Kleines Problem beim Start von Windows

Afredolino

Stammgast
Eigentlich ist es nur ein kleines Problem, das mich nun aber schon seit einigen Monaten stört. Ich habe einen PC von Dell ( Dimension 8300 ) mit Windows XP Prof/SP3.

Seit einigen Monaten öffnet sich, jedesmal wenn ich den PC starte und auf den Desktop komme, der Ordner "Windows 32". Ich muss diesen nur mit der Maus wegklicken, dann funktioniert der PC einwandfrei. Das Programm befindet sich nicht im "Autostart", das habe ich als erstes kontrolliert. Ich habe mich, kurz nach erscheinen dieses Problems, bei der Fa. Dell erkundigt, wie ich das Problem beheben kann. Da hiess es einfach, ich müsse mein Betriebssystem neu aufsetzen. Eine andere Möglichkeit gäbe es nicht.

Da mein PC aber absolut einwandfrei funktioniert, möchte ich das System nicht neu installieren. Gibt es wirklich keine andere Möglichkeit, diesen Fehler zu korrigieren?

Ich bin gespannt auf die Antworten.

Gruss
Afredolino
 

Afredolino

Stammgast
Hallo Swiss

Erstmal danke für die nette Begrüssung....hab nicht mit so einer schnellen Antwort gerechnet.

Ich hab das Programm ausgeführt und hier ist das Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:43, on 23.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe
C:\Programme\Portrait Displays\HP My Display\DTHtml.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Portrait Displays\Pivot Software\floater.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\F.Dietschi\Eigene Dateien\Downloads\PcTip\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe"
O4 - HKLM\..\Run: [DT HPW] C:\Programme\Portrait Displays\HP My Display\DTHtml.exe -startup_folder
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] /L:GER
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Bluewin Assistant - {0EBC783B-F8FE-4dc5-B5F0-7C80AB218AE2} - C:\Programme\Bluewin\Assistant\bwa.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.ch/s/v/25.23/uploader2.cab
O16 - DPF: {4CCA4E6B-9259-11D9-AC6E-444553544200} (FixController Control) - http://h30155.www3.hp.com/ediags/dd/install/HPInstallMgr_v01.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/wuweb_site.cab?1187561380859
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1187561335671
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.ch/ImageUploader4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.ch/NET/Import/ImageUploader3.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.ch/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08B41494-E8E1-462F-8976-FDE5CF6C0A3B}: NameServer = 195.186.1.110,195.186.1.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{9ABECBD7-6CC6-4004-B553-BF6FA6D4C577}: NameServer = 195.186.1.110,195.186.1.111
O17 - HKLM\System\CS1\Services\Tcpip\..\{08B41494-E8E1-462F-8976-FDE5CF6C0A3B}: NameServer = 195.186.1.110,195.186.1.111
O17 - HKLM\System\CS2\Services\Tcpip\..\{08B41494-E8E1-462F-8976-FDE5CF6C0A3B}: NameServer = 195.186.1.110,195.186.1.111
O17 - HKLM\System\CS3\Services\Tcpip\..\{08B41494-E8E1-462F-8976-FDE5CF6C0A3B}: NameServer = 195.186.1.110,195.186.1.111
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Hewlett-Packard Company - (no file)
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Hewlett-Packard Company - (no file)
O23 - Service: LiveUpdate Notice Service - Hewlett-Packard Company - (no file)
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 11441 bytes


Ich muss zugeben, ich bin Laie auf diesem Gebiet und kann mit diesen Daten absolut nicht's anfangen. Bei mir muss ein PC nur laufen, dann ist gut. Ich nehme mal an, das Du dich damit besser auskennst und da auch was findest, was nicht sein sollte.

Gruss
Afredolino
 

froeschli

Stammgast
Könnte es nicht theoretisch sein, dass eine Software (z.B. O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe) nicht gefunden wurde, und darauf hin, das übergeordnete Verzeichnis (Windows 32) geöffnet wird??

Nur so ein Gedanke....

Gruss froeschli
 

Swisstreasure

Stammgast
@Fröschli

Ich weiss nicht ob sich dann das übergeordnete Verzeichniss öffnet. Könnte natürlich eine Überlegung sein. Was man machen könnte, ist die Autostarteinträge auschalten und einzeln wieder zuschalten, somit könnte man auf das Programm stossen welches diese Fehler auslöst. Ich will jedoch zuerst sicher gehen, dass sich nicht im Hintergrund ein SchadProgramm starten will, welches jedoch teils durch einen Antivirenprogramm entfernt wurde und somit nicht mher richtig starten kann und darum die Fehlermeldung erscheint.

