Win7 - WinPatrol meldet: "systray .exe stub"
 

Hallo,

seit vorgestern meldet sich mein WinPatrol ständig mit dem New Program Alert "Systray .exe stub". Als Pfad steht da C:\Windows\System32\systray.exe und als weitere Angabe "Microsoft Corporation". Das sieht ja zum Teil ganz normal aus. Aber wenn ich nach "Systray .exe stub" google, erhalte ich sehr viele Hinweise auf einen Keylogger.

Ich habe natürlich die WinPatrol-Abfrage immer mit "No" beantwortet mit der Folge, dass ich das alle paar Sekunden wiederholen muss. Die dann erscheinende WinPatrol-Hilfe-Website, wonach man mehrere verdächtige Anwendungen, Prozesse, Tasks oder Dateien gleichzeitig schließen sollte, bringt mir nichts, da ich keine verdächtigen Anwendungen oder Tasks erkennen kann und die Anzahl anderer zu untersuchender Elemente viel zu groß für mich ist, um sie alle eingehend zu untersuchen. Deshalb hoffe ich sehr auf die Hilfe hier.

Was ich bisher getan habe ist, komplette Suchläufe mit Malwarebytes und MSE (beide natürlich aktualisiert) durchzuführen - ohne Fund - und Zemana AntiLogger zu istallieren für den Fall, dass ich doch noch die WinPatrol-Abfrage versehentlich mit "Yes" beantworte, bevor mir hier jemand aus dem Problem herausgeholfen hat. Für diese Hilfe schon jetzt vielen Dank.

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

FRST Logfile:
--- --- ---

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Schrauber,

Danke für deine Hilfe.


Zunächst das Ergebnis:

• Der Windows-Start, bis das Internet zur Verfügung steht, hat sich um 2 bis 3 Minuten verkürzt. Auch MSE ist sofort nach dem Einloggen da im Gegensatz zu vorher. Damit ist ein Ärgernis beseitigt, das mich schon einige Monate ärgert.
  
• Der WinPatrol New Program Alert „Systray .exe stub“ taucht immer noch auf.

Im Folgenden möchte ich hier einige Erläuterungen zu meinem Vorgehen geben:

• Bisher habe ich alle Aktionen in einem Standardbenutzer-Konto (Name: „siegmar“) durchgeführt, dies aber mit Administratorrechten im Nutzer-Kontext (mittels SuRun)
• Nach Durchlaufen von ComboFix und zweimaligem Neustart (Fehlerbeschreibung folgt) habe ich dann den 3. Neustart in ein Administratorkonto (Name: Anfangsnutzer) durchgeführt, woraufhin der Start fehlerlos verlief.
• Bezüglich MSE habe ich den Echtzeitschutz deaktiviert und über den Taskmanager den Prozess „msseces.exe“ beendet.
• WinPatrol habe ich beendet, indem ich über das Kontextmenü des Systray-Icons den Menüpunkt „Exit Program“ gewählt habe, und zwar obwohl der oben genannte New Program Alert geöffnet war.
• Zemana Antilogger Free habe ich weiter laufen lassen, weil das zwar ein Sicherheitsprogramm aber kein Malware-Scanner ist.

Fehlerbeschreibung nach Durchlaufen von ComboFix:

Ein ComboFix-Konsolenfenster öffnete und schloss in sehr hohem Tempo, und zwar leicht örtlich versetzt, so dass man kaum die Titelleiste auslesen konnte. Dieses Fenster ließ sich nicht beenden. Mit bloßem Auge konnte ich mit Mühe die Titelleiste „C:\ComboFix\pev.3XE“ erkennen. Durch ein paar Digitalfotos konnte ich dann noch eine 2. Titelleiste „C:\ComboFix\CF1666.3XE“ erkennen, die allerdings weit weniger oft erschien.

Die Maus reagierte noch und konnte noch andere Fenster öffnen, jedoch nicht mehr durch OK oder Schließen usw. beenden.

Ich konnte aber Ctrl+Alt+Del ausführen und von dort aus neustarten.

Logs bitte immer in den Thread posten.

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Hallo Schrauber,

vorab eine Frage: Ich bin mir immer unsicher, ob ich deine Anweisungen in einem Standardnutzer-Konto durchführen darf oder nicht (habe ich bisher immer so gehalten), ob ich Administratorrechte nur wenn von dir oder vom Tool angefordert nutzen soll und falls ja, ob dann SuRun-Administratorrechte (also User-Kontext) genügen. Vielleicht kannst du dazu mal was Grundsätzliches sagen.



Die neuen Logdateien und Anmerkungen dazu:

1. Malwarebytes Antimalware

• - Malwarebytes 1.70 war drauf, habe ich deinstalliert;
• - Malwarebytes 1.75 neu installiert und aktualisiert bei ausgeschalteten Sicherheitsprogrammen und Firewall;
• - Entgegen der Anweisung in http://www.trojaner-board.de/51187-a...i-malware.html (zu spät nachgelesen) Vollständigen Suchlauf durchgeführt mit allen Laufwerken außer den optischen (X:\ und Y.\);

2. AdwCleaner

In der Anweisung war nur die Datei [Sx].txt gefordert, weshalb ich hier nur meine S0.txt beifüge und die R0.txt weglasse.



3. Junkware Removal Tool

Hier war etwas Seltsames passiert, was ich bisher noch nie hatte: Nach Ausführung JRT mit den Rechten eines Administratorkontos (diesmal hatte ich ausnahmsweise nicht SuRun genommen) hatte ich plötzlich den etwas abgewandelten Desktop dieses Administrators und sein Profilbild unter START in meinem User-Konto. Das User-Konto war aber nach Neustart wieder normal.



4. Frisches FRST log

Hier fällt mir auf, dass unter „Internet (Whitelisted)“ in der 1. Zeile steht: „ProxyServer: localhost:12080“. Ich weiß nicht, wie das zustandekommt und was das zu bedeuten hat. Ich habe nämlich in den Firefox-Einstellungen „Kein Proxy“ stehen und in den „Einstellungen für lokales Netzwerk“ keines der Kästchen (Userkonto) bzw. „Einstellungen automatisch erkennen“ (Administratorkonto) angehakt. „ProxyServer: localhost:12080“ hatte ich früher mal eingestellt, das ist aber jetzt ausgegraut.

FRST Logfile:

FRST Logfile:
--- --- ---



Den Tab "Fix" habe ich nicht benutzt, da ich keine Anweisung dazu hatte.




5. Ergebnis

Der WinPatrol New Program Alert „Systray .exe stub“ taucht immer noch auf.

Scans passen schon so. Jetzt noch nen Onlinescan, um die Reste aufzudecken, dann schauen wir nach Winpatrol.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Hallo Schrauber,

die sehr guten und klaren Anweisungen lassen immer noch Fragen offen, wo ich eigene Entscheidungen treffen muss, von denen ich dann nicht weiß, ob sie im Sinne des Helfers sind. Deshalb schreibe ich zu jeder log-Datei meine eigenen Entscheidungen dazu, wenn sie mir erwähnenswert erscheinen. Diese Entscheidungen betreffen so Dinge wie Rechte, Neustart, Schließen aller Autostartprogramme, Deaktivierung von Sicherheitsprogrammen, die zwar häufig, aber nicht immer in den Anweisungen erwähnt werden.


