einfach nicht, warum jetzt schon wieder nicht alle Zeichen zur Verfügung sind):

======Security center information======

AV: BullGuard Antivirus
AV: ZoneAlarm Security Suite Antivirus
FW: ZoneAlarm Security Suite Firewall
AS: ZoneAlarm Security Suite Anti-Spyware
AS: Windows-Defender

======System event log======

Computer Name: Vista-PC
Event Code: 7036
Message: Dienst "Volumeschattenkopie" befindet sich jetzt im Status "Beendet".
Record Number: 253287
Source Name: Service Control Manager
Time Written: 20090916134423.000000-000
Event Type: Informationen
User:

Computer Name: Vista-PC
Event Code: 7036
Message: Dienst "Microsoft-Softwareschattenkopie-Anbieter" befindet sich jetzt im Status "Beendet".
Record Number: 253288
Source Name: Service Control Manager
Time Written: 20090916134723.000000-000
Event Type: Informationen
User:

Computer Name: Vista-PC
Event Code: 8
Message: Service Pack-Installation mit Fehlercode 0x800f0a0d fehlgeschlagen.
Record Number: 253289
Source Name: Microsoft-Windows-Service Pack Installer
Time Written: 20090916173619.993000-000
Event Type: Fehler
User: Vista-PC\*NAME*

Computer Name: Vista-PC
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Ausgeführt".
Record Number: 253290
Source Name: Service Control Manager
Time Written: 20090916173652.000000-000
Event Type: Informationen
User:

Computer Name: Vista-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 253291
Source Name: Service Control Manager
Time Written: 20090916173711.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: Vista-PC
Event Code: 100
Message: Recording on slot 1 terminates at 16:30:25 16.09.2009
Restart streaming

Record Number: 51719
Source Name: ClipInc 001
Time Written: 20090916143025.000000-000
Event Type: Informationen
User:

Computer Name: Vista-PC
Event Code: 100
Message: Recording on slot 1 terminates at 16:30:43 16.09.2009

Record Number: 51720
Source Name: ClipInc 001
Time Written: 20090916143043.000000-000
Event Type: Informationen
User:

Computer Name: Vista-PC
Event Code: 100
Message: Capture for slot 1 started at 16:30:44 16.09.2009

Record Number: 51721
Source Name: ClipInc 001
Time Written: 20090916143044.000000-000
Event Type: Informationen
User:

Computer Name: Vista-PC
Event Code: 100
Message: Recording on slot 1 started at 16:30:44 16.09.2009

Record Number: 51722
Source Name: ClipInc 001
Time Written: 20090916143044.000000-000
Event Type: Informationen
User:

Computer Name: Vista-PC
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update).
Record Number: 51723
Source Name: System Restore
Time Written: 20090916173626.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: Vista-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 71192
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916174217.011400-000
Event Type: Überwachung gescheitert
User:

Computer Name: Vista-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\vsdatant.sys
Record Number: 71193
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916174222.012000-000
Event Type: Überwachung gescheitert
User:

Computer Name: Vista-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\vsdatant.sys
Record Number: 71194
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916174222.105600-000
Event Type: Überwachung gescheitert
User:

Computer Name: Vista-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\vsdatant.sys
Record Number: 71195
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916174222.183600-000
Event Type: Überwachung gescheitert
User:

Computer Name: Vista-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\vsdatant.sys
Record Number: 71196
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916174222.246000-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\PC Connectivity Solution\;%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\PC Connectivity Solution;C:\Program Files\QuickTime\QTSystem;C:\Program Files\Haufe\iDesk\iDeskService;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Haufe\iDesk\iDeskService\;C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis2\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_04\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_04\lib\ext\QTJava.zip
"tvdumpflags"=8

-----------------EOF-----------------

Danke fürs Ansehen. Und? Schlimm?

Außer gleich tonnenweise Adware (Dealio, SearchSettings, Ask-Toolbar und dem mir äusserst suspektem ThinkRightNow.exe) und kilometerlangen sinnfreien Softwareinstallationen findet sich bis jetzt nichts Schädliches. :)

Mit BullGuard hatte ich bisher nur einmal zu tun, ich habe es sofort deinstalliert und dabei stundenlang geflucht, bei dem fast aussichtslosen Unterfangen, es endgültig aus der Registry zu verbannen. Das bleibt aber dir überlassen.

