Führe Emsisoft Emergency Kit gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Auf dem zweiten Laptop wo die selben Programme laufen. Bis auf den unterschied Office ist nicht installiert stattdessen freie Programme LibreOffice, Thunderbird und windows 10 Pro ist da drauf.

Da ist unter autostart 2x Program ohne Herausgeber einer davon aktiv, beide keine Datei Pfad angabe haben. Da find ich SVC nicht, (die selben Canon programme sind da drauf installiert)

Wir prüfen den einen Rechner, der andere ist hier irrelevant.
Und jetzt befolge die Anweisungen zur Bereinigung.

Code: Alles auswählenAufklappen

ATTFilter

Emsisoft Emergency Kit – Version 2020.5
Letztes Update: N/A
Eigene DESKTOP-1IEQVM5\Mr. Nice
 DESKTOP-1IEQVM5
 Windows 10x64 

Scan-Einstellungen:

Scan-Methode: Malware-Scan
Objekte: Rootkits, Speicher, Spuren, Dateien

PUPs-Erkennung: An
Archive scannen: Aus
E-Mail-Archive scannen: Aus
ADS-Scan: An
Direkter Festplattenzugriff: Aus

Scan-Beginn:	13.05.2020 22:47:46

Gescannt:	79320
Gefunden	0

Scan-Ende:	13.05.2020 22:48:41
Scan-Zeit:	0:00:55
         

Es Liegt natürlich in meinem Interesse, Ihre Hilfestellung zu befolgen. Der Beitrag hat sich aus meiner Sicht überschnitten, obwohl ich regelmäßig die Seite im Firefox neu lade.
Ich hatte halt eine Ide die eventuell helfen könnte da beide Rechner wie gesagt synchronisieren und da das SVC nicht dabei ist, SVC sollte angeblich von Canon sein, laut den Angaben im Autostart.

Mir ist noch was wieder aufgefallen. Beim Arbeiten ruckeln alle Fenster beim Explorer egal welche Programme oder Dateimanager. Tritt Sporadisch auf, ohne es replizieren zu können. Am Anfang schenkte ich es kaum einer Beachtung. Durch die Beobachtung des Autostarts, könnte die Beobachtung Gewicht finden.

Laut Task Manager läuft alles ruhig. (Keine mehr Belastung der CPU, GPU, RAM etc...)

Eventuell doch wieder alles neu Installieren? Bleibt nur die Frage ob diese Sache mit den Daten die auf der NAS Lagern wieder zurück kopiert werden können (Dokumente, Bilder, Videos etc. das übliche). Der Datenverlust würde einer A-Bomb gleichen.

Die Logs sind erst mal unauffällig. Was mir noch auffällt, ist das Sinnlospaket Kaspersky. In Zeiten eines stabil laufenden Windows-Defenders absolut unnötig. Absolute Geld- und Ressourcenverschwendung.
Die Datei winampa.exe gehört zu Winamp und wurde von Dir installiert.

Ja alles richtig, Kaspersky war sehr teuer und hat eine Lange Laufzeit. Nicht nutzen wäre es noch Sinnloseres Geld verschwenden, dachte ich mir. Sind ja nur noch 5 Wochen, wollte mir schon alternativen suchen, wieder zurück zu G-Data oder ähnliches. Aber ein Zeitungsartikel machte mich Stutzig dass alle Anti Viren Programme eine Sicherheitslücke schaffen wo vorher keine da war….

Winamp habe ich wieder mal getestet, ist mir aus den 2000er bekannt. Nein ist auch nicht besser als das Windows eigene. Deswegen hab ich es Deinstalliert. Aber macht mich nur stutzig dass Datenmüll übrig bleibt. Genauso wie Cryptomator, Datenmüll hinterlässt. Vor update war es gut….
Was meinen Sie? Kann man getrost das Programm SVC im Autostart Deaktiviert lassen und den Computer so weiter benutzen wie er ist. Nach Ablauf der Lizenz von Kaspersky nichts neues mehr installieren. Oder doch lieber neu aufsetzten?

Mir sagt das Programm SVC nichts.
Meinst Du da so etwas in der Art?

Beim ersten Post ist ein Screenshot dabei wo der Dateipfad mit geöffnet ist. Da wird man auf Rundll32.exe weitergeleitet. Diese Datei kann man nicht löschen wird vom System blockiert.
Anbei Screenshot

Zitat:

Zitat von Nice88

Beim ersten Post ist ein Screenshot dabei wo der Dateipfad mit geöffnet ist. Da wird man auf Rundll32.exe weitergeleitet. Diese Datei kann man nicht löschen wird vom System blockiert.

Rundll32.exe ist eine Windows Systemdatei. Diese Datei ist u. a. dafür da, dass .dll Dateien ausgeführt werden können... in deinem Fall zeigt der Autostarteintrag auf Canon (das sieht man doch auf dem Bild von dir). Du hast einiges von Canon installiert... also warum genau wundert es dich jetzt, dass dieses legitime Programm beim Systemstart mitstartet? Erkläre uns das bitte einmal.
Ich wüsste nicht, warum du die Rundll32.exe löschen willst... ok, wenn du dein Betriebssystem absichtlich schädigen willst... aber ich denke nicht, dass das deine Absicht ist.
Oder dachtest du, dass es sich hierbei um Schasoftware (Malware) handelt?

FRST listet diesen "SVC" Eintrag auch:

Zitat:

HKLM\...\Run: [CANON DR-P215 SVC] => C:\Windows\system32\PHCSVC.DLL [137216 2011-07-12] (Canon Electronics) [Datei ist nicht signiert]

Die Datei PHCSVC.DLL wird also von der Rundll32.exe geladen... ein ganz normaler Vorgang.

