Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Win7 - WinPatrol meldet: "systray .exe stub" (https://www.trojaner-board.de/140322-win7-winpatrol-meldet-systray-exe-stub.html)

Holzpferd 12.09.2013 17:27

Hallo Schrauber,


der Download von DelFix klappte, als ich ihn nach deinem letzten Posting aufrief. Ich habe aber die Aufräumarbeiten noch nicht begonnen, da mich noch die inzwischen eingetretene enorme Startverzögerung irritierte. Da wollte ich noch ein paar Dinge untersuchen, die mir so einfielen. Denn zuletzt brauchte mein Win7 3:20 Minuten, bis das MSE-Systray-Icon grün wurde und 6 Minuten, bis dann die Internetverbindung stand.


Neu-Installation von ClassicShell

Da plötzlich die senkrechten Baumlinien im Navigationsbereich des Explorers fehlten, wollte ich ClassicShell neu instllieren, wobei die Deinstallation auf Fehler lief (dieses Problem hatte ich übrigens auch bei WinPatrol). Das hatte ich schon mal vor dem letzten "Windows Repair"-Einsatz. Deshalb wiederholte ich jetzt die damals gefundene Lösung und habe Vollzugriff für "Jeder" auf den Ordner %temp% eingestellt. Damit war ClassicShell neu installierbar und hatte die Baumlinien wieder.


Zuverlässigkeitsverlauf

Ich stellte fest, dass ich ständig eine große Anzahl erfolgreich installierter WPD-Dateisystem-Volumetreiber angezeigt bekam. Entsprechend groß war die Liste der WPD-Dateisystem-Volumetreiber im Gerätemanager. Das war wahrscheinlich wesentlich mit dadurch zustandegekommen, dass ich auf deinen Rat hin beim ESET Online Scan meine externe Festplatte mit ihren vielen Partitionen einbezogen hatte, wodurch die Anzahl der benötigten Laufwerksbuchstaben die verfügbare Anzahl überschritt. Das kann zu allerlei möglichen USB-Problemen führen, wie mir von früher bekannt war. Deshalb habe ich Uwe Sieber's drivecleanup durchgeführt.


Ereignisanzeige

Hier hatte ich zuletzt folgende administrativen Ereignisse:

12.09.2013 09:26:34 Die Sitzung "Microsoft Security Client OOBE" wurde aufgrund des folgenden Fehlers beendet: 0xC000000D.

12.09.2013 09:26:49 Der Dienst "Net.Msmq-Listeneradapter" ist von folgendem Dienst abhängig: msmq. Dieser Dienst ist eventuell nicht installiert.

12.09.2013 09:26:49 Der Dienst "Net.Tcp-Listeneradapter" ist vom Dienst "Net.Tcp-Portfreigabedienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

12.09.2013 09:27:02 Dienst "WMPNetworkSvc" konnte nicht ordnungsgemäß gestartet werden, da ein Fehler "0x80004005" in "CoCreateInstance(CLSID_UPnPDeviceFinder)" aufgetreten ist. Überprüfen Sie, ob der Dienst "UPnPHost" ausgeführt wird und ob die Windows-Komponente "UPnPHost" richtig installiert ist.

12.09.2013 09:27:05 Fehler beim Laden des Treibers \Driver\WUDFRd für das Gerät WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_GENERIC-&PROD_COMPACT_FLASH&REV_1.00#20060413092100000&0#.

Also schon wieder Hinweise auf Dienste, die offenbar den Start verzögern. Da sie aber nicht alle wirklich benötigt werden, wie meine Internet-Recherche ergab, muss ich wohl noch irgendwo im Netzwerkbereich falsche Einstellungen haben. Ich weiß nicht, ob so etwas von einem Inplace Ugrade behoben wird. Das soll ja Einstellungen unverändert lassen?


Schlussfolgerung

Da alles Herumprobieren trotz gelegentlichen Teilerfolgen die Situation insgesamt eher verschlechterte, lasse ich jetzt weiteres Herumprobieren bleiben, mache die von dir vorgeschlagenen Abschlussarbeiten und versuch dann ein Inplace Upgrade. Danach melde ich mich wieder.


Noch 1 Frage

Nach einem Inplace Upgrade werden ja wahrscheinlich zig Windows Updates anstehen mit vielleicht sogar 200 MB oder so. Gibt es irgendwo eine Anleitung, ob man diese in einzelnen Portionen installiert und welche Aufteilung man da am besten vornimmt, um eventuelle Abhängigkeiten zu berücksichtigen?


