Festplatte Zugriffsgeräusche und "Rattern"

Joschagah · Jan 21, 2009

Hallo,

seit einiger Zeit hat meine Festplatte zu "Rattern" begonnen.
Wenn der Rechner eine Zeit an, aber nicht stark genutzt wird fällt mir das Geräusch besonders auf. Es klingt wie Zugriffsgeräusche, aber was tut sie da?

In jedem Fall hat sie das früher nicht getan und ich bilde mir sogar ein, dass es zunimmt.

Ich defragmentiere 1/Monat und gebe mir auch sonst alle Mühe das System schlank und fitt zu halten. Was könnte das sein?

deoroller · Jan 21, 2009

Sind die Befestigungsschrauben noch alle fest?
Dann kannst du mal den S.M.A.R.T. mit CrystalDiskInfo feststellen und die Logdatei posten. http://www.wintotal.de/softw/?id=4923

Joschagah · Jan 21, 2009

Schrauben sind alle fest.

Hier das Log:

----------------------------------------------------------------------------
CrystalDiskInfo 2.0.4 (C) 2008 hiyohiyo
Crystal Dew World : http://crystalmark.info/
----------------------------------------------------------------------------

OS : Windows XP Home SP3 [5.1 Build 2600] (x86)
Date : 2009/01/21 13:18:33

-- Controller Map ----------------------------------------------------------
+ Standard-Zweikanal-PCI-IDE-Controller [ATA]
- Primärer IDE-Kanal (0)
- Sekundärer IDE-Kanal (1)
+ Standard-Zweikanal-PCI-IDE-Controller [ATA]
+ Primärer IDE-Kanal (0)
- WDC WD2500AAKS-00SBA0
+ Sekundärer IDE-Kanal (1)
- TSSTcorp CD/DVDW SH-S183A
+ Standard-Zweikanal-PCI-IDE-Controller [ATA]
- Primärer IDE-Kanal (0)
- Sekundärer IDE-Kanal (1)

-- Disk List ---------------------------------------------------------------
(1) WDC WD2500AAKS-00SBA0 : 250.0 GB [0-1-0, pd]

-- Disk 1 ------------------------------------------------------------------
Model : WDC WD2500AAKS-00SBA0
Firmware : 12.01B01
Serial Number : WD-WCAPZ0975548
Total Disk Size : 250.0 GB (8.4/137.4/250.0)
Buffer Size : 16384 KB
NV Cache Size : ----
Interface : Serial ATA
Version : ATA/ATAPI-7
Transfer Mode : SATA/300
Power On Hours : 3256 Std.
Power On Count : 594 mal
Temparature : 37 C (98 F)
Health Status : Gut
Features : S.M.A.R.T., 48bit LBA, NCQ, AAM
APM Level : ----
AAM Level : 80FEh [OFF]

-- Disk 1 -- S.M.A.R.T. ----------------------------------------------------
ID Cur Wor Thr Raw Values Attribute Name
01 200 200 _51 000000000000 Lesefehlerrate
03 155 147 _21 000000001482 Beschleunigungszeit
04 100 100 __0 00000000026B Start/Stop Zähler
05 200 200 140 000000000000 Wiederzugewiesene Sektoren
07 200 200 _51 000000000000 Suchfehlerrate
09 _96 _96 __0 000000000CB8 Eingeschaltete Stunden
0A 100 100 _51 000000000000 Drehwiederholungen
0B 100 100 _51 000000000000 Rekalibrierungswiederholungen
0C 100 100 __0 000000000252 Gerätestromzyklus
C0 200 200 __0 000000000002 Ausschaltungsabbrüche
C1 200 200 __0 00000000026C Laden/Entladen Zyklus
C2 110 _91 __0 000000000025 Temperatur
C4 200 200 __0 000000000000 Wiederzuweisungsereignisse
C5 200 200 __0 000000000000 Aktuell schwebende Sektoren
C6 200 200 __0 000000000000 Nicht korrigierbare Sektoren
C7 200 200 __0 000000000000 UltraDMA CRC Fehler
C8 200 200 _51 000000000000 Schreibfehlerrate