1. ESET Online Scanner Log

• Da ich alle Laufwerksbuchstaben von C: bis Q: für Laufwerke auf meinen 2 internen Festplatten vergeben habe und X: und Y: meinen DVD-Laufwerken zugeordnet sind. bleiben mir für die anzuschließenden externen Festplatten, USB-Sticks usw. nur die Laufwerksbuchstaben R, S, T, U, V, W, Z. Diese werden alle von meiner wchtigsten externen Festplatte gebraucht, da ich die 1-TB-Platte in so viele Partitionen aufgeteilt habe. Ich konnte deshalb nur diese Festplatte in den Scan einbeziehen. Was mache ich nun mit meiner 2. externen Festplatte und meinen USB-Sticks und Memory Cards? Und was mache ich mit meiner bei diesem Scan bereits mitgeprüften externen Festplatte, falls darauf Malware gefunden wurde? Die sollten ja laut Anweisung nicht removed werden.
  
• Den sonst immer gut gefüllten Papierkorb brauchte ich nicht zu leeren. Als ich es versuchte, stellte er sich als leer heraus. Ich weiß nicht, wann das passiert sein soll.
  
• Nach der Deinstallation von EsetOnlineScanner habe ich keinen Neustart gemacht, sondern habe sofort die vorher heruntergeladenen SecurityCheck und FRST64 ausgeführt, übrigens bei wieder ausgehängter externer Festplatte.

2. SecurityCheck



3. Frisches FRST log


FRST Logfile:
--- --- ---




4. Ergebnis

Warum fragst du am Ende von Posting #8 „Noch Probleme?“? Ich sollte doch beim ESET Online Scan und bei FRST die Aktionen „Remove“ bzw. „Fix“ nicht durchführen. Und vom bloßen Log-Datei-Erstellen geht doch ein Schädling nicht weg? Er ist jedenfalls noch da.

Ist das ein Fujitsu Laptop?
SystemLookup - systray

Device Doctor bitte deinstallieren. Die Sachen auf den anderne Laufwerken bitte von Hand löschen.

Hallo Schrauber,

Hier meine Aktionen:

• Es ist kein Fujitsu-Laptop, sondern ein normaler Desktop-Computer (MidiTower) mit Mobo GIGABYTE H55M-USB3.
  
• Device Doctor habe ich deinstalliert.
  
• Die aufgelisteten Dateien habe ich gelöscht. Die erste davon (C:\Program Files (x86)\Device Doctor\DDSmartScan.exe) war nach der Deinstallation allerdings nicht mehr vorhanden.

Ergebnis:

• Der WinPatrol New Program Alert „Systray .exe stub“ taucht immer noch auf.
  
• Mein Kyocera USB-Laserdrucker sammelt die Aufträge ohne zu drucken. Doppelklick auf den wartenden Druckauftrag öffnet den Druckertreiber-Dialog mit ausgegrauten Items. Erst nach einem Win7-Neustart werden die gesammelten Druckaufträge ausgedruckt. Danach werden neue Druckaufträge wieder gesammelt. Dieser Fehler ist neu dazugekommen.
  
• Der Startvorgang, der vorübergehend nur noch halb so lange dauerte, hat jetzt wieder den alten lahmen Verlauf: 2:30 Minuten bis das MSE Systray Icon grün wird und ca. 4 Minuten bis eine Internetverbindung über Firefox hergestellt ist. Die Halbierung der Startzeit, die dringend erwünscht ist, kam meines Wissens nach der Ausführung von Combofix zustande. Könnte ich das testweise noch einmal machen?

Gruß,
Holzpferd

Combofix löschen und neu laden, nochmal ausführen.
MSE mal komplett deinstallieren und neu installieren, ein AV PRogramm mit internen Fehlern bremst gerne den Rechner.

Drucker-Software mal neu installiert?

Poste bitte noch ein frisches FRST Logfile.

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Wählen Sie eine
• Kopiere nun folgendes in die Suchleiste
  
  Code:

  ---

  C:\Windows\System32\systray.exe

  ---

• und klicke auf Öffnen.
• Klicke auf Scannen!.
• Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
  
  Zitat:

  Diese Datei wurde bereits von VirusTotal analysiert...

  klicke auf Neu analysieren.
• Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
• Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Hallo Schrauber,

Einiges geht wieder, der WinPatrol Program Alert ist immer noch da.
Im Einzelnen:


1. Combofix

Nach dieser 2. Ausführung von Combofix waren MSE und Netzwerk glücklicherweise wieder wenige Sekunden nach Login funktionsfähig, und die Firefox-Startseite war wieder 2 Minuten früher da als in dem lahmen Zustand, der vor dem 1. Combofix-Lauf (Posting #2) und auch wieder kurz vor dem 2. Combofix-Lauf (Posting #12) herrschte.

Combofix.txt hat bei mir eine Dateigröße von 1146 kB. Deshalb konnte ich sie nicht hier in den Text kopieren, sondern musste sie komprimiert (51 kB) anhängen.




2. MSE neu installieren

Es war ein Microsoft FixIt nötig, um MSE deinstallieren zu können.

Bereits vor dieser Neu-Installation hatte ich festgestellt, dass der Microsoft Antimalware Service keinerlei Aktionen zuließ, egal ob als Administrator, mit SuRun oder im Administrator-Konto ausgeführt. Alles war und blieb ausgegraut. Das hat sich dann auch nach Neu-Installation von MSE nicht geändert. Bei der Gelegenheit habe ich festgestellt, dass eine Reihe anderer Dienste dasselbe Verhalten zeigt, insbesondere auch die Dienste, von denen Microsoft Antimalware Service abhängig ist, also:

• DCOM-Server-Prozessstart
• Remoteprozeduraufruf
• RPC-Endpunktzuordnung.

Aus einem anderen Thread weiß ich, dass man z.B. Änderungen bei Starttyp oder Wiederherstellung vornehmen können sollte. Hast du aus deinem Werkzeugkasten da auch eine Reparaturmöglichkeit, oder sollte ich das Problem im Microsoft Answers Forum zur Sprache bringen?



3. Die Druckersoftware habe ich erfolgreich neu intalliert.




4. FRST Logfile


FRST Logfile:
--- --- ---







5. Virustotal-Prüfung von systray.exe

Hier ist der Link:

https://www.virustotal.com/de/file/470d84a5425d094701a21b56eded601654a9fe751a9517b20195390af93777a0/analysis/1377677798/



Gruß und Dank
Holzpferd

Dienste checken wir mal:

Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Da ist ja so gut wie gar nichts ausgefüllt. Habe ich da was falsch gemacht beim Erstellen von FSS.txt oder liegt da der Hund (meines Problems) begraben?

Da steht z.B. was über Defender, den ich gar nicht verwende, aber über meine Firewall, die aktiviert ist, steht nichts.

da steht nur was wenn ein Dienste fehlerhaft ist, also in deinem Fall nix :)

Downloade dir bitte Windows Repair (All In One) von hier.

• Installiere das Programm. Starte es, nachdem die Installation abgeschlossen wurde.
• Klicke auf Step 2 und drücke unter Check Disk auf Do It.
  
  http://i1224.photobucket.com/albums/...3/Capture3.gif
• Wenn der Vorgang abgeschlossen ist, klicke auf Step 3 und drücke unter System File Check auf Do It.
  
  http://i1224.photobucket.com/albums/...y3/Capture.gif
• Nachdem der Vorgang abgeschlossen ist, klicke auf Start Repairs, wähle den Advanced Mode und drücke Start.
  
  http://i1224.photobucket.com/albums/...3/Capture1.gif
• Gehe bitte sicher, dass die Kästchen wie unten zu sehen angehakt sind. Bitte hake zusätzlich noch Set Windows Services to Default Startup an.
• Hake Restart System when Finished an.
• Drücke Start.
  
  http://i1238.photobucket.com/albums/...eakingtool.jpg

1. Ergebnis

• Der WinPatrol New Program Alert „Systray .exe stub“ taucht immer noch auf.
• Der Windows-Start dauerte auch nach dem 3. Neustart noch erheblich länger als in meinem Posting #13 berichtet. Mit jedem (inzwischen dem 10.) Neustart wird es jedoch etwas besser, so dass ich die Hoffnung habe, dass allmählich wieder die gute Start-Performance von vor Windows Repair erreicht wird.