Gruß,
holzpferd

schrauber 13.09.2013 08:09

Zitat:

Nach einem Inplace Upgrade werden ja wahrscheinlich zig Windows Updates anstehen mit vielleicht sogar 200 MB oder so. Gibt es irgendwo eine Anleitung, ob man diese in einzelnen Portionen installiert und welche Aufteilung man da am besten vornimmt, um eventuelle Abhängigkeiten zu berücksichtigen?
Die Abhängigkeiten wird dir Windows Update schon vordiktieren :)

Wenn Du wichtige und optionale alle anhakst bekommste irgendwann ne Meldung dass nur a oder b geht, nicht a und b zusammen, je nach Gültigkeit und Abhängigkeit.

Holzpferd 18.09.2013 15:41

Hallo Schrauber,

habe gestern nach deiner Anweisung Combofix deinstalliert und DelFix ausgeführt:

Code:

# DelFix v10.4 - Datei am 17/09/2013 um 19:07:59 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Benutzer : siegmar - I3-PC
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)

~ Aktiviere die Benutzerkontensteuerung ... OK

~ Entferne die Bereinigungsprogramme ...

Gelöscht : C:\FRST
Gelöscht : C:\TDSSKiller_Quarantine
Gelöscht : C:\AdwCleaner[R1].txt
Gelöscht : C:\AdwCleaner[S1].txt
Gelöscht : C:\ComboFix.txt
Gelöscht : C:\ComboFix.zip
Gelöscht : C:\JavaRa.log
Gelöscht : C:\TDSSKiller.2.6.2.0_27.09.2011_10.54.45_log.txt
Gelöscht : C:\TDSSKiller.2.6.2.0_27.09.2011_10.55.48_log.txt
Gelöscht : C:\TDSSKiller.2.7.48.0_25.09.2012_10.43.24_log.txt
Gelöscht : C:\TDSSKiller.2.7.48.0_31.07.2012_05.48.44_log.txt
Gelöscht : C:\TDSSKiller.2.7.48.0_31.07.2012_06.07.51_log.txt
Gelöscht : C:\TDSSKiller.2.8.10.0_21.08.2013_11.36.44_log.txt
Gelöscht : C:\TDSSKiller.2.8.10.0_25.09.2012_10.47.39_log.txt
Gelöscht : C:\Users\siegmar\Desktop\DDS (Systeminfo) von majorgeeks.html
Gelöscht : C:\Users\siegmar\Desktop\FRST.txt
Gelöscht : C:\Users\siegmar\Desktop\FRST64.exe
Gelöscht : C:\Users\siegmar\Desktop\FSS.exe
Gelöscht : C:\Users\siegmar\Desktop\JRT.txt
Gelöscht : C:\Users\siegmar\Desktop\MiniToolBox (von Farbar).exe
Gelöscht : C:\Users\siegmar\Desktop\Result.txt
Gelöscht : C:\Users\siegmar\Desktop\SINOLog_0854_25-05-2012.log
Gelöscht : C:\Users\siegmar\Downloads\esetsmartinstaller_enu.exe
Gelöscht : C:\Users\siegmar\Downloads\FRST.txt
Gelöscht : C:\Users\siegmar\Downloads\FSS (Farbar Service Scanner von Bleeping).exe
Gelöscht : C:\Users\siegmar\Downloads\JavaRa(1).zip
Gelöscht : C:\Users\siegmar\Downloads\MiniToolBox (von Farbar).exe
Gelöscht : C:\Users\siegmar\Downloads\SINO.exe
Gelöscht : HKLM\SOFTWARE\AdwCleaner
Gelöscht : HKLM\SOFTWARE\Swearware

~ Erstelle ein Backup der Registrierungsdatenbank ... OK

~ Lösche die Wiederherstellungspunkte ...

Gelöscht : RP #369 [ComboFix created restore point | 09/17/2013 16:57:56]

Ein neuer Wiederherstellungspunkt wurde erstellt !

~ Stelle die Systemeinstellungen wieder her ... OK

########## - EOF - ##########

Es lief alles reibungslos.