-- Disk 1 -- IDENTIFY_DEVICE -----------------------------------------------
+0 +1 +2 +3 +4 +5 +6 +7 +8 +9 +A +B +C +D +E +F
000: 7A 42 FF 3F 37 C8 10 00 00 00 00 00 3F 00 00 00
010: 00 00 00 00 20 20 20 20 57 20 2D 44 43 57 50 41
020: 30 5A 37 39 35 35 38 34 00 00 00 80 32 00 32 31
030: 30 2E 42 31 31 30 44 57 20 43 44 57 35 32 30 30
040: 41 41 53 4B 30 2D 53 30 41 42 20 30 20 20 20 20
050: 20 20 20 20 20 20 20 20 20 20 20 20 20 20 10 80
060: 00 00 00 2F 01 40 00 00 00 00 07 00 FF 3F 10 00
070: 3F 00 10 FC FB 00 10 01 FF FF FF 0F 00 00 07 00
080: 03 00 78 00 78 00 78 00 78 00 00 00 00 00 00 00
090: 00 00 00 00 00 00 1F 00 06 07 00 00 44 00 40 00
0A0: FE 00 00 00 6B 74 61 7F 23 41 69 74 41 BC 23 41
0B0: 7F 40 1F 00 00 00 00 00 FE FF 00 00 FE 80 00 00
0C0: 00 00 00 00 00 00 00 00 70 59 1C 1D 00 00 00 00
0D0: 00 00 00 00 00 00 00 00 01 50 E1 4E C9 AA BD 34
0E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 10 40
0F0: 10 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00
100: 09 00 00 00 00 00 00 00 00 00 7D 16 00 00 00 00
110: 00 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00
120: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
130: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
140: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
150: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
160: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
170: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
180: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
190: 00 00 00 00 00 00 00 00 00 00 00 00 3F 10 00 00
1A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1D0: 00 00 00 00 01 00 00 10 00 00 00 00 00 00 00 00
1E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 A5 66

deoroller · Jan 21, 2009

Ich habe da nichts auszusetzen.
Aber vielleicht findet derupsi da etwas.
Rattert die Platte auch, wenn keine Festplattenzugriffe statt finden?

derupsi · Jan 21, 2009

Die SMART-Werte sehen ok aus.
Zugriffe können von Windows eigenen Anwendungen stammen (z.B Index-Erstellung), Anti-Virus Software (Scannen im Hintergrund bei Leerlauf) aber auch von der HDD selbst. Die meisten HDDs haben eine Diagnose implementiert, die bei Leerlauf verschiedene Tests (auch Oberflächentests) durchführt.

Joschagah · Jan 21, 2009

Ja, es sieht so aus als wäre es ein Arbeitsgeräusch.
Die LED für Festplattenaktivität leuchtet dann auch.
Ich konnte das Arbeiten bisher mit keinem meiner Prozesse in Verbindung bringen. Das es die beschriebenen Systeminternen Prozesse sind klingt demnach einleuchtend.

Nur weshalb gab es die Anfangs nicht?

deoroller · Jan 21, 2009

Du kannst mal den PC mit RSIT scannen und beide Logdateien im Anhang hoch laden.
http://virus-protect.org/artikel/tools/random.html

Joschagah · Jan 21, 2009

Logfile of random's system information tool 1.05 (written by random/random)
Run by Joscha at 2009-01-21 18:12:19
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 1 GB (11%) free of 10 GB
Total RAM: 2047 MB (78% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12:27, on 21.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
D:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
E:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
E:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Programme\Mozilla Firefox\firefox.exe
E:\Eigene Dateien\Downloads\RSIT.exe
D:\Programme\Trend Micro\HijackThis\Joscha.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] ;"C:\Programme\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMax] ;"C:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1215200019859
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: NMSAccessU - Unknown owner - D:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SNCRFKGVA - Sysinternals - www.sysinternals.com - E:\EIGENE~1\TMP\SNCRFKGVA.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe

--
End of file - 5421 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"=;C:\Programme\Analog Devices\Core\smax4pnp.exe []
"avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-17 266497]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-08-11 7630848]
"SoundMax"=;C:\Programme\Analog Devices\SoundMAX\smax4.exe /tray []
"NvMediaCenter"=C:\WINDOWS\system32\NvMCTray.dll [2006-08-11 86016]
"TrueImageMonitor.exe"=D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe [2008-04-09 2595792]
"AcronisTimounterMonitor"=D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe [2008-04-09 909208]
"Acronis Scheduler2 Service"=C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe [2008-04-09 136472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-03-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
relog_ap

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\Programme\Mozilla Firefox\firefox.exe"="D:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"D:\Programme\Warcraft III\Warcraft III.exe"="D:\Programme\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III"
"D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe"="D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4"
"D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords.exe"="D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords.exe:*:Enabled:Sid Meier's Civilization 4 Warlords"
"D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords_PitBoss.exe"="D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords_PitBoss.exe:*:Enabled:Sid Meier's Civilization 4 Pitboss"
"D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword.exe"="D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword.exe:*:Enabled:Sid Meier's Civilization 4 Beyond the Sword"
"D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword_PitBoss.exe"="D:\Programme\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword_PitBoss.exe:*:Enabled:Sid Meier's Civilization 4 Beyond the Sword Pitboss"
"C:\WINDOWS\system32\dxdiag.exe"="C:\WINDOWS\system32\dxdiag.exe:*:Enabled:Microsoft DirectX-Diagnoseprogramm"
"C:\WINDOWS\system32\dpnsvr.exe"="C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8-Server"
"D:\Programme\Valve\hl.exe"="D:\Programme\Valve\hl.exe:*:Enabled:Half-Life Launcher"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-01-21 18:12:19 ----D---- C:\rsit
2009-01-21 13:24:50 ----A---- C:\WINDOWS\system32\write.exe
2009-01-21 13:24:44 ----A---- C:\WINDOWS\system32\getuname.dll
2009-01-21 13:24:43 ----A---- C:\WINDOWS\system32\charmap.exe
2009-01-21 13:24:43 ----A---- C:\WINDOWS\system32\calc.exe
2009-01-21 13:22:21 ----D---- C:\WINDOWS\LastGood
2009-01-21 12:54:18 ----D---- C:\Dokumente und Einstellungen\Joscha\Anwendungsdaten\Canneverbe_Limited
2009-01-21 12:49:15 ----RSD---- C:\WINDOWS\assembly
2009-01-21 12:48:45 ----D---- C:\WINDOWS\Microsoft.NET
2009-01-21 11:35:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
2009-01-21 11:35:32 ----D---- C:\Programme\Gemeinsame Dateien\Acronis
2009-01-18 18:12:07 ----HDC---- C:\WINDOWS\$NtUninstallKB955839$
2009-01-18 18:10:52 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-01-18 18:10:48 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-01-18 18:10:25 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2009-01-18 18:10:21 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$
2009-01-18 18:10:18 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-01-18 18:10:15 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-01-18 18:10:09 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$