2. Logs usw.

Du hast nach keinen Ergebnisprodukten gefragt. Aus gegebenem Anlass stelle ich jedoch folgende Dateien hier rein:


Neue FRST Logfile

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---




sfcdetails.txt (nach hxxp://support.microsoft.com/kb/928228)

Diese Datei füge ich bei, weil mir nach Step 3 von Windows Repair (sfc /scannow) mitgeteilt wurde, dass der Scan nicht alle Files reparieren konnte. Ich kann das allerdings aus den sfcdetails nicht entnehmen. Wenn ich sfcdetails.txt nach Begriffen wie „repaired“, „cannot“, „corrupted“, „store“, „backup“ absuche, finde ich nichts. Bei der Suche nach „repairing“ erhalte ich nur „repairing 0 components“. Andere Suchbegriffe fallen mir nicht ein. Der Microsoft Answers Thread hxxp://answers.microsoft.com/en-us/windows/forum/windows_vista-performance/sfcscannow-always-shows-corrupt-files-that-it-can/1c812226-1d72-4ba0-b4f4-4e250578c0ba?page=2 legt allerdings in seinen letzten Postings nahe, dass man sich darum nicht zu kümmern braucht, sofern man keine Funde hat. (?)


Screenshot der Repair Options des Window Repair Programms

Die Version 1.9.15 des Windows Repair Programms, die übrigens nur entzippt, nicht installiert werden muss, enthält einige zusätzliche Items gegenüber den im letzten Screenshot von Posting #16 dargestellten, weshalb ich hier einen Screenshot beifüge. Vielleicht kann ja mal ein TB-Trainee die Anleitung überarbeiten, damit die User nicht in Gewissenskonflikte geraten, welche von den neuen Optionen sie anhaken dürfen/sollten.

hxxp://<img src='hxxp://up.picr.de/15661539rr.jpg' border='0' alt='Bild'/>



3. Was ich mit Windows Repair erlebt habe

Ich erwähne hier mal einige Stolpersteine, damit sich neue User, die das hier lesen, leichter tun oder, noch besser, damit vielleicht das Eine oder Andere in eine Aktualisierung der Handlungsanweisungen einfließen kann.

In Step 2 müssen keine Anwendungen geschlossen werden, da chkdsk erst nach Neustart ausgeführt wird. Der Neustart ist nicht im Do-It-Knopf von Step 2 enthalten, sondern muß vom User extra veranlasst werden.

In Step 3 sollte vielleicht der kurze Hinweis vor dem Do-It-Knopf „Please restart Windows after.“ besonders hervorgehoben werden. Ein kurzer Hinweis darauf, dass sfc /scannow nicht nach Neustart wie bei chkdsk, sondern im eingeloggten Zustand abläuft, wäre auch nicht verkehrt.

Der Step „Start Repairs“

hat keine Einstellung „Advanced Mode“ mehr.

Nach Drücken von „Start“ kommt eine Erinnerung an Step 4 (Backup), wenn man den übergangen hat. Ich habe diesen mit „Ja“ beantwortet, obwohl ich dazu keine Anweisung hatte. Nach Abschluss der Backups muss man nochmal „Start“ drücken. Dann kommten die Repair Options (siehe Screenshot).

In diesem Fenster gibt es einen Hinweis darauf, Antivirus zu beenden. Ich habe MSE und WinPatrol beendet.

Bei den Checkboxes gibt es in der aktuellen Version vor „Repair Icons“ eine neue Checkbox für „Repair Missing Start Menu Icons Removed by Infections“. Die habe ich mir erlaubt ohne Anweisung anzuhaken.

Die weiteren 6 zusätzlichen, neuen Checkboxes habe ich teils schweren Herzens unangehakt gelassen bzw. enthakt, obwohl ich gerne

• Repair MSI
• Repair Print Spooler

angehakt hätte. Bei den übrigen neuen Punkten hatte ich in jüngster Zeit keine Probleme. Vielleicht kann ich die 2 letzten Optionen im nächsten Posting unter Anleitung nachholen? Oder müssen dafür wieder die Steps 2 und 3 vorgeschaltet werden?

Da der Repair-Schritt lange dauerte, ging ich zwischendurch (beim halben Laufbalken) weg, und als ich wiederkam, war das Programmfenster weg, womit ich nicht gerechnet hatte. Ich sah nur mein geöffnetes Explorerfenster und fragte mich, ob inzwischen ein Neustart erfolgt war, da ich ja nach Anweisung „Restart System when Finished“ angehakt hatte. Aber da ich mich in meinem Account befand, konnte das System wohl schlecht ohne neugestartet und ohne Login in meinem Account gelandet sein. Hier muss wohl ein Bug dieser Programmversion (?) vorliegen, dass er den angehakten Neustart nicht durchführt. Wie dem auch sei, hierzu sollte eine aktualisierte TB-Anleitung auch einen Satz spendieren.
In meinem Fall war, als ich zurückkam, das SuRun-Systray-Icon rot und zeigte den Ballontext "SuRun 1.2.1.0 'Tweaking.com – Windows Repair v1.9.15' 'i3-PC\Admin' – Administrator", woraus zu schließen war, dass mein SuRun gerade das Programm "Windows Repair" als Administrator ausführte. Es konnte also kein Neustart passiert sein.
Nach ein paar Minuten des unschlüssigen Wartens wurde das SuRun Icon grün, was eigentlich bedeuten musste, das das Programm Windows Repair beendet war. Es passierte aber immer noch kein Neustart. Ich habe dann den Rechner von 3 Uhr 30 bis 9 Uhr 30 stehen gelassen, um sicher zu gehen, dass ich keine Programmaktivitäten unterbreche.
Um 9 Ur 30 habe ich dann einen Neustart gemacht. Nach dem Login war für gefühlte 15 Minuten eine hohe Festplattenaktivität zu beobachten. Nach einem 2. Neustart ebenfalls minutenlang erhöhte Festplattenaktivität. Nach einem 3. Neustart – diesmal in das Administrator-Konto – brauchte das MSE-Systray-Icon sehr lange, bis es erschien, und danach noch einmal, bis es grün wurde. Ich hatte natürlich nach dem 1. Neustart MSE und WinPatrol wieder aktiviert. Auch auf die notwendige Reaktivierung von Antivirus sollte vielleicht in einer aktualisierten TB-Anleitung hingewiesen werden.

Was machen die Dienste bzw. wie läuft der Rechner?

Der Startvorgang

dauert 15 bis 20 Sekunden länger (alles: bis MSE im Systray auftaucht, bis Netzwerksymbol OK ist, bis Firefox die Startseite öffnet) als direkt vor Windows Repair. Das ist aber noch akzeptabel und immer noch wesentlich schneller als vor dem ersten Combofix. Die Combofix-Einsätze (angeordnet in Postings #4 und #12) haben immer eine wesentliche Beschleunigung gebracht.



Die genannten Dienste

• DCOM-Server-Prozessstart
• Remoteprozeduraufruf
• RPC-Endpunktzuordnung

und auch einige andere, die ich hier nicht nennen will, lassen in der Computerverwaltung nach wie keine Einstellungsänderungen zu, weil bei ihnen alle Aktionsknöpfe deaktiviert sind (siehe Screenshot). Das gilt auch für das Administratorkonto.

