Ich grüße Euch,

ich bin neu hier und hab mich extra wegen eurem HijackThis Support angemeldet.

Seit einiger Zeit habe ich das Gefühl, das mein Rechner am Rad dreht.
Immer wenn ich runterfahren möchte, meldet der Explorer eine Fehlermeldung. Erst nach dieser Meldung kann den PC dann runterfahren.

Einige meiner PC Games stürzen immer ab, obwohl ich die Systemvoraussetzungen erfülle.
Des weiteren werden bei einigen Games meine Spielstände immer gelöscht.
Beende ich eine Spiel normal sind die Spielstände ebenfalls weg und mein Bildschirm wird nicht mehr 100%-ig scharf, sondern bleibt immer ein wenig unscharf.

Dies endet nur, wenn ich mich Neustarte oder mich neu Anmelde.

Antivir hat einen Virus bei mir gefunden namens "TR/Agent.aczt"
Dieser lässt sich irgendwie nicht löschen, sondern nur unter Quarantäne stellen.
Kaspersky findet diesen Virus nicht!
Er befindet sich im Ordner:

Code: Alles auswählenAufklappen

ATTFilter

"C:\System Volume Information\_restor{...}\RP101\A0075213.exe"
         

Ich hab immer wieder meine Antivirenprogramme durchlaufen lassen, doch sie haben nichts weiter gefunden.

Ich habe nun mir mal dieses HijackThis gedownloadet und alles so gemacht, wie es in eurer FAQ steht.

Könnte jemand mal über meinen Bericht gucken und sagen ob er fehler findet? Weiß jemand was über diesen Trojaner?

Vielen Dank schonmal im vorraus!

Hier der Bericht:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:26:03, on 02.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate Personal Firewall 5.6\smc.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Trust\305KS\Mouse\mouse32a.exe
C:\Programme\Trust\305KS\Keyboard\KbdAp32A.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\emMON.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\JetAudio\jetAudio.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\QIP\qip.exe
C:\Programme\TuneUp Utilities 2008\Shredder.exe
C:\Dokumente und Einstellungen\Tom\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qip.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: 81.169.180.144 www.google.de
O1 - Hosts: 81.169.180.144 google.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Trust\305KS\Keyboard\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programme\Trust\305KS\Mouse\mouse32a.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [emMON] emMON.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1.6\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [Microsoft Office Outlook] C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE /recycle
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200229058359
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBF95916-BEF1-4B00-B986-536272A63FB9}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - D:\E\xampp\apache\bin\apache.exe (file missing)
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - D:\xampp\FileZillaFTP\FileZillaServer.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: mysql - Unknown owner - D:\E\xampp\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall 5.6\smc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9624 bytes
         

Hallo und

Das Logfile ist (fast) sauber, zwei Non-Standard hosts-Einträge sind zu erkennen:

Code: Alles auswählenAufklappen

ATTFilter

O1 - Hosts: 81.169.180.144 www.google.de
O1 - Hosts: 81.169.180.144 google.de
         

Evtl. solltest Du die aus dem hostsfile (c:\windows\system32\drivers\etc\hosts) rausnehmen. Standardmäßig steht da nur die Zuordnung zum localhost drin.

Außerdem solltest Du Sygate entfernen, nimm stattdessen die Windows-Firewall, die reicht. Sygate wird schon seit einigen Jahren nicht mehr weiterentwickelt und ist daher eher ein potentieller Schwachpunkt denn eine Schutzkomponente.

Mach mal bitte einen vollen Durchlauf mit MalwareBytes. Deaktiviere vorher den Virenscanner. Dann sehen wir weiter.

Danke für deine Antwort!

Ich werde mir dieses "MalwareBytes" downloaden und nachher oder vielleicht auch erst morgen einen Suchlauf damit machen.

Zu Sygate:

Ich hatte davor ZoneArlarm, doch damit kam ich gar nicht ins Internet, egal was ich machte, so habe ich es entfernt.
Mit Sygate dachte ich eine gute Alternative gefunden zu haben.
Ehrlich gesagt, höre ich auch zum ersten mal, das die Windows Firewall besser ist, als eine extra Firewall. Ich dachte mit Sygate immer gut bedient zu sein...

Ist die Windowsfirewall wirklich die beste? Gibt es keine guten alternativen?!

Zu diesen Google Problem:

Wenn ich mein Firefox öffne und dieses Google Feld in der rechten oberen Ecke nutze, kommen bei mir keine Suchergebnisse, sondern ich lande auch einer gefälschten Googleseiten.
Ich habe mich damals schon ans Gulli:Board gewannt, doch die wollten das ich da Bla Bla Blubb mache... kA von was die da Sprachen.

Hier nochmal der LINK!

Ich hatte anfangs alles gemacht was die wollten, doch dann wurde es mir zu hoch.

Ich mach mal das was du gesagt hast, vielleicht klappts ja dann!

Edit:

Hab die Host entfernt... und es klappt! Mein Problem aus dem Gulli:Board ist gelöst!

VIELEN DANK!!!

So... jetzt such ich mal das Programm und lass es scannen..

Edit 2:

Hab jetzt gescannt und 2 Schädlinge gefunden.

So sieht der Bericht aus:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1360
Windows 5.1.2600 Service Pack 3

03.11.2008 19:05:34
mbam-log-2008-11-03 (19-05-31).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 230406
Laufzeit: 38 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.
         

Was nun?! Löschen?! Wie vorgehen?!

Der erste Fund sollte ja laut google und eurem Board nichts schädliches oder schlimmes sein!
Aber was ist das 2.?

Zitat:

Ist die Windowsfirewall wirklich die beste? Gibt es keine guten alternativen?!

Lies doch einfach mal hier, ich denke dann sollte es etwas klarer werden:

Sicherheitskonzepte ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Die MBAM-Funde kannst und solltest Du löschen lassen. Wenn Du noch mehr (Malware-)Probleme hast, müssen wir dann weitermachen...

Zitat:

Zitat von root24

Lies doch einfach mal hier, ich denke dann sollte es etwas klarer werden:

Sicherheitskonzepte ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Danke für die Links!

Habe jetzt noch keine Zeit gehabt zu lesen, werde ich aber auf jeden Fall noch tun!

Zitat:

Die MBAM-Funde kannst und solltest Du löschen lassen. Wenn Du noch mehr (Malware-)Probleme hast, müssen wir dann weitermachen...

Oja... mein Antivir erkennt immer noch als einiziges AntiViren Programm diesen Trojaner "TR/Agent.aczt" in:

Code: Alles auswählenAufklappen

ATTFilter

"C:\System Volume Information\_restor{...}\RP101\A0075213.exe"
         

Alles anderen Programme überspringen das File ohne eine Meldung abzugeben.

Weiß jemand was das ist oder wie ich es losbekomme?

Zitat:

Zitat von H5N1

Weiß jemand was das ist oder wie ich es losbekomme?

Systemwiederherstellung deaktivieren, danach reaktivieren.

Zitat:

Zitat von root24

Systemwiederherstellung deaktivieren, danach reaktivieren.

Wie gehten das?

Soll ich wirklich nur aus machen und wieder an?!

Nicht zwischendurch Neustarten oder sonst irgendwas?

=> Systemwiederherstellung für Windows XP - Vista

Ein Neustart ist mW nicht erforderlich. Unmittelbar nach dem Setzen das Hakens und anschließendem Übernehmen der Einstellung, sollten alle Wiederherstellungspunkte gelöscht werden.
Wenn Du sie wirklich wieder brauchst, kannst Du den Haken danach rausnehmen und erneut übernehmen. Ich habe allerdings zu schlechte Erfahrungen mit der SWH gemacht und ein wirkliches Backup kann sie niemals ersetzen. Dafür frisst sie Speicher

Gesagt - getan!

Der Trojaner ist weg und alles scheint wieder okay zu sein.

Ich werd nachher den PC nochmal von Antimalware und AntiVir durchsuchen lassen.


Noch ein paar kleine Nebenfragen:

Du sagst es lohnt sich nicht die Systemwiederhestellung laufen zu lassen, sondern wenn, dann sollte man richtige BackUps machen.

Soll ich die jetzt deaktiviert lassen?!

Zu den Backups hätt ich mal noch ein paar Fragen:

1.) Was speichert ein Backup genau?

Nur eigene Dateien oder auch Systempunkte?

2.) Wie groß ich so ein Backup?

Lohnt ja kaum das auf der Festplatte zu lassen, da beim löschen das ja eh verloren geht, d.h man müsste dieses Backup ja wo anders speichern, wie einer DVD oder einer Festplatte - oder?

3.) Welches Programm sollte man nehmen?!

Es gibt ja unzählige Programme um entsprechenden Backups zu erstellen!
Welches ist wirklich geeignet?

Zitat:

Soll ich die jetzt deaktiviert lassen?!

Naja, Schaden tut die SWH nicht, nur mir persönlich bringt sie keinen Nutzen. Da sie sonst dann nur unnötig Speicherplatz wegnimmt, deaktiviere ich sie.
Ob Du sie ganz weglässt musst Du persönlich für Dich entscheiden.

Zitat:

1.) Was speichert ein Backup genau?

Kommt drauf an wie Du das Backup defininierst. Du kannst es so gestalten, dass Du regelmäßig und wiederkehrend die wichtigsten Dateien extern irgendwo hinkopierst, auf ne externe Festplatte zum Beispiel.

Du kannst auch wenn Du willst, jedesmal gleoch ne Vollsicherung des gesamten Systems machen...
Ich jedenfalls sichere nur wichtige Dateien regelmäßig und wiederkehrend auf eine andere Partition und externe Platte, manche Sachen (Musik, Videos etc.) lagern auch redundant auf mehreren PCs. Mit Acronis True Image mach ich einmal ein Systemimage von jedem Rechner, danach nur noch im Bedarfsfall, z.B. vor größeren Änderungen wie Installation von Service Packs oder umfangreichere Applikationen.

Zitat:

3.) Welches Programm sollte man nehmen?!

Zum einfachen Kopieren brauchst Du nicht wirklich ein Programm (evtl. ist aber Total Commander ein brauchbareres Werkzeug als der gemeine Windows-Explorer ) aber spätestens wenn Du Images erstellen willst, brauchst Du sowas wie Acronis TrueImage - mit dem kann/sollte man auch gleich automatisiert Backups erstellen können. Das erfordert aber ein wenig RTFM.