Trojaner-Board - Windows 7 HP 64 Bit SP1 (keine Rückmeldung)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows 7 HP 64 Bit SP1 (keine Rückmeldung) (https://www.trojaner-board.de/124813-windows-7-hp-64-bit-sp1-keine-rueckmeldung.html)

Windows 7 HP 64 Bit SP1 (keine Rückmeldung)

Seit wenigen Wochen habe ich das Problem mit "keine Rückmeldung". Besonders häufig tritt der Fehler bei Picasa auf. Zunächst wurde nur nicht erwartungsgemäß nach neuen Bildern gescannt, dann hing Picasa auch beim Importieren. Nach längerer Wartezeit bis zu 5 Minuten wurde das System dann wieder aktiv.

Eine graduelle Verbesserung konnte ich durch deinstallieren von "eingeschleppten" Optimierungstools (uniblue etc.) erreichen. Das Picasaproblem ist geblieben.

Sonsitige Informationen:
Windows aktuell
G-Data InternetSecurity 2013, Firewall aktiv, Wächter aktiv, Vollscan 1x/Woche eingestellt.
Ninja Pro mit CTI aktiv (schon seit Jahren)
Windows Firewall deaktiviert
NVidia-Systemsteuerung wieder repariert (Treiber deinstalliert und neu gestartet)
Windows Defender aktuell und aktiviert

Eine Lösung, die auf meine Konfiguration und das Fehlerbild bei mir zutrifft, habe ich weder im allgemeinen Internet noch in diesem Forum gefunden. Daher bitte ich um fachliche Unterstützung, da ich mich mit OTL-Interpretation nicht auskenne. Die beiden TXT-Dateien gebe ich als Anlage herein, weil ich keinen Splitter gefunden habe.

Schon jetzt danke für die Hilfe!

Zitat:

G-Data InternetSecurity 2013, Firewall aktiv, Wächter aktiv, Vollscan 1x/Woche eingestellt.

Würde ich mal testweise komplettt deinstallieren. Gerade solche fetten Suites machen häufig Ärger - und wirklicher sicherer wird der Rechner durch so eine IS auch nicht :nixda:

Warum nimmst du nicht einfach einen reinen schlanken Virenscanner und dazu die Windows-Firewall?

Danke cosinus, für den Hinweis. Allerdings habe ich die G-Data-Suite schon länger in Verwendung, ohne dass es zu Problemen kam. Deswegen habe ich die Windows-Firewall abgeschaltet, damit keine Konflikte auftreten sollen.

Ich suche nach einer Sache, die sich, ohne mein Wissen, in den letzten Wochen ergeben haben muss. Also entweder ein Update (ich mache von den von mir bewusst genutzten Programmen alle Updates) oder ein durch die Hintertür installierte Sache, wie sie oft per sog. Downloader-Software installiert werden, ohne dass man gefragt wird (Browser-Leisten, "Optimierungs-SW" etc.) , die ich regelmäßig entferne, wenn sie sichtbar werden. Momentan stochere ich aber mit der Stange im Nebel, deshalb habe ich auch die OLT-Dateien mit der Bitte um Durchsicht gepostet.

Diese Suites haben wie schon erwähnt häufiger solche Probleme verursacht. Aber gut, wenn du es nicht deinstallieren willst, kann man es halt eben nicht ausschließen und wir kommen nicht weiter :nixda:

Damit es weiter gehen kann:

Ich habe die Firewall und den Spamschutz von G-Data InternetSecurity deaktiviert. Nach mehrmaligem Neustart merke ich nur eine graduelle Verbesserung. Immer wieder wird "Keine Rückmeldung" aus den verschiedenen Programmen gemeldet: Picasa, Windows Explorer, Outlook, Excel etc. Die Blockade scheint nur schneller vorbei zu sein (bisherige Wahrnehmung).