Auch andere Programme wie z.B. System Explorer können da nichts machen. Da sind zwar die Aktionsknöpfe (z.B. für den Starttyp) aktiv, aber wenn man da was ändert, erscheint eine Fehlermeldung wie z.B. "Fehler beim Ändern des Dienst-Autostarttyps".



Die Arbeit mit Anwendungs- und Systemprogrammen

Hier habe ich noch keine Mängel festgestellt. Bei den Dingen, die mir auffallen, bin ich mir nicht sicher, ob diese Schwierigkeiten nicht schon früher bestanden und/oder auf meiner Unkenntnis beruhen.

So wundert es mich, dass der von mir aus Anlass des hier behandelten Malware-Problems installierten Zemana Antilogger Free für eine Reihe von (hauptsächlich systemnahen) Programmen wie

• Windows Explorer
• Computerverwaltung
• Ausführen
• msconfig
• Codestuff Starter usw.

keinen Verschlüsselungsschutz anbietet, während das Programm für Anwendungen wie

• Microsoft Word
• Firefox
• Microsoft Internet Explorer
• verschiedene Audio/Video-Progs

den Ballontext "Antilogger Free is encrypting your keystrokes" im Systray ausgibt. Vielleicht ist das ja normales Verhalten, aber das muss ich vielleicht in deren Forum klären.



Die Nutzung von WinPatrol

Was den WinPatrol New Program Alert „Systray .exe stub“ betrifft, so habe ich mir inzwischen angewöhnt, nicht mehr zu versuchen, den Autostart mit "No" zu verhindern, da das nur zu immer im Sekundentakt wiederkehrenden Popups dieser Warnung führt, sondern ich schiebe das Dialogfenster in eine Ecke, so dass nur noch der "No"-Knopf hervorguckt. Ich bin mir nur nicht sicher,

• ob ich mit diesem unbeantworteten Dialogfeld in der Ecke normal mit anderen Anwendungen weiterarbeiten kann
• und was WinPatrol mit diesem Autostart-Aspiranten macht, wenn ich wegen einem ESET Online Scan oder wegen "Windows Repair" alle Sicherheitsprogramme schließen soll.

Für eine klärende Aussage zu diesen beiden letzten Punkten wäre ich dir dankbar.

Gruß,
Holzpferd

Zu systray:

Wie gesagt, ist legitim. Das ist ein Fehlalarm von WinPatrol bzw verstehe ich nicht warum es Deinen Wunsch Yes/No nicht übernimmt. Ich würde Winpatrol deinstallieren, wenn benotigt nochmal neu installieren.

Mehr Sorgen bereiten mir die Dienste. Hier würde ich, wenn eine Win7 DVD vorhanden ist, ein Inplace Upgrade vorschlagen.

Hallo Schrauber,

zu deinem letzten Posting (#20)

WinPatrol

Natürlich ist systray.exe legitim - aber systray .exe stub? Was ist das denn?
Ich dachte, dass du dich mit WinPatrol auskennst, da du (und/oder deine Kollegen) das Programm doch hier im Forum empfiehlst. Dann müssten dir eigentlich ständig wiederkehrende WinPatrol Alert Popups auf die Antwort "No" geläufig sein. Das passiert – zumindest bei mir und meiner Familie – gar nicht so selten. Das Programm lässt nach einigen Popups eine extra dafür angefertigte HTML-Hilfeseite auftauchen, die einem erklärt, dass man die verdächtigen Prozesse, tasks usw. (es müssen mehrere sein, die sich gegenseitig am Leben halten) identifizieren, gleichzeitig markieren und dann killen muss. Ich habe in meinem Fall nur noch nicht die verdächtigen Elemente ermitteln können.

Du bist dir sicher, dass "systray .exe stub" ein false positive von WinPatrol ist?

Ich werde aber mal deinen Rat befolgen und WinPatrol (von dem eine neue Version verfügbar ist) neu installieren.



Services

Auch hier kann ich deiner Antwort nicht entnehmen, ob du meine Probs mit den Win7 Diensten für ein Ergebnis von Malware oder von selbst verursachten System-Verschlimmbesserungen hältst. Ich interpretiere deinen Vorschlag für ein Inplace Upgrade eher in Richtung korrumpiertes System.

Da ich vor einem Inplace Upgrade zurückschrecke, möchte ich diesen Verdacht noch weiter verfolgen (muss ich ja auch, da du mich noch nicht als geheilt entlassen hast :lach:).

Da du jetzt das Dienste-Verhalten als das Hauptproblem ansiehst, habe ich nochmal auf verschiedene Weisen versucht, einzelne Dienste zu ändern und wieder zurückzuändern mit teils unerwarteten Folgen, die ich nachfolgend in zeitlicher Reihenfolge stichwortartig schildere:

Gestern:
mehrere Neustarts: ---> WinPatrol Alert "WinLogon:UserInit"

Heute:

• 1. Start aus dem (über Nacht) ausgeschalteten Zustand: ---> WinPatrol Alert "systray .exe stub"
• weitere Neustarts danach ---> WinPatrol Alert "WinLogon:UserInit"
• 2. Start aus dem danach ausgeschalteten Zustand: ---> WinPatrol Alert "WinLogon:UserInit"
• weitere Neustarts danach ---> WinPatrol Alert "WinLogon:UserInit"

Die Versuche mit dem Ändern von Diensten hatte ich vor dieser Aufzählung gemacht. Der WinPatrol Alert "systray .exe stub" kam nur ein einziges Mal wieder: nach der nächtlichen Abschaltung. Ich weiß nicht, ob das nicht vielleicht daran liegt, dass WinPatrol möglicherweise die Alerts in einer Art Warteschlange nacheinander abarbeitet, die von mir nicht abgerufen wurde, da ich den WinPatrol Alert "WinLogon:UserInit" einfach nicht beantwortet, sondern stehen gelassen habe, so dass der nächste Alert in der Warteschlange (systray .exe stub") nicht erscheinen konnte. Ich werde auch diesen höchstwahrscheinlich harmlosen Alert "WinLogon:UserInit" nicht auf eigene Faust beantworten.

Mir fiel später zum neuen Alert ein, dass ich die Versuche zum Ändern von Diensten nicht nur über die Computerverwaltung gemacht hatte, sondern auch über das Programm "SystemExplorer" und vor allem auch über msconfig und dass, wenn man Änderungen in der msconfig macht (auch wenn man sie sofort wieder rückgängig macht), ein Neustart nahegelegt wird und dass dieser wahrscheinlich dann als "Benutzerdefinierter Systemstart" durchgeführt wird, der natürlich eine WinPatrol-Abfrage zur Folge haben müsste (UserInit). So war es auch. "Benutzerdefinierter Systemstart" war angepunktet und folgende Häkchen gesetzt:

Systemdienste laden: voll angehakt
Systemstartelemente laden: schwach angehakt
Ursprüngliche Startkonfiguration verwenden: ausgegraut

Ich hatte diese Einstellungen bis vor kurzem noch standardmäßig, bis ich sie (wahrscheinlich kurz vor der geführten Malwarebeseitigung hier im Forum) wieder in "Normaler Systemstart" zurückgeändert hatte. Jetzt habe ich also wieder den "Benutzerdefinierten Systemstart", den ich während dieses Threads hier nicht ungefragt ändern werde.



Zur Änderung von Diensten über msconfig habe ich folgenden Thread gefunden, der in Posting #11 einen diesbezüglichen Bug nahelegt:
Das ist nun nicht genau der Fehler, den ich habe, aber man kann vermuten, dass auch mein Fehler durch Systemeingriffe entstanden sein kann (den "Windows Repair" offensichtlich nicht reparieren konnte).