Und ich bin mir sicher, dass felix1 den Autostarteintrag von Winamp noch für dich entfernen wird:

Zitat:

HKLM-x32\...\Run: [WinampAgent] => "C:\Program Files (x86)\Winamp\winampa.exe"

Zitat:

Zitat von M-K-D-B

Du hast einiges von Canon installiert... also warum genau wundert es dich jetzt, dass dieses legitime Programm beim Systemstart mitstartet? Erkläre uns das bitte einmal.

Gerne erläutere ich das.
Ich arbeite über zwei Laptops einer Groß und schnell 15,5 Zoll zweiter ist 12 Zoll klein leicht und immense Akkulaufzeit. Beide Laptops sind mit derselben Software (bis auf par kleine unterschiede die schon genannt wurden).
Beim zweiten Laptop ist auch Cannon installiert (Identisch). Da ist diese "SVC" Datei nicht im Autostart. Die Signatur von Cannon endet immer mit Inc., bei dieser Datei nicht.

Kurz nach der neu Installation beider Laptops habe ich selbstverständlich alles noch mal kontrolliert, konfiguriert nach meinen Bedürfnissen. Da war diese Datei Definitiv nicht im Autostart.

Ich habe einfach keine Lust alles platt zu machen um dann festzustellen, nach dem Datei-Backup aufspielen ich wieder den Schmarrn auf den Rechnern habe. Deswegen wende ich mich an euch, um Gewissheit zu haben dass alles in Ordnung ist.

Diese Verbindung zwischen beiden Laptops ist die Synchronisation über die NAS, die Dateien hin und her kopiert. Nicht dass die Laptops sich mit irgendwas infiziert haben und der misst sich darüber verbreitet.
Mir ist auf dem zweiten Rechner aufgefallen, dass da zwei andere Programme im Autostart drinhängen, die ich nicht zuordnen kann. Da sie plump Programm Heißen, beim Rechtsklick darauf ist alles ausgegraut.

Geht es bei Schadware nicht um genau sowas. So tun als ob, um nicht aufzufallen, um dann schaden zu verursachen, wenn man es nicht erwartet?

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  HKLM\...\Run: [CANON DR-P215 SVC] => C:\Windows\system32\PHCSVC.DLL  [137216 2011-07-12] (Canon Electronics) [Datei ist nicht signiert] 
  emptytemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Wieso muss denn mit aller Gewalt das Teil gefixt werden? Nur weil der TO glaubt, der Eintrag bzw die Datei sei anders?!

schrauber hatte hier einen Thread vor über 5 Jahren und da hatte er das auch gelassen

Zitat:

Zitat von Nice88

Ich arbeite über zwei Laptops einer Groß und schnell 15,5 Zoll zweiter ist 12 Zoll klein leicht und immense Akkulaufzeit. Beide Laptops sind mit derselben Software (bis auf par kleine unterschiede die schon genannt wurden).
Beim zweiten Laptop ist auch Cannon installiert (Identisch). Da ist diese "SVC" Datei nicht im Autostart. Die Signatur von Cannon endet immer mit Inc., bei dieser Datei nicht.


Kurz nach der neu Installation beider Laptops habe ich selbstverständlich alles noch mal kontrolliert, konfiguriert nach meinen Bedürfnissen. Da war diese Datei Definitiv nicht im Autostart.

Ich habe einfach keine Lust alles platt zu machen um dann festzustellen, nach dem Datei-Backup aufspielen ich wieder den Schmarrn auf den Rechnern habe. Deswegen wende ich mich an euch, um Gewissheit zu haben dass alles in Ordnung ist.

Diese Verbindung zwischen beiden Laptops ist die Synchronisation über die NAS, die Dateien hin und her kopiert. Nicht dass die Laptops sich mit irgendwas infiziert haben und der misst sich darüber verbreitet.
Mir ist auf dem zweiten Rechner aufgefallen, dass da zwei andere Programme im Autostart drinhängen, die ich nicht zuordnen kann. Da sie plump Programm Heißen, beim Rechtsklick darauf ist alles ausgegraut.

Geht es bei Schadware nicht um genau sowas. So tun als ob, um nicht aufzufallen, um dann schaden zu verursachen, wenn man es nicht erwartet?

Ich verstehe schon, was du meinst. Es ändert aber nichts an der Tatsache, dass das ganz normale (legitime) Vorgänge sind.

Es ist absolut üblich, dass auch legitime Programme "von selbst" (weil so programmiert) Autostarteinträge & Co anlegen... und das kann auf verschiedenen Geräten auch verschieden sein... auch wenn es die gleiche Software betrifft.
Und selbst wenn du jetzt den Fix von felix1 ausführst, kann es durchaus sein, dass ein Treiber von Canon auf diesem oder dem anderen Gerät wieder einen Autostarteintrag anlegt.

Mit Schadsoftware hat das Ganze aber rein gar nichts zu tun.

Und grundsätzlich geht es in diesem Forum um die Entfernung von Schadsoftware, was bei dir nicht vorhanden ist. Legitime Einträge entfernen wir grundsätzlich nicht. Diese kannst du auch selbst aus dem Autostart nehmen.

Zitat:

Zitat von M-K-D-B

Legitime Einträge entfernen wir grundsätzlich nicht.

Ich schon wenn die unnötig sind

Zitat:

Zitat von cosinus

Ich schon wenn die unnötig sind

So wörtlich meinte ich das auch nicht...