An das Inplace Upgrade habe ich mich noch nicht gemacht, weil ich diese Woche noch mit einem anderen Projekt beschäftigt bin und außerdem erst noch ausreichen Platz auf meiner Systemfestplatte schaffen und ein Image erstellen muss. Der Zuverlässigkeitsverlauf steigt seit 6 Tagen unaufhörlich und nähert sich langsam der Bestmarke 10, was natürlich nicht heißt, dass da keine kritischen Ereignisse wären. Sonst müsste ich ja auch nicht über 5 Minuten warten, bis das MSE Systray Icon grün wird und die Internetverbindung steht. Aber ansonsten kann ich nach diesen 5 Minuten mit dem System ordentlich arbeiten (es besteht ja im Normalbetrieb keine Notwendigkeit, an den Diensten – die bekanntermaßen bei mir etwas verkorkst sind – herumzuschrauben).

Ich bedanke mich sehr für deine engagierte Hilfe, durch die ich viel lernen konnte. :dankeschoen:
Von mir aus kannst du den Thread jetzt aus deiner Beobachtungsliste streichen. Es würde mich allerdings sehr freuen, wenn du noch folgende
2 Fragen beantworten könntest:

  1. Alle $NtUninstallxxx Unterordner sind aus meinem Windows-Ordner verschwunden. Das beunruhigt mich schon etwas, obwohl sie ja wahrscheinlich teilweise nach einem Inplace Upgrade wieder angelegt werden und der WinSXS-Ordner mit 17 GB offenbar noch voll da ist. Welches deiner Tools macht so etwas, oder ist das ein unbeabsichtigter Nebeneffekt?
  2. Etwa 2 bis 3 Sekunden bevor das MSE Systray Icon grün wird und die Internetverbindung steht, rattert mit großer Regelmäßigkeit das Diskettenlaufwerk kurz. Was sagt das einem Kenner wie dir über die Ursache der extrem langen Bootzeit? Und warum war diese Zeit nach den 2 ComboFix-Läufen jeweils von 5 auf 2 Minuten reduziert worden?

Gruß,
holzpferd

schrauber 18.09.2013 20:04

Zitat:

Alle $NtUninstallxxx Unterordner sind aus meinem Windows-Ordner verschwunden. Das beunruhigt mich schon etwas, obwohl sie ja wahrscheinlich teilweise nach einem Inplace Upgrade wieder angelegt werden und der WinSXS-Ordner mit 17 GB offenbar noch voll da ist. Welches deiner Tools macht so etwas, oder ist das ein unbeabsichtigter Nebeneffekt?
Je nach Art der Datenträgerbereinigung werden die Ordner von älteren Updates gelöscht.
Denke ich jetzt mal :)
Zitat:

Etwa 2 bis 3 Sekunden bevor das MSE Systray Icon grün wird und die Internetverbindung steht, rattert mit großer Regelmäßigkeit das Diskettenlaufwerk kurz. Was sagt das einem Kenner wie dir über die Ursache der extrem langen Bootzeit? Und warum war diese Zeit nach den 2 ComboFix-Läufen jeweils von 5 auf 2 Minuten reduziert worden?
Hmm, Du könntest das Laufwerk im Bios deaktivieren und eventuelle Software, die darauf zugreifen könnte aus dem Autostart nehmen, wenn vorhanden :)

Holzpferd 19.09.2013 10:39

Und du hast nicht irgendeine Idee, warum ComboFix es schon 2 Mal schaffen konnte, meine Bootzeit drastisch von 5 auf 2 Minuten zu verkürzen (was dann später, wahrscheinlich durch Windows Repair, wieder zunichte gemacht wurde)?

Gruß,
holzpferd

schrauber 19.09.2013 16:48

Cf wird öffentlich nicht diskutiert. Nur soviel, es werden auch Dienste und Co gerichtet. Das ist aber jetzt kein Freifahrtschein das Tool einfach mal so zu nutzen, das kann ganz schnell in die Hose gehen :)

Holzpferd 20.09.2013 09:05

Zitat:

Zitat von schrauber (Beitrag 1158896)
...
Das ist aber jetzt kein Freifahrtschein das Tool einfach mal so zu nutzen, das kann ganz schnell in die Hose gehen :)

Das ist mir völlig klar. Deshalb hatte ich in #11 (ganz am Ende), nachdem die Bootzeit wieder deutlich angestiegen war, darum gebeten, testweise einen 2. ComboFix-Durchlauf machen zu dürfen. Den hast du dann auch in #12 angeordnet. Der Erfolg war wieder überwältigend.

Leider ist nach beiden ComboFix-Läufen die erreichte Verkürzung der Bootzeit durch andere Maßnahmen wieder zunichte gemacht worden. Ich nehme an, du kannst jetzt zur möglichen Ursache dafür auch keine Aussage machen. Die Frage wäre nur, ob ich vielleicht später mal (wenn alle anderen Maßnahmen nichts bringen), einen speziellen Thread zur Verkürzung der Bootzeit mit ComboFix eröffnen könnte. Da könnte doch dann vielleicht durch den einen oder anderen kurzen Test ermittelt werden, wie stabil diese Bootzeit-Verkürzung ist bzw. wodurch sie wieder zunichte wird. Oder würde ein solcher Thread aus der TB-Zuständigkeit herausfallen?

schrauber 20.09.2013 11:31

Naja, wie gesagt, öffentlich Aussagen zu Combofix wirst du keine bekommen, das ist geheim. JHört sich blod an, ist aber mitunter unser stärkstes Tool, und die Malware-Schreiber lesen mit ;)

ich würd ja immer noch das Inplace Upgrade machen, das hat vom Richten der Dienste her den gleichen Erfolg ;)

Holzpferd 15.10.2013 17:49

Hallo Schrauber,

jetzt muss ich doch noch eine Frage zu den abschließenden Aufräumarbeiten stellen:

Du schriebst in #28:

Zitat:

Zitat von schrauber (Beitrag 1148937)
Rechner ist malware-technisch sauber, ...
...
Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
...

Das ist jedoch so nicht ganz zutreffend. Das Tool "Windows Repair" und insbesondere auch die von ihm angelegten Registry Backups sind nicht gelöscht worden. Ist das von Trojaner-Board.de so beabsichtigt? Wenn ja, dann sollte es doch möglich sein, dass ich von den beiden Backups, die das Tool angelegt hat (vom 8.9. und 29.8.2013) das zweite vom 29.8., das zwischen den Postings #16 und #17 liegt, wiederherstelle. Ich denke mal, dass ich da schon malwarefrei war; sonst hätte ja DelFix diese Backups auch beseitigen müssen.

Ich erhoffe mir von diesem Backup eine Wiederherstellung des guten Win7-Startverhaltens, das zu dem Zeitpunkt noch vorhanden war. Könntest du dieser Maßnahme zustimmen?

Gruß,
holzpferd

schrauber 16.10.2013 09:27

Möglich. Tewaking ist kein Malware-Removal-Programm, deswegen wird es von Delfix nicht adressiert. Könnte ich aber mal beim Autor anregen.

Holzpferd 16.10.2013 16:34

Was ist möglich? Dass ich zwischen #16 und #17 malwarefrei war, wo das Registry Backup gemacht wurde, das ich wiederherstellen möchte?

Deine Malwarefrei-Meldung kam erst in #28. Aber ich kann nicht sehen, dass zwischen #16 (deiner ersten Windows Repair Anweisung) und #28 noch irgendetwas in Richtung Malwarebeseitigung passiert wäre. Da liefen eigentlich nur noch Fragen und Antworten, die sich hauptsächlich auf mein Dienste-Problem bezogen.

Also sollte ich eigentlich schon vor #17 malwarefrei und das damals erstellte Registry Backup OK gewesen sein?

schrauber 17.10.2013 08:37

genau :)

Holzpferd 20.10.2013 15:50

Hallo Schrauber

Zitat:

Zitat von Holzpferd (Beitrag 1176313)
.....
Deine Malwarefrei-Meldung kam erst in #28. Aber ich kann nicht sehen, dass zwischen #16 (deiner ersten Windows Repair Anweisung) und #28 noch irgendetwas in Richtung Malwarebeseitigung passiert wäre.
.....

Zitat:

Zitat von schrauber (Beitrag 1176633)
genau :)


Es ist zwar von dir bestätigt worden, dass nach #16 (deiner ersten Windows Repair Anweisung) nichts mehr in Richtung Malwarebeseitigung passiert ist, aber meine Schlussfolgerung daraus, dass Windows Repair nichts mit Sicherheit sondern nur mit Tweaking zu tun hätte, war wohl etwas oberflächlich, oder?

Mir ist da nämlich inzwischen wieder eingefallen, dass es ja in Windows Repair den optionalen Schritt 2 gibt mit dem Titel "Check File System (Optional) Very Important If Doing File Permissions Repair". Dieser Schritt dauerte bei mir recht lange. Wenn ich ihn recht verstehe, werden da für jede meiner Systemdateien und jeden meiner Systemordner die Einstellungen im Reiter "Sicherheit" des Eigenschaften-Fensters auf die Originalwerte zurückgesetzt. Ist das so richtig?

Wenn das stimmt, würde Windows Repair zwar keine Malware entfernen, aber doch die durch Setzen falscher Rechte geschaffenen Sicherheitslücken wieder beseitigen. Damit wäre das Programm, vor allem sein Step 2, wichtiger als ich es zunächst eingeschätzt hatte.

Liege ich mit dieser Interpretation des Step 2 richtig?

Außerdem habe ich noch folgende Frage zu den Zugriffsrechten auf Dateien und Ordner:
Ich habe schon hin und wieder mit zweifelhaften Gefühlen den Besitz für bestimmte Dateien und Ordner übernommen oder die Berechtigungen für einzelne Besitzer geändert, ohne genau zu wissen ob und welche Sicherheitslücken ich damit eventuell schaffe. Für diese Frage habe ich bisher noch keine Beurteilungskriterien im Internet finden können. Könntest du mir da vielleicht ein paar hilfreiche Links nennen?
Oder sollte ich mir auf jeden Fall jede Rechteänderung notieren und nach Gebrauch sofort wieder rückgängig machen?

Gruß,
holzpferd

schrauber 20.10.2013 18:07

Zitat:

Mir ist da nämlich inzwischen wieder eingefallen, dass es ja in Windows Repair den optionalen Schritt 2 gibt mit dem Titel "Check File System (Optional) Very Important If Doing File Permissions Repair". Dieser Schritt dauerte bei mir recht lange. Wenn ich ihn recht verstehe, werden da für jede meiner Systemdateien und jeden meiner Systemordner die Einstellungen im Reiter "Sicherheit" des Eigenschaften-Fensters auf die Originalwerte zurückgesetzt. Ist das so richtig?
Korrekt. Es wird halt Windows "repariert".

Zitat:

Wenn das stimmt, würde Windows Repair zwar keine Malware entfernen, aber doch die durch Setzen falscher Rechte geschaffenen Sicherheitslücken wieder beseitigen. Damit wäre das Programm, vor allem sein Step 2, wichtiger als ich es zunächst eingeschätzt hatte.
Wenn in diesem Backup vor Step 2 aktive Malware drin war, werden die Einstellungen wieder verbogen. Bzw sind die bereits verbogenen Einstellungen in dem Backup drin, unter Umständen.
Zitat:

Ich habe schon hin und wieder mit zweifelhaften Gefühlen den Besitz für bestimmte Dateien und Ordner übernommen oder die Berechtigungen für einzelne Besitzer geändert, ohne genau zu wissen ob und welche Sicherheitslücken ich damit eventuell schaffe. Für diese Frage habe ich bisher noch keine Beurteilungskriterien im Internet finden können. Könntest du mir da vielleicht ein paar hilfreiche Links nennen?
Oder sollte ich mir auf jeden Fall jede Rechteänderung notieren und nach Gebrauch sofort wieder rückgängig machen?
Langatmiges Thema. Gegenfrage: Warum brauchst Du sowas allgemein als Privatperson die nicht in einem Firmennetz hängt oder auf Server zugreifen muss.

Ich hab bei mir spezielle Ordner freigegeben, ich betreibe aber auch ein komplettes Heimnetzwerk zu Hause.

Holzpferd 21.10.2013 18:32

Zitat:

Zitat von schrauber (Beitrag 1178770)
.....
Langatmiges Thema. Gegenfrage: Warum brauchst Du sowas allgemein als Privatperson die nicht in einem Firmennetz hängt oder auf Server zugreifen muss.
.....


Ich will mal ein konkretes Anwendungsbeispiel geben, das ich schon mal in diesem Thread erwähnt hatte:


Zitat:

Zitat von Holzpferd (Beitrag 1153741)

Neu-Installation von ClassicShell

Da plötzlich die senkrechten Baumlinien im Navigationsbereich des Explorers fehlten, wollte ich ClassicShell neu instllieren, wobei die Deinstallation auf Fehler lief (dieses Problem hatte ich übrigens auch bei WinPatrol). Das hatte ich schon mal vor dem letzten "Windows Repair"-Einsatz. Deshalb wiederholte ich jetzt die damals gefundene Lösung und habe Vollzugriff für "Jeder" auf den Ordner %temp% eingestellt. Damit war ClassicShell neu installierbar und hatte die Baumlinien wieder.

Es geht mir also im wesentlichen nicht um die Freigabe irgendwelcher Ordner oder Dateien für andere Nutzer, sondern eher um die Ausführung von irgendwelchen Arbeiten am System, für die ich Änderungen der Rechte brauche.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131