In diesem Zusammenhang habe ich einen Verdacht. Irgendwann im April 2013 konnte ich ein bestimmtes Win7 Sicherheitsupdate nicht mehr installieren. Ich habe es erst in den folgenden 2 Monaten mit größeren Eingriffen ins System (mit Forum-Unterstützung) geschafft, diesen Fehler zu beheben.

Diese Eingriffe bestanden im wesentlichen in der Deinstallation von Kasperski Internet Security 2011 mit anschließender manueller Löschung der unglaublich vielen verbleibenden Kasperski-bezogenen Schlüssel (und verbliebene Schlüssel anderer, deinstallierter Sicherheitssoftware). Dabei habe ich z.T. mit psexec gearbeitet und Rechte in der Registry geändert.

Nun kann man vermuten, dass "Windows Repair" die Rechte in der Registry wieder gerade gebogen hat, aber irgendetwas wird schon zurückgeblieben sein, was mein Dienste-Problem verursacht. (Vielleicht lässt es sich auch durch manuelle Rechteänderung wieder heilen?)

Meine erwähnten Versuche zum Ändern und Zurückändern von Diensten haben übrigens die am Beginn von Posting #19 vor dem Screenshot beschriebenen Befunde bestätigt. Auch SystemExplorer, dessen Aktionsknöpfe zu Starttyp usw. im Gegensatz zu den Diensten in der Computerverwaltung nicht deaktiviert sind, erlaubt keine Änderungen dazu. Er reagiert mit Fehlermeldungen bei den genannten Diensten.

Das ist der laufendene Prozess, und der ist legitim.

Ich bin mir sicher das oben genannter Prozess legitim ist. nd ich weiß nicht woher WinPatrol in dem Fall, als einziger Scanner, den Zusatz zaubert.

Desweiteren wird WinPatrol empfohlen, da wir alle im Team uns Gedanken machen was sinnvoll ist und nicht. Da fliessen viele Meinungen ein, ich persönlich hab es noch nie benutzt.

Ich vertrete die Meinung 1 AV, 1 Extra Scanner wie MBAM und Windows Firewall, hinter einem Router, reicht völlig.

Im Nachhinein nicht zu bestimmen. Auf jeden Fall verbogen, durch was ist dann zweitrangig.
Und genau das meine ich. Bevor Du Stundenlang weiter in den Diensten rum frickelst, biste mit nem Inplace Upgrade ohne Datenverlust schneller :)

Hallo Schrauber,

gestern habe ich wieder etwas Unerwartetes erlebt. Der neu installierte Druckertreiber (siehe #13 unter Ziffer 3.) sammelt plötzlich wieder Druckaufträge und arbeitet sie erst nach Neustart unaufgefordert ab.:crazy:

Ich habe eigentlich nur wenige Vorgänge gehabt, die aus dem Bereich des Alltäglichen herausfallen:

So habe ich mir mal die Dienste mit dem Service Control Manager von Ivan Krivyakov (ist das verdächtige Software?) angesehen. Ich glaube, es war in dieser Windows-Sitzung, dass der Rechner plötzlich einfror und per Reset-Knopf runtergefahren werden musste. Der Neustart führte mich wie erwartet zu den Startoptionen, wobei allerdings nicht die letzte als funktionierend bekannte Konfiguration vormarkiert war, sondern der Normale Start. Diesen normalen Start habe ich durchgeführt. Er zeigte keine Besonderheiten. Aber irgendwann, wahrscheinlich in dieser Sitzung, entdeckte ich, dass der USB-Drucker wieder Aufträge bis zum nächsten Neustart sammelt.

Ich habe keine Anhaltspunkte dafür, dass bei diesem erzwungenen Reset-Neustart eine frühere Registry mit dem alten, defekten Druckertreiber geladen wurde. Es scheint sich um den neuen Druckertreiber zu handeln.

Gibt es eigentlich Malware, die Druckaufträge von USB-Druckern ausliest, indem sie diese sammelt und nach Neustart automatisch ausdrucken lässt? (Sorry, ich bin blutiger Laie, was die Möglichkeiten von Malware betrifft):glaskugel:

Gruß,
Holzpferd

Nee ist mir keine bekannt, würde auch irgendwie keinen Sinn machen. Die wollen schliesslich durch Klicks oder direktes Abgreifen von Kohle Geld verdienen.

Das geht mit Druckaufträgen eher schwer :)

Schon wieder die Dienste. Wenn ich den Dienst "Druckerwarteschlange" neu starte, arbeitet der Drucker die Aufträge weiter ab, aber auch nicht unbedingt alle. Von da ab sammelt er neue Aufträge wieder.

Ich habe dann für diesen Dienst unter dem Reiter "Wiederherstellung" > "Weitere Fehler" den vorhandenen Eintrag "keine Aktion durchführen" auf "Dienst neu starten" geändert und außerdem den Haken bei der Checkbox "Aktionen bei Unterbrechungen mit Fehlern aktivieren" gesetzt. Von da an druckte der Drucker alle neuen Aufträge aus ohne zu sammeln.

Du wirst jetzt wahrscheinlich wieder sagen ---> Inplace Upgrade. Ich hatte so ein Inplace Upgrade früher schon einmal versucht, aber da kamen so komische, nicht ganz eindeutige Abfragen, dass ich fürchtete, etwas zu vermurxen und abbrach. Deshalb zögere ich so bei diesem Vorschlag.



Rückfrage:

Ist dir diese Software bekannt? Kann man ihr vertrauen?

Nee die kenn ich nicht, sorry. Das Inplace Upgrade ist eigentlich selbst erklärend. Und Deine Daten bleiben erhalten.

Hallo Schrauber,

ich habe schon vor ein paar Tagen, wie in #21 angekündigt, die aktuelle Version von WinPatrol installiert und, weil du nichts dazu gesagt hast, in msconfig den Normalen Start wieder eingestellt. Seitdem ist Ruhe. Keine WinPatrol Alerts mehr.

Vorgestern, als ich den laufenden Computer für eine Weile verließ, war er nach meiner Rückkehr völlig überraschend im Abmeldebildschirm und ließ sich wieder einmal, wie schon in #23 berichtet, nur durch den Reset-Knopf herunterfahren. Danach startete er wieder normal, hatte aber die Systemzeit um 2 Stunden zurückgesetzt. Vorangegangen war mein Herumprobieren mit dem Dienst "Druckerwarteschlange".

__________________


Du hast dich bis jetzt nicht direkt geäußert, ob mein Win7 jetzt sauber ist. Ich möchte jetzt auch nicht weiter drängeln, sondern statt dessen meinen Eindruck vom derzeitigen Stand beschreiben:

• Ich hatte ein WinPatrol-Problem (ließ sich auch kaum deinstallieren) und bekam deshalb vermutlich False Positives, die jetzt nach Neu-Installation von WinPatrol weg sind
• Ich hatte auch Malware drauf (#10), die jetzt wahrscheinlich durch deine Anweisungen beseitigt sind. Vielen Dank dafür. Besonders der ESET Online Scan (#9) scheint hier erfolgreich gewesen zu sein, während ich von den 2 Combofix-Läufen den Eindruck gewonnen habe (ohne die Logs wirklich zu verstehen), dass sie hauptsächlich Systemveränderungen bewirkt haben, nämlich: eine Beschleunigung des Startvorgangs und einige Systemfehler, vor allem bei den Diensten, die Windows Repair nicht ganz beseitigen konnte. Deshalbe soll ein Win7 Inplace Upgrade den Rest geradebiegen.

Wenn ich da falsch liege, hoffe ich auf eine klare Aussage von dir.

__________________


Es bleiben einige Restfragen und die sonst hier im Forum üblichen Aufräumarbeiten.