Warum deaktivieren? Du sollst es testweise deinstallieren und dann sieht man weiter! Wenn du bestimmte Vorschläge nicht umsetzen willst, dann frag auch bitte nicht nach Hilfe! :balla:

Anscheinend sind die beiden von mir geposteten OTL-Dateien nicht relevant, das nehme ich zur Kenntnis.

Ist es nicht so, dass eine Software, die nicht aufgerufen wird und von der auch Hintergrundprozesse stillgelegt sind, lediglich eine Karteileiche darstellt? Wie soll die dann noch dazwischenfunken?

Ich hatte G-Data als erstes im Verdacht und deshalb damit begonnen, den Fehler zu isolieren. G-Data war von mir bereits deinstalliert worden, bevor ich hier Hilfe suchte. Die Maßnahme war aber nicht erfolgreich. Inzwischen habe ich G-Data halt wieder neu installiert. One step at a time.

Inzwischen habe ich einige Dienste deaktiviert, darunter Rezip (unbekannt), SQLAgent$MicrosoftSMLBIZ, Windows Update und VirtualRouterService.

Im Systemstart habe ich Apple Push, CCleaner, Ninja (VoIP) und Betriebssystem Microsoft Windows (!) abgeschaltet.

Ob die Maßnahmen den Durchbruch brachten kann ich noch nicht abschließend bewerten. Die letzten Stunden hatte ich jedenfalls die Meldung "Keine Rückmeldung" nicht mehr gesehen.

Schade, dass das Hilfeangebot durch rüden Umgangston so relativiert wird.

Zitat:

Anscheinend sind die beiden von mir geposteten OTL-Dateien nicht relevant, das nehme ich zur Kenntnis.

hat hier niemand behauptet! :balla:

Zitat:

Schade, dass das Hilfeangebot durch rüden Umgangston so relativiert wird.

Dann verrat mir mal was ich davon halten soll, dass du meine Ideen/Tipps nicht umsetzen willst!

Ich möchte mich mit dir nicht streiten. Es war nur als Feedback gedacht, wie es von Außen betrachtet wirkt, wenn die Hinweise der Hifesuchenden nicht gewürdigt werden, andererseits aber von unbedingtem Gehorsam bei den Gurus ausgegangen wird. Ich kann zwar verstehen, dass die Wissenden von den Unwissenden oft genervt sind, doch ist das hier kein ausgewogener Dialog auf Augenhöhe.

Danke für deine Zeit, die Du an mich verschwendet hast.

Verrat mir doch bitte, was dich daran hindert diesen Tipp umzusetzen?
Es kostet dich nur wenige Minuten und man kann dann mit ziemlicher Sicherheit diese IS als Ursache komplett auschließen oder sogar als Ursache bestätigen

Ich zitiere mich nicht gerne selbst, aber anscheinend muss es sein:

Zitat:

Zitat von sinconoc (Beitrag 927960)

G-Data war von mir bereits deinstalliert worden, bevor ich hier Hilfe suchte. Die Maßnahme war aber nicht erfolgreich.

Ich hatte es somit als Ursache bereits ausgeschlossen. Das Deinstallieren ist sicher schnell geschehen, allerdings die etwa 350MB neu herunterladen macht bei meiner Leitungsqualität Mühe und die Neuistallation ist doch mit Neustarts und Neukonfigurierung von G-Data IS und erneut Neustart des Rechners verbunden. Das alles mit dem Wissen, dass es nicht die Ursache ist.

Und warum erwähnst du das erst heute, dass es schonmal deinstalliert worden war? :confused:
Ich hab dich dreimal gebeten das testweise zu deinstallieren, warum hast du nicht gleich auf meine 1. Antwort gesagt dass es schon getan wurde?

Das war mein Fehler. Ein Zeilenumbruch vor "Ninja" hätte nicht sein sollen.

Zitat:

Zitat von sinconoc (Beitrag 925964)

G-Data InternetSecurity 2013, Firewall aktiv, Wächter aktiv, Vollscan 1x/Woche eingestellt. Ninja Pro mit CTI aktiv (schon seit Jahren)

Meiner Erinnerung nach hatte ich das geschrieben, wenn auch missverständlich. Tut mir leid.