Gruss Swiss
 

Afredolino

Stammgast
@Link182

Du hast natürlich recht....es sollte System 32 heissen. Kann das Problem dadurch an einer anderen Stelle gefunden werden?

@Swiss

Ich hab jetzt mal einen Vollscann mit Malwarebytes gemacht....hier das Ergebnis:

Malwarebytes' Anti-Malware 1.22
Datenbank Version: 984
Windows 5.1.2600 Service Pack 3

20:38:28 23.07.2008
mbam-log-7-23-2008 (20-37-58).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 154229
Laufzeit: 57 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9869efb4-18e9-11d3-a837-00104b9e30b5} (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\F.Dietschi\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\F.Dietschi\Lokale Einstellungen\Temp\CmdLineExt03.dll (Trojan.Agent) -> No action taken.


Das Programm hat 3 Trojaner gefunden. Aber ich glaube nicht, das es daran liegt. Ich mache ab und zu einen Scann mit dem Programm Ad-Aware und enferne solche Trojaner regelmässig.

Aber ihr seit die Spezialisten, ev. könnt ihr ja mehr erkennen.

Gruss
Afredolino
 

Afredolino

Stammgast
Ich habe mir die Seite von Wintotal.de mal angesehen und meine Einträge in der Registry kontrolliert. Da ist mir doch was aufgefallen: ich hatte bis ca. vor 1 Jahr noch den Norton Antivirus installiert, dann aber auf Antivir gewechselt, weil dieses Virenprogramm meinen PC völlig ausgebremst hatte. Jetzt sind aber noch einige Dateileichen von Symantec in der Registry, die ich manuell nie entfernen konnte. Könnte hier die Ursache meines Problem's liegen? Gibt es ein Programm, das solche überflüssige Dateien restlos aus der Registry entfernt?

Gruss
Afredolino
 
Zuletzt bearbeitet:

Afredolino

Stammgast
Hallo Swiss

Ich habe das Removal-Tool runtergeladen und ausgeführt. Dann musste ich doch noch 1 Ordner in der Registry manuell löschen. Danach einen Neustart gemacht....das Problem ist noch nicht behoben. Der Ordner "System 32" öffnet sich noch immer beim Start.

Was kann ich noch machen ? Bleibt doch nur eine Neuinstallation des Betriebssystem's? Damit würde ich aber warten, bis ich ein wirkliches Problem mit meinem PC habe.

Gruss
Afredolino
 

BlackIceDefender

Gesperrt
Gesperrt
Alfredolino: Das System32 Syndrom ist Microsoft bekannt: http://support.microsoft.com/kb/170086/de

die darin genannten tips abarbeiten.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9869efb4-18e9-11d3-a837-00104b9e30b5} (Trojan.Agent) -> No action taken...

Infizierte Dateien:
C:\Dokumente und Einstellungen\F.Dietschi\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\F.Dietschi\Lokale Einstellungen\Temp\CmdLineExt03.dll (Trojan.Agent) -> No action taken.
ist ein problem. -> im abgesicherten modus ohne netzunterstuetzung starten, dann via regedit den schluessel HKEY_CLASSES_ROOT\CLSID\{9869efb4-18e9-11d3-a837-00104b9e30b5} entfernen.
dann alles in C:\Dokumente und Einstellungen\F.Dietschi\Lokale Einstellungen\Temp\ loeschen.
 

Afredolino

Stammgast
Hallo BlackIceDefender

Danke für den Link zur Mikrosoftseite. Ich habe nochmals meine Registry nach fehlerhaften Einträgen kontrolliert.

Da ist mir ein Wert aufgefallen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Da ist ein Eintrag ev. falsch:

PowerBar......REG_SZ.....

Da ist sonst nicht's mehr vorhanden. Am Schluss des Schlüssels, da wo bei den anderen Einträgen eine Beschreibung ist, sind hier nur 3 Punkte. Kann man diesen Schlüssel ohne Probleme entfernen?

Bei den anderen Registry-Einträgen konnte ich keine Abweichungen finden.

Gruss
Afredolino
 

froeschli

Stammgast
Sagt dir PowerBar etwas? Evtl. ein Addon von IE oder so?

Wenn nein => löschen. Einträge in diesem Schlüssel werden einfach beim Systemstart ausgeführt. Sofern du PowerBar nicht benötigt und nicht weisst, was das ist => raus.