Verbleibende Fragen:


1. Wenn ich später auf eigene Faust meine ganzen USB-Sticks und Speicherkarten vom ESET Online Scanner überprüfen lasse, soll ich doch sicher bei "Remove Found Threads" einen Haken setzen?

2. Da ich offensichtlich Probleme mit dem Print Spooler bekommen habe ( siehe #25), könnte doch folgende früher von mir angesprochene "Windows Repair"-Maßnahme sinnvoll sein?

Was meinst du dazu?


3. Gibt es von mir vorher benutzte Programme und Tools, die du als schädlich identifiziert hast (wie z.B. Device Doctor in #10) und die jetzt nicht mehr laufen oder autostarten, von denen du mir abraten würdest? Ich vermisse z.B. das nicht mehr autostartende AlwaysMouseWheel und in Firefox die Erweiterung "Speed Dial", dessen Konfiguration verschwunden ist. Darf ich z.B. alte Konfigurationsdateien für "Classic Shell" oder die Firefox-Erweiterungen NoScript, All-In-One-Sidebar, "Speed Dial" wieder importieren?


4. Wirkt das TEMP-Reinigungs-Tool "TFC" nicht für Firefox? Welches Tool sollten dann Firefox-Nutzer verwenden?


5. Welche anderen abschließenden Reinigungmaßnahmen sollte ich durchführen?


6. Ich habe einen Wiederherstellungspunkt vom 5.9.2013. Soll ich den löschen, vor allem, wenn ich ein Inplace Upgrade mache?



Gruß und Dank
holzpferd

Rechner ist malware-technisch sauber, bleiben lediglich die evtl verbogenen Dienste, dazu haben wir ja genügend getratscht (Inplace Upgrade).
Ja, bei nicht-Systemplatten kein Thema
Persönlich noch nicht benutzt, also keine Erfahrungswerte. Versuch macht Klug :)
Kannst Du alles wieder installieren.
Ehm, doch eigentlich schon. Der leert alles. War Firefox zu?
Inplace Upgrade und SWH sind zwei paar Schuhe, aber die alten Punkte löschen wir jetzt wenn....
ich dir unseren Abschluss-Baustein gepostet habe :)

Trommelwirbel......

Fertig :)

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hallo Schrauber,


leider habe ich wieder einen Rückschlag erlitten. Ich habe noch einmal Windows Repair durchgeführt – und zwar fast genauso wie in #16 angewiesen, diesmal allerdings mit zusätzlichen Häkchen bei "Repair MSI (Windows Installer)" und "Repair Print Spooler".


Der positive Effekt:
Ich habe den Dienst "Druckerwarteschlange" wieder auf die alten Werte zurücksetzen können, ohne dass der Drucker wieder in das Fehlverhalten zurückfiel, alle Druckaufträge zu sammeln und erst nach Neustart auszudrucken.


Der negative Effekt:
Mein PC braucht wieder enorm lange, bis das MSE Systray Icon grün wird und dann nochmal sehr lange, bis der Internetzugriff steht. Ich bräuchte fast noch einmal ein Combofix. Der hat das schon zweimal enorm beschleunigt.


Erste Versuche mit Säuberungs-Tools

TFC
CCleaner säubert auch Firefox-Reste, die TFC noch stehen lässt (siehe Screenshot, der nach einem TFC-Einsatz entstand). Ich benutze übrigens CCleaner nur für die Säuberung der temporären Dateien; das macht er wirklich gut.

http://up.picr.de/15778854kz.png

DelFix
Ich habe bisher vergeblich versucht, dieses Tool von FilePony.de herunterzuladen. Ich kriege ständig nach einigem Warten die Meldung
Ich kann mir nicht vorstellen, dass es an Wartungsarbeiten oder Kapazitätsproblemen des Servers liegt, sondern eher an der Verarbeitung langer URLs. Aber sind denn nicht Tools wie TinyURL potenziell gefährlich?

Ich habe es schon in Linux versucht, ich habe es mit MS Internet Explorer versucht, ich habe in Firefox Adblock Plus für FilePony.de ausgeschaltet, ich habe in NoScript alle Beschränkungen für diese Seite aufgehoben – immer dasselbe Ergebnis. Was soll ich noch machen?

Andere Downloads von FilePony.de klappen einwandfrei.


Gruß,
holzpferd

Der Download hat im mom Probleme. Ist schon in Arbeit.

Hallo Schrauber,


der Download von DelFix klappte, als ich ihn nach deinem letzten Posting aufrief. Ich habe aber die Aufräumarbeiten noch nicht begonnen, da mich noch die inzwischen eingetretene enorme Startverzögerung irritierte. Da wollte ich noch ein paar Dinge untersuchen, die mir so einfielen. Denn zuletzt brauchte mein Win7 3:20 Minuten, bis das MSE-Systray-Icon grün wurde und 6 Minuten, bis dann die Internetverbindung stand.


Neu-Installation von ClassicShell

Da plötzlich die senkrechten Baumlinien im Navigationsbereich des Explorers fehlten, wollte ich ClassicShell neu instllieren, wobei die Deinstallation auf Fehler lief (dieses Problem hatte ich übrigens auch bei WinPatrol). Das hatte ich schon mal vor dem letzten "Windows Repair"-Einsatz. Deshalb wiederholte ich jetzt die damals gefundene Lösung und habe Vollzugriff für "Jeder" auf den Ordner %temp% eingestellt. Damit war ClassicShell neu installierbar und hatte die Baumlinien wieder.


Zuverlässigkeitsverlauf

Ich stellte fest, dass ich ständig eine große Anzahl erfolgreich installierter WPD-Dateisystem-Volumetreiber angezeigt bekam. Entsprechend groß war die Liste der WPD-Dateisystem-Volumetreiber im Gerätemanager. Das war wahrscheinlich wesentlich mit dadurch zustandegekommen, dass ich auf deinen Rat hin beim ESET Online Scan meine externe Festplatte mit ihren vielen Partitionen einbezogen hatte, wodurch die Anzahl der benötigten Laufwerksbuchstaben die verfügbare Anzahl überschritt. Das kann zu allerlei möglichen USB-Problemen führen, wie mir von früher bekannt war. Deshalb habe ich Uwe Sieber's drivecleanup durchgeführt.


Ereignisanzeige

Hier hatte ich zuletzt folgende administrativen Ereignisse:

12.09.2013 09:26:34 Die Sitzung "Microsoft Security Client OOBE" wurde aufgrund des folgenden Fehlers beendet: 0xC000000D.

12.09.2013 09:26:49 Der Dienst "Net.Msmq-Listeneradapter" ist von folgendem Dienst abhängig: msmq. Dieser Dienst ist eventuell nicht installiert.

12.09.2013 09:26:49 Der Dienst "Net.Tcp-Listeneradapter" ist vom Dienst "Net.Tcp-Portfreigabedienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

12.09.2013 09:27:02 Dienst "WMPNetworkSvc" konnte nicht ordnungsgemäß gestartet werden, da ein Fehler "0x80004005" in "CoCreateInstance(CLSID_UPnPDeviceFinder)" aufgetreten ist. Überprüfen Sie, ob der Dienst "UPnPHost" ausgeführt wird und ob die Windows-Komponente "UPnPHost" richtig installiert ist.

12.09.2013 09:27:05 Fehler beim Laden des Treibers \Driver\WUDFRd für das Gerät WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_GENERIC-&PROD_COMPACT_FLASH&REV_1.00#20060413092100000&0#.

