Forum
Tipps
News
Menu-Icon

Win XP: Unbekanntes Programm mit Update-Versuch bei Start

Hallo,

jedes mal beim Hochfahren des PC's erscheint rechts unten in der Leiste ein gelbes Symbol (Schild mit 2 kleinen blauen Punkten) und wenn ich draufklicke erscheint die Meldung Update 0%. Ich hätte das Programm mit dem Updateversuch gerne weg, aber ich weiss nicht wie ich da rankomme. Die Porgrammbezeichnung erscheint nicht, weder wenn ich mit der rechten Maustaste noch mit der linken Maustatse draufklicke. Ich vermute, dass es ein "Spyware-Prgramm"s ein könnte, welches ich irgendwann mal drauf hatte und dann weggelöscht oder inaktiviert habe.
Ich habe Windows XP.
Würde mich über ein paar Tips freuen.
Danke und Gruß,

Josef.



Antworten zu Win XP: Unbekanntes Programm mit Update-Versuch bei Start:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ich hab jetzt gerade kein Bild. Aber ist das nicht das ganz normale Windows Update Symbol?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Das pogramm kann mit autoruns von systernals am start gehindert werden.Mittels process explorer vom gleichern hersteller kann man weitere informationen zusammentragen.
Noch fragen?

das kann tatsäcnlich "ibsn" verschiedene Ursachen haben. Will doch heut fast jedes noch so unbedeutende Tool
- einen Platz im Systemstart
- eine laufende automatische Updatemöglichkeit
beanspruchen.
Ich für meinen Teil installiere Programme nie "default", sondern immer manuell und entferne die (meist vorgegebenen) Automatismen - einschl. des "Beenden und Programm starten".
Und nach der Installation starte ich das Programm manuell und durchsuche die Einstellungen nach automatischen Updates und ähnlichem - und entferne diese.
Zu deinem Update:
Wenn da weder mit Doppel- noch mit rechtem Mausklick etwas herauszubekommen ist, würde ich in der Ereignisanzeige mal alle Einträge bei System und Anwendungen löschen.
Dann neu booten und, wenn das Zeichen erscheint, dort nachschauen. Mit einem Doppelklick auf das Ereignis werden Dir nähere Informationen angezeigt.

Jürgen

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo,

vielen Dank mal für die Antworten.
Da ich mich nicht wirlich auskenne und auch mit den Hinweisen wo ich was suchen und einstellen muss klar komme, habe unten das Ergebnis von HijackThis eingetragen. Vielleicht kann jemand hier sehen was alles geladen wird und ob es etwas "kritisches" dabei gibt. Nochmals Danke an alle "Helfer".


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:51:40, on 01.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\PCPal\PCPalSrvHost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.excid.com/termsandconditions.htm
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [AutoStart-Manager 2006] "C:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe" /AUTOSTART
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128419714687
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1219857908250
O16 - DPF: {7527E129-A524-434A-A337-8C19F6F25C91} (AldiSuedActiveFormX Element) - https://shop.aldisued-fotos-druck.de/shop/activex/aldi_sued_express_upload.cab
O16 - DPF: {ABC1D8DE-CAB5-4FB7-BCD0-137BAB9F09DC} (aldisued-fotos-druck_de_bilduebertragung) - http://www.aldisued-fotos-druck.de/upload/aldi_sued_bilduebertragung.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{060F3EA5-09D4-4EC3-B53C-1DD4F04D6E98}: NameServer = 217.0.43.145 217.0.43.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{920BD0DE-136A-4BCB-9E4B-2263A70A8DB4}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{060F3EA5-09D4-4EC3-B53C-1DD4F04D6E98}: NameServer = 217.0.43.145 217.0.43.129
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: PCPalSrvHost - Unknown owner - C:\Programme\PCPal\PCPalSrvHost.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 9690 bytes
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Die Auswertung hat folgendes ergeben: 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
http://www.ip-adress.com/ip_lokalisieren/217.0.43.145
http://www.ip-adress.com/whois/217.0.43.145

netname: DTAG-DIAL13 ??? ??? ???

Ich kann das leider nicht richtig interpretieren.
Ich denke, dass das ins Sicherheitsforum geschoben werden sollte. 

Das sind IPs der Telecom Nürnberg. Ungefährlich meiner Meinung nach. Allerdings auch sinnlos.
Was (wiederum nur meiner Meinung nach) zu beanstanden ist, das ist die Unzahl mitgestarteter Programme.
Alles in O16, vieles in O23 würde ich entfernen - angefangen vom ctfmon.
Da, mit diesem Log herauszufinden, was da updatet, sollte illusorisch sein.
Ich rate nach wie vor, die Ereignisanzeige. zu kontrollieren.
Hat wahrscheinlich die besten Erfolgsaussichten.