Ok, wenn du den Kram schon deinstalliert hattest und das somit nach diesem aktuellen Wissenstand dnan ausschließen kannst, hätte ich ja schonmal die Info die ich eigentlich wollte :)

Ich würde dann jetzt ein "Vollwaschprogramm" machen, da du aber etwas von Uniblue etc. erwähnt hast, würde ich schon gerne nochmal vorher wissen, ob du mit Registrycleanern die Registry "bereinigt" hast
Solche Tools sind niemals guten Wissens zu empfehlen, das Berienigen bringt keinen Vorteil hat dafür aber ein riesiges Gefahrenpotential

Uniblue hatte sich eingeschlichen, ist aber komplett entfernt. Ich hatte schon viele Monate den CCleaner (64bit, open source) nach jedem Booten laufen. Er sollte die alten und nutzlosen Dateien entfernen. Allerdings hatte ich nicht bemerkt, dass darin auch Registry-Cleaning aktiviert war. CCleaner habe ich ebenfalls deaktiviert (siehe Post von 13:22). Ninja starte ich inzwischen manuell, nicht mehr automatisch mit Windows.

Schon bevor der Fehler "keine Rückmeldung" auftrat, durfte ich z.B. während des Bootvorgangs kein Programm starten, dann hat sich das System verhaspelt. Ich musste warten, bis die Festplatte still stand.

Da ich via Ethernet an den Router angeschlossen bin, habe ich auch WLan deaktiviert.

Neu habe ich heute nun noch auf die Windows-Firewall geschaltet und die G-Data-Firewall stillgelegt. Mir scheint die Reaktionszeit für einen Weblink-Aufruf kürzer zu sein (muss ich noch beobachten).

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Die Scans haben ein paar Stunden gedauert, aber sie scheinen sich gelohnt zu haben. MBAM habe ich noch mit Quarantäne-Inhalt und Logdateien auf dem Rechner. Auch ESET habe vorsichtshalber noch behalten, möchte ich aber nach Abschluss dieses Themas hier wieder deinstallieren.

Zunächst die drei mbam-Logdateien

Code:

Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.10.01.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 major2 :: MFJ2 [Administrator] Schutz: Aktiviert 2012-10-01 17:48:36 mbam-log-2012-10-01 (17-48-36).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 562528 Laufzeit: 4 Stunde(n), 16 Minute(n), 10 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 2 C:\Users\major2\AppData\Roaming\loadtbs (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\major2\AppData\Roaming\loadtbs\html (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 10 C:\Users\major2\AppData\Roaming\loadtbs\keyHash.txt (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\major2\AppData\Roaming\loadtbs\config.txt (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\major2\AppData\Roaming\loadtbs\domHash.txt (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\major2\AppData\Roaming\loadtbs\evHash.txt (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\major2\AppData\Roaming\loadtbs\uninstall.exe (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\major2\AppData\Roaming\loadtbs\updateHash.txt (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\major2\AppData\Roaming\loadtbs\html\dimensions.ini (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\major2\AppData\Roaming\loadtbs\html\install.html (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\major2\AppData\Roaming\loadtbs\html\uninstall.html (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\major2\AppData\Roaming\loadtbs\html\uninstallComplete.html (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende)
Code:

Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.10.01.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 major2 :: MFJ2 [Administrator] Schutz: Aktiviert 2012-10-01 17:48:36 mbam-log-2012-10-01 (22-07-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 562528 Laufzeit: 4 Stunde(n), 16 Minute(n), 10 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 2 C:\Users\major2\AppData\Roaming\loadtbs (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\major2\AppData\Roaming\loadtbs\html (PUP.LoadTubes) -> Keine Aktion durchgeführt. Infizierte Dateien: 10 C:\Users\major2\AppData\Roaming\loadtbs\keyHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\major2\AppData\Roaming\loadtbs\config.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\major2\AppData\Roaming\loadtbs\domHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\major2\AppData\Roaming\loadtbs\evHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\major2\AppData\Roaming\loadtbs\uninstall.exe (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\major2\AppData\Roaming\loadtbs\updateHash.txt (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\major2\AppData\Roaming\loadtbs\html\dimensions.ini (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\major2\AppData\Roaming\loadtbs\html\install.html (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\major2\AppData\Roaming\loadtbs\html\uninstall.html (PUP.LoadTubes) -> Keine Aktion durchgeführt. C:\Users\major2\AppData\Roaming\loadtbs\html\uninstallComplete.html (PUP.LoadTubes) -> Keine Aktion durchgeführt. (Ende)
Code:

2012/10/01 17:46:29 +0100 MFJ2 major2 MESSAGE Starting protection 2012/10/01 17:46:29 +0100 MFJ2 major2 MESSAGE Protection started successfully 2012/10/01 17:46:29 +0100 MFJ2 major2 MESSAGE Starting IP protection 2012/10/01 17:46:31 +0100 MFJ2 major2 MESSAGE IP Protection started successfully 2012/10/01 17:47:43 +0100 MFJ2 major2 MESSAGE Starting database refresh 2012/10/01 17:47:43 +0100 MFJ2 major2 MESSAGE Stopping IP protection 2012/10/01 17:47:43 +0100 MFJ2 major2 MESSAGE IP Protection stopped successfully 2012/10/01 17:47:46 +0100 MFJ2 major2 MESSAGE Database refreshed successfully 2012/10/01 17:47:46 +0100 MFJ2 major2 MESSAGE Starting IP protection 2012/10/01 17:47:47 +0100 MFJ2 major2 MESSAGE IP Protection started successfully 2012/10/01 19:37:12 +0100 MFJ2 major2 MESSAGE Executing scheduled update: Daily 2012/10/01 19:37:22 +0100 MFJ2 major2 MESSAGE Scheduled update executed successfully: database updated from version v2012.10.01.05 to version v2012.10.01.06 2012/10/01 19:37:22 +0100 MFJ2 major2 MESSAGE Starting database refresh 2012/10/01 19:37:22 +0100 MFJ2 major2 MESSAGE Stopping IP protection 2012/10/01 19:37:23 +0100 MFJ2 major2 MESSAGE IP Protection stopped successfully 2012/10/01 19:37:55 +0100 MFJ2 major2 MESSAGE Database refreshed successfully 2012/10/01 19:37:55 +0100 MFJ2 major2 MESSAGE Starting IP protection 2012/10/01 19:37:57 +0100 MFJ2 major2 MESSAGE IP Protection started successfully 2012/10/01 22:12:31 +0100 MFJ2 major2 MESSAGE Starting protection 2012/10/01 22:12:31 +0100 MFJ2 major2 MESSAGE Protection started successfully 2012/10/01 22:12:32 +0100 MFJ2 major2 MESSAGE Starting IP protection 2012/10/01 22:12:33 +0100 MFJ2 major2 MESSAGE IP Protection started successfully

Und nun die ESET-Logdatei

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=78cbf912a1d4ca47a505dbe166a26b57

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-10-02 01:14:36

# local_time=2012-10-02 02:14:36 (+0000, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=4096 16777215 100 0 366590 366590 0 0

# compatibility_mode=5893 16776574 100 94 199567 101592378 0 0

# compatibility_mode=8192 67108863 100 0 637 637 0 0

# scanned=370421

# found=0

# cleaned=0

# scan_time=13149

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Suche.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Sorry, aber auf meinem Rechner ist das ganz große Chaos ausgebrochen. Ständig blue screen mit Fehler "Bad_Pool_Header". Browser zeigen nicht mehr richtig an. Outlook hat keinen Explorer mehr. Nur noch "Safari" scheint zu funktionieren.

Ich melde mich, wenn die Situation wieder stabil(er) ist.

Ich hoffe nicht, dass diese sog. Optimierer von Uniblue dein System zerlegt haben :(