Also schon wieder Hinweise auf Dienste, die offenbar den Start verzögern. Da sie aber nicht alle wirklich benötigt werden, wie meine Internet-Recherche ergab, muss ich wohl noch irgendwo im Netzwerkbereich falsche Einstellungen haben. Ich weiß nicht, ob so etwas von einem Inplace Ugrade behoben wird. Das soll ja Einstellungen unverändert lassen?


Schlussfolgerung

Da alles Herumprobieren trotz gelegentlichen Teilerfolgen die Situation insgesamt eher verschlechterte, lasse ich jetzt weiteres Herumprobieren bleiben, mache die von dir vorgeschlagenen Abschlussarbeiten und versuch dann ein Inplace Upgrade. Danach melde ich mich wieder.


Noch 1 Frage

Nach einem Inplace Upgrade werden ja wahrscheinlich zig Windows Updates anstehen mit vielleicht sogar 200 MB oder so. Gibt es irgendwo eine Anleitung, ob man diese in einzelnen Portionen installiert und welche Aufteilung man da am besten vornimmt, um eventuelle Abhängigkeiten zu berücksichtigen?


Gruß,
holzpferd

Die Abhängigkeiten wird dir Windows Update schon vordiktieren :)

Wenn Du wichtige und optionale alle anhakst bekommste irgendwann ne Meldung dass nur a oder b geht, nicht a und b zusammen, je nach Gültigkeit und Abhängigkeit.

Hallo Schrauber,

habe gestern nach deiner Anweisung Combofix deinstalliert und DelFix ausgeführt:

Es lief alles reibungslos.

An das Inplace Upgrade habe ich mich noch nicht gemacht, weil ich diese Woche noch mit einem anderen Projekt beschäftigt bin und außerdem erst noch ausreichen Platz auf meiner Systemfestplatte schaffen und ein Image erstellen muss. Der Zuverlässigkeitsverlauf steigt seit 6 Tagen unaufhörlich und nähert sich langsam der Bestmarke 10, was natürlich nicht heißt, dass da keine kritischen Ereignisse wären. Sonst müsste ich ja auch nicht über 5 Minuten warten, bis das MSE Systray Icon grün wird und die Internetverbindung steht. Aber ansonsten kann ich nach diesen 5 Minuten mit dem System ordentlich arbeiten (es besteht ja im Normalbetrieb keine Notwendigkeit, an den Diensten – die bekanntermaßen bei mir etwas verkorkst sind – herumzuschrauben).

Ich bedanke mich sehr für deine engagierte Hilfe, durch die ich viel lernen konnte. :dankeschoen:
Von mir aus kannst du den Thread jetzt aus deiner Beobachtungsliste streichen. Es würde mich allerdings sehr freuen, wenn du noch folgende
2 Fragen beantworten könntest:

1. Alle $NtUninstallxxx Unterordner sind aus meinem Windows-Ordner verschwunden. Das beunruhigt mich schon etwas, obwohl sie ja wahrscheinlich teilweise nach einem Inplace Upgrade wieder angelegt werden und der WinSXS-Ordner mit 17 GB offenbar noch voll da ist. Welches deiner Tools macht so etwas, oder ist das ein unbeabsichtigter Nebeneffekt?
   
2. Etwa 2 bis 3 Sekunden bevor das MSE Systray Icon grün wird und die Internetverbindung steht, rattert mit großer Regelmäßigkeit das Diskettenlaufwerk kurz. Was sagt das einem Kenner wie dir über die Ursache der extrem langen Bootzeit? Und warum war diese Zeit nach den 2 ComboFix-Läufen jeweils von 5 auf 2 Minuten reduziert worden?

Gruß,
holzpferd

Je nach Art der Datenträgerbereinigung werden die Ordner von älteren Updates gelöscht.
Denke ich jetzt mal :)
Hmm, Du könntest das Laufwerk im Bios deaktivieren und eventuelle Software, die darauf zugreifen könnte aus dem Autostart nehmen, wenn vorhanden :)

Und du hast nicht irgendeine Idee, warum ComboFix es schon 2 Mal schaffen konnte, meine Bootzeit drastisch von 5 auf 2 Minuten zu verkürzen (was dann später, wahrscheinlich durch Windows Repair, wieder zunichte gemacht wurde)?

Gruß,
holzpferd

Cf wird öffentlich nicht diskutiert. Nur soviel, es werden auch Dienste und Co gerichtet. Das ist aber jetzt kein Freifahrtschein das Tool einfach mal so zu nutzen, das kann ganz schnell in die Hose gehen :)

Das ist mir völlig klar. Deshalb hatte ich in #11 (ganz am Ende), nachdem die Bootzeit wieder deutlich angestiegen war, darum gebeten, testweise einen 2. ComboFix-Durchlauf machen zu dürfen. Den hast du dann auch in #12 angeordnet. Der Erfolg war wieder überwältigend.

Leider ist nach beiden ComboFix-Läufen die erreichte Verkürzung der Bootzeit durch andere Maßnahmen wieder zunichte gemacht worden. Ich nehme an, du kannst jetzt zur möglichen Ursache dafür auch keine Aussage machen. Die Frage wäre nur, ob ich vielleicht später mal (wenn alle anderen Maßnahmen nichts bringen), einen speziellen Thread zur Verkürzung der Bootzeit mit ComboFix eröffnen könnte. Da könnte doch dann vielleicht durch den einen oder anderen kurzen Test ermittelt werden, wie stabil diese Bootzeit-Verkürzung ist bzw. wodurch sie wieder zunichte wird. Oder würde ein solcher Thread aus der TB-Zuständigkeit herausfallen?

Naja, wie gesagt, öffentlich Aussagen zu Combofix wirst du keine bekommen, das ist geheim. JHört sich blod an, ist aber mitunter unser stärkstes Tool, und die Malware-Schreiber lesen mit ;)

ich würd ja immer noch das Inplace Upgrade machen, das hat vom Richten der Dienste her den gleichen Erfolg ;)

Hallo Schrauber,

jetzt muss ich doch noch eine Frage zu den abschließenden Aufräumarbeiten stellen:

Du schriebst in #28:

Das ist jedoch so nicht ganz zutreffend. Das Tool "Windows Repair" und insbesondere auch die von ihm angelegten Registry Backups sind nicht gelöscht worden. Ist das von Trojaner-Board.de so beabsichtigt? Wenn ja, dann sollte es doch möglich sein, dass ich von den beiden Backups, die das Tool angelegt hat (vom 8.9. und 29.8.2013) das zweite vom 29.8., das zwischen den Postings #16 und #17 liegt, wiederherstelle. Ich denke mal, dass ich da schon malwarefrei war; sonst hätte ja DelFix diese Backups auch beseitigen müssen.

Ich erhoffe mir von diesem Backup eine Wiederherstellung des guten Win7-Startverhaltens, das zu dem Zeitpunkt noch vorhanden war. Könntest du dieser Maßnahme zustimmen?

Gruß,
holzpferd

Möglich. Tewaking ist kein Malware-Removal-Programm, deswegen wird es von Delfix nicht adressiert. Könnte ich aber mal beim Autor anregen.

Was ist möglich? Dass ich zwischen #16 und #17 malwarefrei war, wo das Registry Backup gemacht wurde, das ich wiederherstellen möchte?

Deine Malwarefrei-Meldung kam erst in #28. Aber ich kann nicht sehen, dass zwischen #16 (deiner ersten Windows Repair Anweisung) und #28 noch irgendetwas in Richtung Malwarebeseitigung passiert wäre. Da liefen eigentlich nur noch Fragen und Antworten, die sich hauptsächlich auf mein Dienste-Problem bezogen.