Gruss froeschli
 

Afredolino

Stammgast
Hallo fröschli

Ich habe mal bei Google gesucht...und dabei das gefunden:

Wichtig: Einige Malware tarnen sich als PowerBar.exe, insbesondere dann, wenn sie befinden sich unter C: \ Windows oder C: \ windows \ system32 Ordner. Thus check the PowerBar.exe process on your pc whether it is pest.

PowerBar könnte von einer Software sein, z.B. von Cyberlink. Da habe ich ein Programm installiert: Cyberlink DVD Solution. Diese Software habe ich zusammen mit meinem DVD-Brenner von "LG" erhalten und installiert.

Gruss
Afredolino
 

froeschli

Stammgast
Ich denke, Swisstreassure wird sich bald nochmals melden. Er kann dich führen, was Malware betrifft. Ich glaube, keiner hier im Forum ist derart aktiv, was Schädlingsbekämpfung anbelangt, wie er.

Dickes Lob an Swisstreassure!

Gruss froeschli
 

Swisstreasure

Stammgast
Afredolino

Mach folgendes:

>>
wende CCleaner an
Download

>>
wende Combofix an und poste das Log hier:
Download sowie hier beschrieben und folge der Anleitung

>>
Lade Regsearch
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

PowerBar

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.


@ Fröschli
Danke für das nette Kompliment :)


Gruss Swiss
 

Afredolino

Stammgast
@Swisstreasur und @all

Erstmal ein herzliches Dankeschön an alle, die mir bisher hier geholfen haben. Das Problem ist zwar noch nicht behoben, aber dafür konnte ich doch schon einiges bereinigen.

Und hier das Ergebnis von Combofix:

ComboFix 08-07-25.6 - F.Dietschi 2008-07-26 13:21:38.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\F.Dietschi\Eigene Dateien\Downloads\PcTip\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-26 bis 2008-07-26 ))))))))))))))))))))))))))))))
.

2008-07-26 13:07 . 2008-07-26 13:07 <DIR> d-------- C:\Programme\CCleaner
2008-07-25 21:46 . 2008-07-25 17:59 245,760 --a------ C:\Programme\Uninstall Ask Toolbar.dll
2008-07-25 18:13 . 2001-11-14 20:19 16,384 --a------ C:\WINDOWS\system32\FileOps.exe
2008-07-25 18:07 . 2008-07-25 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
2008-07-25 18:00 . 2005-09-01 11:03 127,488 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2008-07-25 18:00 . 2005-09-01 11:03 5,888 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2008-07-25 17:59 . 2008-07-26 11:34 <DIR> d-------- C:\Programme\AskTBar
2008-07-23 19:20 . 2008-07-23 19:20 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-23 19:20 . 2008-07-23 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\F.Dietschi\Anwendungsdaten\Malwarebytes
2008-07-23 19:20 . 2008-07-23 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-23 19:20 . 2008-07-20 20:21 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-23 19:20 . 2008-07-20 20:21 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-25 16:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-25 16:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-25 16:05 --------- d-----w C:\Programme\Gemeinsame Dateien\LightScribe
2008-07-25 15:59 --------- d-----w C:\Programme\Ahead
2008-07-24 14:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-16 22:17 --------- d-----w C:\Programme\Java
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-04 21:39 --------- d-----w C:\Dokumente und Einstellungen\F.Dietschi\Anwendungsdaten\ZoomBrowser EX
2008-06-04 21:37 --------- d-----w C:\Dokumente und Einstellungen\F.Dietschi\Anwendungsdaten\CameraWindowDC
2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-02 17:36 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-20 17:36 21,896 ----a-w C:\Dokumente und Einstellungen\F.Dietschi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-10-01 14:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SB Audigy 2 Startup Menu"="/L:GER" [X]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-22 20:12 67128]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 19:46 68856]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]
"LightScribe Control Panel"="C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2008-06-09 10:16 2363392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 23:32 53248]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 15:54 241664]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40 155648]
"CTSysVol"="C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe" [2002-10-29 09:18 49152]
"CTDVDDet"="C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE" [2002-09-30 01:00 45056]
"PivotSoftware"="C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe" [2007-02-09 12:17 694008]
"DT HPW"="C:\Programme\Portrait Displays\HP My Display\DTHtml.exe" [2007-05-02 15:18 281088]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 17:24 54840]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 21:29 266497]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 14:20 227328]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"CTHelper"="CTHELPER.EXE" [2003-02-21 00:45 28672 C:\WINDOWS\system32\CTHELPER.EXE]
"AsioReg"="CTASIO.DLL" [2003-02-21 00:27 110592 C:\WINDOWS\system32\CTASIO.DLL]
"Logitech Utility"="Logi_MwX.Exe" [2003-03-04 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 03:17 443968]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 16:58 1744896]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-11-15 18:36:57 110592]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-05-28 23:31:38 241664]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-05-29 00:06:36 53248]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-02-22 20:12:06 67128]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Adobe\\Photoshop 6.0\\ImageReady.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 17:11]
R1 Pivot;Pivot;C:\WINDOWS\system32\drivers\pivot.sys [2007-02-09 12:17]
R2 McciCMService;McciCMService;C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe [2008-02-07 11:38]
S3 iatmunin;iatmunin;C:\DOKUME~1\F7684~1.DIE\LOKALE~1\Temp\iatmunin.sys []
S3 MREMP50;MREMP50 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\Motive\MREMP50.SYS [2008-02-07 11:38]
S3 MREMP50a64;MREMP50a64 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\Motive\MREMP50a64.SYS []
S3 MRESP50;MRESP50 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\Motive\MRESP50.SYS [2008-02-07 11:38]
S3 MRESP50a64;MRESP50a64 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\Motive\MRESP50a64.SYS []
S3 pivotmou;Pivot Mouse/Pointers Filter Driver;C:\WINDOWS\system32\drivers\pivotmou.sys [2007-02-09 12:17]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b075400-7fd0-11db-93b9-000cf1dd8ea9}]
\Shell\AutoRun\command - F:\travel&work.exe
\Shell\Shell00\Command - F:\travel&work.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-PowerBar - (no file)
HKLM-Run-RoxioEngineUtility - C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe


.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.bluewin.ch/
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R0 -: HKCU-Main,Default_Search_URL = hxxp://www.google.com/ie
R1 -: HKCU-Internet Settings,ProxyOverride = localhost
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{08B41494-E8E1-462F-8976-FDE5CF6C0A3B}: NameServer = 195.186.1.110,195.186.1.111
O17 -: HKLM\CCS\Interface\{9ABECBD7-6CC6-4004-B553-BF6FA6D4C577}: NameServer = 195.186.1.110,195.186.1.111
O18 -: Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

O16 -: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} - hxxp://www.extrafilm.ch/ImageUploader4.cab
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ImageUploader4.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ImageUploader4.ocx


**************************************************************************

disk not found C:\

please note that you need administrator rights to perform deep scan
Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
PowerBar = ????????????l?@?l?@?D?????7~????????????&?7~l?@?l?@????? ?????????????9~0?7~????&?7~?x7~x????????x7~???????? ???????????S??|x???0???????????Q?ktA?7~?????????????????L??????M???????l?@?l?@?????zw7~????t?@?????l?@?8?@?l?@?3??s????????????????????8?@?_??s8?@?8?@

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> C:\Programme\Portrait Displays\Pivot Software\winphook.dll
.
Zeit der Fertigstellung: 2008-07-26 13:26:56
ComboFix-quarantined-files.txt 2008-07-26 11:26:51

Pre-Run: 17 Verzeichnis(se), 186,495,143,936 Bytes frei
Post-Run: 20 Verzeichnis(se), 187,211,022,336 Bytes frei

162 --- E O F --- 2008-07-09 20:11:03

Und hier noch das Ergebnis von Regsearch:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 26.07.2008 13:35:06 for strings:
; 'powerbar'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\CyberLink\PowerBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\PowerBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\PowerBar]
@="C:\\Programme\\CyberLink DVD Solution\\Multimedia Launcher\\PowerBar.exe"

[HKEY_CURRENT_USER\Software\CyberLink\PowerBar]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\CyberLink DVD Solution\\Multimedia Launcher\\PowerBar.exe"="PowerBar Application"

; End Of The Log...

Gruss
Afredolino
 

Afredolino

Stammgast
Ob das hier wohl mein Problem verursacht:

Scanne versteckte Autostart Einträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
PowerBar = ????????????l?@?l?@?D?????7~????????????&?7~l?@?l? @????? ?????????????9~0?7~????&?7~?x7~x????????x7~??????? ? ???????????S??|x???0???????????Q?ktA?7~??????????? ??????L??????M???????l?@?l?@?????zw7~????t?@?????l ?@?8?@?l?@?3??s????????????????????8?@?_??s8?@?8?@

Dann würde das ev. am Programm von Cyberlink liegen. Da frage ich mich sowieso, ob ich das überhaupt brauche? Ich habe ja auch Nero 6.0 installiert, das mir zum erstellen von DVD's oder CD's völlig ausreicht. Ob sich die 2 Programme beissen? Oder ist ev. die Datei von Cyberlink defekt?

Gruss
Afredolino
 
Oben