1.) Deinstalliere:

• Ask Toolbar
• Azureus
• Bonjour
• Dealio Toolbar 3.4
• Google Toolbar for Internet Explorer
• Java(TM) 6 Update 15
• Java(TM) 6 Update 4
• Java(TM) 6 Update 7
• Search Settings 1.2
• Think Right Now 1.7 (es sei denn, es wurde bewusst installiert)
• ZoneAlarm Security Suite (das ist ein Trojaner => http://www.trojaner-board.de/73296-z...-trojaner.html)

Ob das Aldi und Medion-Gelumpe sein muss, bleibt auch dir überlassen. Ich würde es deinstallieren. ;)

2.) Installiere:

• Java-Downloads für alle Betriebssysteme - Sun Microsystems

3.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked => Neustart => Poste ein neues HJT-Log

ciao, andreas

Hallo Andreas,

ThinkRightNow ist ok (ist eine Kauf-Software, die ich seit Jahren habe, auch schon auf meinem letzten PC).
Die diversen Tool-Bars können mich mal (brauch ich nicht). Bull Guard muss wohl am Anfang mit drauf gewesen sein (hab' ich meines Wissens nie benutzt), genau wie die Aldi-Sachen, ich dachte, ich rühr besser nicht dran, weils ja ein Aldi-PC ist. Habs auch nie benutzt.
Dann sind da ein paar Sachen, die weiß ich nicht (Azureus klingt glaub' ich nach meinem Sohn, den werd ich fragen, was das ist). Bonjour weiß ich auch nicht genau, ich dachte immer, das hätte was mit itunes (auch mein Sohn) zu tun, es hat vorhin schon wieder nach einem Update gefragt, was ich verweigert hab.
Ich werds löschen.

Zonealarm!!! Ist kein Ernst oder? Hab' den anderen Thread gelesen und es erfüllt mich nicht mit Freude:
Zu sowas wär' ich ohnehin nicht fähig.
Ich hab's noch ein weiteres Jahr bezahlt und besitze es aus rechtlichen Gründen, weil man sonst haftbar gemacht werden kann, wenn fremder Spuk vom eigenen PC aus betrieben wird (wie man sieht, hilft das auch nicht zu 100%, aber man wird wenigstens nicht noch verknackt, weil man keine "Antivirensoftware und Firewall" installiert hat. So sieht das z. B. auch die Bank (Wir machen Online-Banking, weil mein Mann haufenweise Kleinbeträge zu überweisen hat).

Was soll ich denn stattdessen nehmen? Norton nix Gutes gehört, GDATA hat mich vor Jahren mal im Stich gelassen, hatte alles studiert und war zum Schluss gekommen, dass das noch das beste wär - immerhin hatte es diesen Trojaner-Alarm ausgelöst. Ich würd' mich schrecklich fühlen ohne - auch wenn es umständlich ist, immer wieder bei Google und Co zu recherchieren, was denn die Meldung grad mal wieder sagen will (im Zweifelsfall drück ich erstmal immer "Zulassen - nein").

Also ich werd' versuchen alles zu deinstallieren (bis auf Zonealarm für den Moment). Punkt 2 werd ich wohl erst morgen in Angriff nehmen, dann ich krieg grad 'ne Monster-Migräne...

Gut, ich habe mir die Homepage angesehen und die sah mir/sieht mir äusserst verdächtig aus.
Die hier vorgestellten Programme benötigt Windows nicht unbedingt.
Bitte unter Start => Systemsteuerung => Software => Ändern/Entfernen... deinstallieren.

• BearShare
• Kazaa
• Azureus
• LimeWire
• Morpheus
• eMule
• Shareaza
• FrostWire
• BitTorrent
• uTorrent

Selbst wenn du ein sicheres P2P Programm verwendest, ist es nur das Programm, das sicher ist. Du wirst Daten von unsicheren Quellen teilen und diese sind häufig infiziert.

Also Azureus/Vuze bitte sofort deinstallieren, ansonsten sind alle weiteren Schritte eher sinnlos.
Auch ein Aldi-PC benötigt nicht unbedingt Aldi-Software. :)
Da bin ich der falsche Mann. :) Ich halte sowieso nichts von Antivirenprogrammen, aber niemals zwei zur gleichen Zeit einsetzen. Entweder Bullguard oder Zonealarm.

Das mit Zonealarm ist nicht so wirklich ernst gemeint. :) Zu empfehlen ist das aber ganz sicher nicht.
Hier wird üblicherweise die Combo Avira/Malwarebytes (beide umsonst, aber nicht vergeblich:)) angeraten. Wenn du dafür bezahlt hast, dann nutze es, aber bezahle nicht für etwas, das nichts taugt (persönliche Meinung!).

Wenn du Sicherheit möchtest, dann klicke auf die letzten beiden Links in meiner Signatur. Du hast Kinder, da ist es doppelt wichtig auf Sicherheit zu achten. Programme geben dir ganz sicher keine, auch wenn die Werbung das verspricht. :(

ciao, andreas

Hier neur HJT:

Und? Gut jetzt?

Danke für die Erklärungen (wusste nicht, was P2P-Programme waren).

Da gehört noch SP2 installiert. Du musst deine Software aktuell halten! Das trägt wesentlich mehr zur Sicherheit bei als irgendwelche "Sicherheitssoftware".
Besser, noch lange nicht gut. Da läuft viel zu viel Software, die automatisch gestartet wird.