Jürgen

Ich kann das leider nicht richtig interpretieren.
Nach diesem "www.ip-adress.com" sitze ich gegenwärtig mitten in Erfurt. Ich hab grad meine Frau gefragt, "nein, sagt sie - Du sitzt hier bei mir in Chemnitz!".
Ein einfacher Klick auf die unterstrichene Adresse in der Auswertung öffnet Dir ein Fester mit dem Standort der IP.
Ich habe es nachgeprüft mit "NeoTrace" - stimmt.

Jürgen

Ort der IP Adresse: Wedel / nördlich von Hamburg ...
ISP: Deutsche Telekom AG
Ist wohl der DNS der TCOM  ??
Obwohl ich in der Heide sitze.... 

« Letzte Änderung: 01.06.09, 16:07:43 von HCK »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ich hab das so verstanden, dass die IP nur von der Telekom gehostet wird. Providermäßig. Aber ich bin da kein Experte. Ich kann da nur raten.

solange WHOIS nichtanzeigt ,dass die IP in die Ukraine führt ....
http://www.heise.de/netze/tools/whois-abfrage

Eine beliebige IP unternimmt keine Update- Versuche.
Und das war, soweit ich es verstanden habe, die Frage: Was unternimmt laufend und unkontrolliert Updates?
Mir sind weder Trojaner, noch andere Schadprogramme bekannt, die offensichtlich mit einem Hinweis in der Systray updaten.
Ich kann aus dem Log mindestens 6..8 Programme erkennen, die automatisch updaten, wenn man sie läßt.
Was dieser Thread im Sicherheits- Forum zu suchen hat, ist (mir) unklar.
Hier wurden schlicht und einfach alle Programme mit dem automatischen Setup- Wizard installiert, demzufolge alle Automatismen zugelassen.
Das und nichts anderes muß ermittelt und abgestellt werden.

Jürgen

Hier mal nur einige Anvendungen, die uuuunbedingt immer und zu jeder Zeit mit Papi telefonieren wollen:
 
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
C:\Programme\PCPal\PCPalSrvHost.exe

Und was sollen diese Dinge?
https://shop.aldisued-fotos-druck.de/shop/activex/aldi_sued_express_upload.cab
http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
http://driveragent.com/files/driveragent.cab

Alles unerlaubte und unnötige Verbindungsaufnahmen. Aber alles legal...
Wenn man es zuläßt!

Aber ich finde nicht den mindesten Hinweis, das ein Schadprogramm existiert.
Wer alle Anwendungen seines PCs "default" istalliert, der benötigt keine Trojaner und ähnliche Schadprogramme.
Der sperrt seinen PC ganz freiwillig für Zugriffe aller Art auf...

Jürgen

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

@jüki
Du weist aber,das man beim benutzerdefinierten instalieren die dialogfelfder lesen muß.Das ist sehr anstrenend und man muß auch n och dabei denken.Das ist für den Standarduser einfach zuviel...

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Vielen Dank für die Antworten.
Habe verstanden, dass es einige Programe gibt die sich automatisch updaten.
Jetzt die Frage, wie kann ich es wieder rückgängig machen?
Nochmals Danke für die Hinweise.

Jsoef.

Dafür gibt es keine allgemeingültige Antwort.
Du mußt bei jedem einzelnen der installierten Anwendungen in den Optionen, Einstellungen suchen - ist oft ziemlich geschickt versteckt.
Viele der Software- Firmen stellen diese automatischen Updates nicht aus Selbstlosigkeit zur Verfügung - sie erhoffen sich damit oft Informationen über den PC, den User.
Ein etwas fortgeschrittener User verwendet dazu unter Umständen eine Desktop- Firewall, um zu ermitteln, was alles korrespondieren will auf seinem PC.
Das ist übrigens der einzige für mich akzeptable Grund, so etwas zu verwenden.

Jürgen


« Win XP: Kann mir jemand sagen ob mein hijackthis scan ok ist :-))PC: Fehler 12007 bei DerPate2 »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Update
Als Update bezeichnet man eine aktualisierte Version einer bereits besessenen Software, die registrierte Anwender meist zu einem Bruchteil des Preises des ursprüngli...

Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...

Programm
Siehe Software...