Win XP: Win XP: Einträge in msconfig verschwinden

Besten Dank für den Link. Habe jetzt mit Sentinel festgestellt, dass jeweils bei einem Neustart die Einträge in HKCU/Run gelöscht werden (diejenigen in HKLM/Run bleiben bestehen). Leider gibt auch Sentinel keine Hinweise darauf, welches Programm oder welcher Prozess diese Änderungen vornimmt. Jemand eine Idee?

..nur das..
http://www.computerhilfen.de/info/anleitung-zum-loeschen-von-viren-und-trojanern.html

"Die sicherste Variante ist den Computer zu formatieren und alles zu löschen - dabei gehen aber alle Daten verloren."

Ja genau, oder PC wegschmeissen und Rückkehr zu Abakus und Steintafel  .

Antivir, BitDefender, Kaspersky, Spybot und AdAware finden jedenfalls nix.

..formatieren meinte ich gar nicht ..

..schön, das die nichts finden und was ist mit Malewarebytes?

Ach so, die unteren 3 Punkte, he he 

Wie gesagt, Viren/Spyware/Adware/Malware wird nix gefunden, und statt CCleaner verwende ich Privacy Keeper. Malwarebytes hab ich seit 'nem Jahr nicht mehr installiert, werd es jetzt aber kurz draufschmeissen und durchlaufen lassen...

Malwarebytes findet auch nichts.

Hab' jetzt WinPatrol installiert, das die Änderungen der Startup-Programme meldet. Beim Hinzufügen der Einträge in HKCU/Run schlägt WinPatrol an, aber nach dem Reboot sind die Einträge wieder weg ohne Meldung von WinPatrol (dasselbe Szenario wie bei Spybot Tea-Timer).

Irgendein Prozess leert anscheinend die HKCU/Run beim Hochfahren, d.h. die darin eingetragenen Programme verhalten sich wie unter HKCU/RunOnce.  ???

..ich bin blind.
was ist mit Punkt 2..
Als Brille..keine Ahnung ob sie nützen wird.

siehe erster Post, Stevie Wonder 


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:09:22, on 15.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Online Armor\OAcat.exe
D:\Online Armor\oasrv.exe
C:\WINDOWS\Explorer.EXE
D:\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir Desktop\sched.exe
D:\Acronis TrueImage\TrueImageMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
D:\RAM Idle LE\RAM_XP.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
D:\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Online Armor\oaui.exe
D:\WinPatrol\winpatrol.exe
D:\DAEMON Tools Lite\daemon.exe
D:\PeerGuardian2\pg2.exe
D:\Mmm+\MmmTray.exe
C:\WINDOWS\system32\svchost.exe
D:\Online Armor\OAhlp.exe
D:\Rainlendar\Rainlendar.exe
D:\Firefox\firefox.exe
D:\Total Commander\TOTALCMD.EXE
D:\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programme\Tracker Software\PDF Viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Acronis TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RAM Idle Professional] D:\RAM Idle LE\RAM_XP.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [@OnlineArmor GUI] "D:\Online Armor\oaui.exe"
O4 - HKLM\..\Run: [WinPatrol] D:\WinPatrol\winpatrol.exe -expressboot
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = D:\ERUNT\AUTOBACK.EXE
O4 - Startup: Rainlendar.lnk = D:\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237508050796
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) -
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Online Armor Helper Service (OAcat) - Tall Emu - D:\Online Armor\OAcat.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - D:\Online Armor\oasrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6310 bytes
 

D:\Online Armor\OAcat.exe
D:\Online Armor\oasrv.exe
..der gefällt mir schon nicht...da denke ich, müssen andere ran..
bin kein Bereiniger. 

Online Armor ist meine Firewall

trotzdem besten Dank für deine Hilfe!

D:\Avira\AntiVir Desktop\sched.exe
D:\Avira\AntiVir Desktop\avgnt.exe
D:\Avira\AntiVir Desktop\avguard.exe
..und das?
..bitte schön..

Die sind ok, die gehören zum AV.

Ich glaube nicht, dass ein laufendes Programm (oder Virus/Spyware) die Registrierungseinträge löscht, sondern eher Windows selber durch irgendeinen Registry-Fehler.