Starte HJT => Do a system scan only => Markiere:
=> Fix checked

Da sehe ich noch viel mehr Dinge, die wohl mehr als entbehrlich sind. Ist dein Provider AOL? Warum ist TeamViewer installiert? Fernsteuerungssoftware macht mich grundsätzlich nervös.

ciao, andreas

Hallo Andreas,

langsam! Kann ich alles beantworten.
Siehe Postanfang. Hatte ja geschrieben, dass SP2 schon in der Tür steht. Warte ja nur auf das Ok von hier, um es zu installieren. (Mache alle Windows-Updates immer sofort, da automatisch).

AOL ist nicht mehr als Provider, aber das Programm musste ich behalten, um meine Uralt-Mails noch einsehen zu können. Teile der AOL-Software zu deinstallieren wage ich nicht, denn was bei denen wirklich für was zuständig ist, wissen die nicht mal selbst. (Kein Witz! Hatte da so Diskussionen mit dem Support damals).

Teamviewer. Hab' ich nur installiert, um meiner über 70-jährigen Mutter von Zeit zu Zeit helfen zu können, wenn die ein Computer-Problem hat. Bin sehr dankbar dafür, dass ich nicht mehr rätseln muss, was die nun grad auf dem Schirm hat und manchmal hab' ich ihr schon Unrecht getan, weil z. B. die Internet-Verbindung instabil war und ich sie im Verdacht hatte, sie hätte in der Breowserzeile versucht, Suchbefehle einzueben. Doch wenn das ein Sicherheitsrisiko darstellt, kann ich es auch runtermachen. Wir haben es eh immer so gemacht, dass wir nur die Einmal-Session für sie benutzt haben, damit da nicht immer so ein "Einfallstor" ist bei ihr. Ging mir vom Gefühl her nämlich genauso.

Muss jett abbrechen, die anderen Sachen guck ich morgen (muss mich wieder übergeben, Migräne)

:daumenhoc
Ich weiß, dass das kein Witz ist. AOL ist die Seuche. :(
Wenn du es bewusst installiert hast und nutzt, dann ist das in Ordnung.
Gute Besserung.

Gute Nacht, andreas

Guten Tag Andreas,

Danke.
Bin wieder schmerzfrei. Jetzt noch der PC wieder i. O. und die Welt ist wieder ein freundlicher Ort. :)
Ich habe ales gefixt, was du vorgeschlagen hast. Mir ist selbst auch nicht recht, dass da soviel unnötig startet, doch meistens installiert sich das von alleine (außer manchmal, da wird angeboten, dass man ein Häkchen abwählt, was ich eigentlich zu 98% mache). Ich hab mir die Liste angesehen und ich könnte auf Folgendes auch noch verzichten (beim Starten verzichten meine ich, man kann ja das Programm dann auch noch von der Liste aus aufrufen, das müsste schon noch gehen):

Nero Backitup, Sceneo,Naturally Speaking, Lexware, Windows Sidebar, Nokia PC Suite,Das HP Update (nervt ohnehin laufend, als mein Drucker nicht mehr ging, haben sie mir geschrieben, dass sowieso keine Unterstützung mehr besteht, drum ist es eher eine Gefahr und ich verweiger es sowieso),und alles mit HP Digital Imaging.

Das mit dem Duden Korrektor ist so eine Sache, das ist ein so hochkompliziertes Programm, das sich in Word integriert und das nur nach x E-Mails mit dem Support durch einen neuen Download ans Laufen gebracht werden konnte (würds nicht nochmal kaufen). Da rühr ich besser nicht dran.

Wenn du mir die Zeilen sagen würdest, mit denen ich keinen Schaden anrichte, werf ich das alles auch noch raus.

Und wenn mein Sohn wieder da ist, setz ich mich mit ihm zusammen und jedes Programm, das ich nicht kenne und er mir nicht plausibel sagen kann, was es ist, wird im Internet recherchiert und dann deinstalliert. :kloppen:
Je weniger Programme, desto weniger kann schiefgehen.

@Bullguard: Ich meine mich dunkel zu erinnern, dass ich die vorinstalllierte Version deinstalliert habe, als ich den PC gekauft hab (hatte ja meine ZA-Lizenz schon), weil ich genau wusste, dass man keine 2 haben soll. Kann es nicht sein, dass da nur ein "Rest" angezeigt wird? :confused:

Ich hab' ja mit Sicherheit keine Registry angerührt. Das Programm hat sich mir gegenüber noch nie in irgendeiner Weise manifestiert.

Kann ich dann jetzt den Service Pack 2 installieren?

Beste Wünsche an dich.

:daumenhoc
:daumenhoc Ist doch schön trotz aller internen Kritik, die ich einstecken muss, ab und zu doch etwas positives bewegen zu können und das, obwohl ich genau das mache, wofür ich kritisiert werde? :confused:
Die Zeilen, die du sicher und ohne Beeinträchtigung entfernen kannst, habe ich dir schon genannt. Bei den anderen gilt: Try and Error.
Genau so ist richtig.
Genau dieser Rest hat mich Stunden gekostet. Bullguard ist die Seuche und für mich ein klares Argument => Nie wieder Aldi-Rechner.
Ja, besser gestern als heute. :)

Du bist entlassen. :)

ciao, andreas

Besser als gut! :heilig: