System sauber? Logfile Kontrolle, CCleaner kann 1 RegFehler nie löschen, Disk Boot Failure

JJLiz · 03.07.2010, 01:15

Hallo!

Da mich ein automatisches Update von AdobeReader heute extrem gestört hat, hatte ich angefangen mir mal meine laufenden Prozesse anzuschauen und ggf. unnötige und ärgerliche Sachen, wie bspw. den AdobeUpdater und DivxUpdater mittels msconfig aus dem Autostart zu befördern.

Dann hat mich die Paranoia und der Ehrgeiz gepackt und ich habe noch mehr unnötigen Mist im TaskManager ausfindig gemacht und die Prozesse beendet und unter msconfig aus dem Autostart genommen.

Beim Checken der versch. Prozesse stösst man natürlich hin und wieder auf Warnungen a la "Vorsicht. Das ist ein Trojaner", aber richtig beunruhigt hat mich eigentlich nichts, da alles sehr clean ausschaut.

Trotzdem wollte ich mal einfach mein System komplett durchchecken lassen. Stoße natürlich aber als Laie irgendwann an meine Grenzen.

Also hier erstmal meine aktuelle Hijack Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 01:49:26, on 03.07.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HJT\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1229272821-1035525444-1417001333-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: hxxp://download.windosupdate.com
O15 - Trusted Zone: hxxp://*.windowsupdate.com
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1DD5D99-F856-4651-BDD6-12F998C82138}: NameServer = 195.50.140.178 195.50.140.114
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PostgreSQL Server 8.4 (postgresql-8.4) - PostgreSQL Global Development Group - C:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe

--
End of file - 5808 bytes

Hatte dann auch Malwarebyte's Anti-Malware zum ersten Mal ausgeführt und einen Quickscan durchgeführt, zu meiner Überraschung hat es auch eine Infizierung gefunden. Scheint aber irgendwie nur damit zusammenzuhängen, dass irgendein Notifier im Security Center disabled wurde.
Ich denke, dass hängt damit zusammen, dass ich mittels XP Antispy die Warnhinweise deaktiviert habe. Kann im Security Center die Warneinstellungen nicht ändern, der HyperLink lässt sich nicht mehr anklicken. Bin mir ziemlich sicher, dass das durch AntiSpy so veranlasst wurde, also mache mir daher keinen Kopf um diesen Fund.
Hier die entsprechende Logfile:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4269

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

03.07.2010 01:24:14
mbam-log-2010-07-03 (01-24-14).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 135369
Laufzeit: 3 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Was mich schon seit Ewigkeiten stört, ist das ich mit CCleaner immer meine komplette Registry bereinigen kann, bis auf eine Sache, die einfach nie verschwinden will:

Code:

ATTFilter

Ungenutzte Datei-Endungen	{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}	HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Frage mich natürlich was das genau ist und warum es einfach nicht verschwinden will. Das Entfernen klappt ja bei allen anderen Fehlern in der Registry einwandfrei.

Wie oben beschrieben ist mein Anliegen, einfach mal mein System komplett unter die Lupe zu nehmen, um zu schauen, ob es tatsächlich so sauber ist wie ich denke und um eventuell unnötige Sachen noch zu entfernen (bspw. nervige AutoUpdater oder ähnliches, die einfach nach draussen kommunizieren ohne dass ich dazu die Erlaubnis gebe).

Grds. habe ich keine Probleme, will nur sicherstellen, dass alles safe ist. Einziges kleines Problem ist wie gesagt, dass ich den Reg-Fehler (s.o.) einfach nicht mit CCleaner wegbekomme.
Darüber hinaus kann ich meinen PC auch nie direkt über Windows neustarten oder einfach per Reset wieder hochfahren. Er bleibt dann immer beim Booten irgendwann hängen und es heißt: DISK BOOT FAILURE. ENTER SYSTEM DISK AND PRESS ENTER.
Muss also immer meinen PC komplett ausmachen. 1-2 Minuten warten (wenn nicht, d.h. beim direkten Wiederanschalten käme der gleiche Fehler beim Booten) und dann startet er auch vernünftig ohne Boot Failure.
Denke das ist ein Hardware Fehler meiner HDD. Dachte erst mein altes IDE DVD Laufwerk wäre das Problem gewesen, aber nachdem ich es durch ein neues SATA DVD Laufwerk ersetzte hatte, kam der Fehler dennoch immer wieder bei jedem Neustart. Deswegen denke ich mal, dass etwas mit meiner HDD nicht passt, aber solange der PC nach 1-2 Minuten wieder normal startet, kann ich auch damit leben und noch auf eine neue HDD verzichten.

Also, wenn jmd. mal Zeit und Lust hat, kann er sich ja mal die Logfiles anschauen und gucken, ob das alles normal und sicher aussieht, oder ob vielleicht doch Gefahr besteht.

Vielen Dank im Voraus!

System sauber? Logfile Kontrolle, CCleaner kann 1 RegFehler nie löschen, Disk Boot Failure

Log-Analyse und Auswertung: System sauber? Logfile Kontrolle, CCleaner kann 1 RegFehler nie löschen, Disk Boot Failure

System sauber? Logfile Kontrolle, CCleaner kann 1 RegFehler nie löschen, Disk Boot Failure

Ähnliche Themen: System sauber? Logfile Kontrolle, CCleaner kann 1 RegFehler nie löschen, Disk Boot Failure