Also sollte ich eigentlich schon vor #17 malwarefrei und das damals erstellte Registry Backup OK gewesen sein?

genau :)

Hallo Schrauber


Es ist zwar von dir bestätigt worden, dass nach #16 (deiner ersten Windows Repair Anweisung) nichts mehr in Richtung Malwarebeseitigung passiert ist, aber meine Schlussfolgerung daraus, dass Windows Repair nichts mit Sicherheit sondern nur mit Tweaking zu tun hätte, war wohl etwas oberflächlich, oder?

Mir ist da nämlich inzwischen wieder eingefallen, dass es ja in Windows Repair den optionalen Schritt 2 gibt mit dem Titel "Check File System (Optional) Very Important If Doing File Permissions Repair". Dieser Schritt dauerte bei mir recht lange. Wenn ich ihn recht verstehe, werden da für jede meiner Systemdateien und jeden meiner Systemordner die Einstellungen im Reiter "Sicherheit" des Eigenschaften-Fensters auf die Originalwerte zurückgesetzt. Ist das so richtig?

Wenn das stimmt, würde Windows Repair zwar keine Malware entfernen, aber doch die durch Setzen falscher Rechte geschaffenen Sicherheitslücken wieder beseitigen. Damit wäre das Programm, vor allem sein Step 2, wichtiger als ich es zunächst eingeschätzt hatte.

Liege ich mit dieser Interpretation des Step 2 richtig?

Außerdem habe ich noch folgende Frage zu den Zugriffsrechten auf Dateien und Ordner:

Ich habe schon hin und wieder mit zweifelhaften Gefühlen den Besitz für bestimmte Dateien und Ordner übernommen oder die Berechtigungen für einzelne Besitzer geändert, ohne genau zu wissen ob und welche Sicherheitslücken ich damit eventuell schaffe. Für diese Frage habe ich bisher noch keine Beurteilungskriterien im Internet finden können. Könntest du mir da vielleicht ein paar hilfreiche Links nennen?
Oder sollte ich mir auf jeden Fall jede Rechteänderung notieren und nach Gebrauch sofort wieder rückgängig machen?

Gruß,
holzpferd

Korrekt. Es wird halt Windows "repariert".

Wenn in diesem Backup vor Step 2 aktive Malware drin war, werden die Einstellungen wieder verbogen. Bzw sind die bereits verbogenen Einstellungen in dem Backup drin, unter Umständen.
Langatmiges Thema. Gegenfrage: Warum brauchst Du sowas allgemein als Privatperson die nicht in einem Firmennetz hängt oder auf Server zugreifen muss.

Ich hab bei mir spezielle Ordner freigegeben, ich betreibe aber auch ein komplettes Heimnetzwerk zu Hause.

Ich will mal ein konkretes Anwendungsbeispiel geben, das ich schon mal in diesem Thread erwähnt hatte:


Es geht mir also im wesentlichen nicht um die Freigabe irgendwelcher Ordner oder Dateien für andere Nutzer, sondern eher um die Ausführung von irgendwelchen Arbeiten am System, für die ich Änderungen der Rechte brauche.

Bist Du kein Admin? Hast Du Fehlermeldungen mit Zugriff auf Temp? Wenn ja poste mal ein frisches FRST Logfile, ich entsperre Temp dann mal und wir schauen wie es sich dann verhält.

Zunächst zu Deinem letzten Posting:

%temp% für "Jeder" mit Vollzugriff wird hier abgehandelt:
support.microsoft.com/kb/2000547/de

Darauf näher einzugehen ist nicht nötig, das wäre ein Nebenpfad.


_______________________________________________________




Ich möchte hier nochmal kurz auf mein Backup Restore mit Windows Repair eingehen, das ich in #39 wie folgt angekündigt hatte:

http://up.picr.de/16703187wp.jpg

Ich habe dann diese Wiederherstellung durchgeführt. Der erhoffte flotte Zustand, der zum Zeitpunkt der Erstellung des Backups vom 29.8.2013 herrschte, stellte sich überhaupt nicht ein. Statt dessen starteten MSE und Internetverbindung genauso lahm wie ständig nach diesem Windows Repair vom 29.8.2013. Zusätzlich aber stellte sich ein sperriger MSE-Update-Fehler ein, vor dem ich kapitulierte und schließlich das Registry Backup vom 22.10.2013 wiederherstellte. Dies stellte den Zustand von vor dem Registry Backup Restore in etwa wieder her, so dass ich dann auf dieser Basis sofort die WinSxS-Verkleinerung um 6,17 GB erfolgreich durchführte.

Der schlechte Zustand nach dem Registry Backup Restore kam im wesentlichen durch einige veraltete Versionen im Backup vom 29.8. und durch 33 plötzlich neu anstehende Windows-Updates zustande.



_______________________________________________________



Nachdem das Backup Restore von Windows Repair nichts gebracht hatte und ich mit der Verkleinerung des WinSxS-Ordners die Voraussetzungen für das schon häufig in diesem Thread ins Auge gefasste Inplace Upgrade geschaffen hatte, kam die Lösung meines Startproblems durch Zufall zustande (so dass ich das Inplace Upgrade nicht brauche):

Ich musste das neu installierte Win7 eines Bekannten mit Programmen und Einstellungen versehen. Irgendwann hatte ich plötzlich kein Internet mehr, einige Autostartprogramme funzten nicht mehr, Tastenkombinationen wie z.B. Win+Pause brachten keine Reaktion mehr und andere Merkwürdigkeiten. Nachdem alle möglichen Lösungsversuche gescheitert waren, erinnerte sich mein Bekannter daran, dass die letzte Änderung, die wir gemacht hatten, nachdem alles noch ordentlich lief, die Installation und Konfiguration von HostsMan war. Ich habe daraufhin die Original Hostsfile (Muster ohne Zusatzadressen) wiederhergestellt, und alles lief wieder bestens.

Da ich bei mir ebenfalls mehrere Update Sources für die Hostsfile (mit insgesamt etwa 300.000 Adressen) in HostsMan eingetragen hatte, entschloss ich mich, auch da mal eine Verkleinerung durchzuführen. Ich ging allerdings nicht auf die Originalliste ohne echte Einträge zurück, sondern behielt die MVPS Hosts bei.

http://up.picr.de/16703707us.png

Das Ergebnis war verblüffend. Mein Startproblem ist gelöst. Hier die Werte für die Zeiten (ab Boot-Menü) bis das Systray-Icon von Microsoft Security Essentials (MSE) grün wird und bis das Internet zur Verfügung steht::

Systemzustand:

MSE-Symbol grün nach [min]

Internet aktiv nach [min]

Vor Combofix

5:30

6:00

Nach Combofix

0:45

4:00

Nach Änderung Hostsfile

0:35

0:40

(Die Zeiten sind gerundet und die "historischen" Schwankungen meines Computerzustands ausgemittelt)

Hier könnte man natürlich die Frage anschließen, ob meine Hostsfile von Malware manipuliert war. Dagegen spricht, dass meine Hostsfile von WinPatrol überwacht wird und dass bei meinem Bekannten dieselbe Kombination von Hostsfile Providern zu chaotischen Verhältnissen führte, die nach Beschränkung der Hostsfile auf die MVPS-Quelle verschwanden.

Hi,

nein das klingt plausibel, ich hatte in der Zwischenzeit etliche Notizen über so ein verhalten mit großer Hostfile gelesen.

Danke, Schrauber.

Ich denke, ich brauche jetzt nichts mehr zu posten. Der Rechner läuft recht ordentlich. Ein Inplace Upgrade habe ich deshalb nicht mehr vor. Von mir aus kannst Du den Thread jetzt schließen bzw. aus deiner Benachrichtigungsliste streichen oder was immer da nötig ist.

Danke nochmals für alle Hilfe.
hozpferd

Gern Geschehen :)