======List of files/folders modified in the last 1 months======

2009-01-21 18:12:20 ----D---- C:\WINDOWS\Prefetch
2009-01-21 15:24:16 ----D---- C:\WINDOWS\security
2009-01-21 13:26:24 ----D---- C:\WINDOWS\TEMP
2009-01-21 13:24:55 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-01-21 13:24:52 ----D---- C:\WINDOWS\system32
2009-01-21 13:24:52 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-01-21 13:24:50 ----D---- C:\WINDOWS\Help
2009-01-21 13:24:49 ----D---- C:\WINDOWS\Cursors
2009-01-21 13:24:46 ----D---- C:\WINDOWS
2009-01-21 13:22:20 ----D---- C:\WINDOWS\system32\CatRoot2
2009-01-21 12:56:51 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-01-21 12:56:29 ----A---- C:\WINDOWS\imsins.BAK
2009-01-21 12:50:30 ----SHD---- C:\WINDOWS\Installer
2009-01-21 12:49:16 ----D---- C:\WINDOWS\WinSxS
2009-01-21 12:48:58 ----HD---- C:\WINDOWS\inf
2009-01-21 12:48:49 ----D---- C:\WINDOWS\system32\mui
2009-01-21 12:48:49 ----D---- C:\Programme\Internet Explorer
2009-01-21 11:45:46 ----D---- C:\Dokumente und Einstellungen\Joscha\Anwendungsdaten\teamspeak2
2009-01-21 11:35:53 ----D---- C:\WINDOWS\system32\drivers
2009-01-21 11:35:32 ----D---- C:\Programme\Gemeinsame Dateien
2009-01-21 10:52:17 ----RSH---- C:\boot.ini
2009-01-20 21:03:18 ----D---- C:\Programme\AntiVir PersonalEdition Classic
2009-01-20 21:03:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-01-18 20:25:12 ----D---- C:\Temp
2009-01-18 19:52:24 ----D---- C:\WINDOWS\system32\wbem
2009-01-18 18:11:59 ----A---- C:\WINDOWS\win.ini
2009-01-18 18:11:14 ----HD---- C:\WINDOWS\$hf_mig$
2009-01-18 17:24:14 ----D---- C:\WINDOWS\system32\CatRoot
2009-01-09 17:35:30 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-06-18 43520]
R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2006-10-18 12664]
R1 asuskbnt;Enhanced Display Driver Helper Service; C:\WINDOWS\system32\drivers\atkkbnt.sys [2005-10-18 11008]
R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-01-18 75072]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-05-02 21248]
R2 EIO;EIO; \??\C:\WINDOWS\system32\drivers\EIO.sys []
R2 tifsfilter;Acronis True Image FS Filter; C:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2009-01-21 44384]
R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\ADIHdAud.sys [2007-01-16 293888]
R3 AEAudio;AE Audio Service; C:\WINDOWS\system32\drivers\AEAudio.sys [2006-08-06 93952]
R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-08-11 3958496]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-07-11 57856]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-07-11 20480]
R3 SenFiltService;SenFilt Service; C:\WINDOWS\system32\drivers\Senfilt.sys [2006-03-17 392960]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 LHidUsbK;Logitech SetPoint USB Receiver device driver; C:\WINDOWS\System32\Drivers\LHidUsbK.Sys []
S3 LMouKE;Logitech SetPoint Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouKE.Sys []
S3 LUsbKbd;Logitech SetPoint USB Filter Driver; C:\WINDOWS\system32\drivers\LUsbKbd.sys []
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AcrSch2Svc;Acronis Scheduler2 Service; C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [2008-04-09 431384]
R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-30 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-30 151297]
R2 ATKKeyboardService;ATK Keyboard Service; C:\WINDOWS\ATKKBService.exe [2006-09-04 241664]
R2 IJPLMSVC;PIXMA Extended Survey Program; C:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 101528]
R2 NMSAccessU;NMSAccessU; D:\Programme\CDBurnerXP\NMSAccessU.exe [2008-10-20 71096]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-08-11 155715]
R2 TryAndDecideService;Acronis Try And Decide Service; C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2008-04-09 492896]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 SNCRFKGVA;SNCRFKGVA; E:\EIGENE~1\TMP\SNCRFKGVA.exe [2008-07-03 494464]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NBService;NBService; E:\Programme\Nero 7\Nero BackItUp\NBService.exe []
S4 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe []

-----------------EOF-----------------

info.txt logfile of random's system information tool 1.05 2009-01-21 18:12:28

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
1&1 EasyLogin-->E:\Programme\1&1\1&1 EasyLogin\Uninstall.exe
Acronis True Image Home-->MsiExec.exe /X{633A06C3-B709-479A-AAB3-5EE94AD9EE4B}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop 7.0-->C:\WINDOWS\ISUN0407.EXE -f"E:\Programme\Adobe\Photoshop 7.0\Uninst.isu" -c"E:\Programme\Adobe\Photoshop 7.0\Uninst.dll"
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
ASUS Enhanced Display Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{315ACD04-BCEB-478B-9B1D-5431D0E6CB11}\setup.exe" -l0x7 -removeonly
Avira AntiVir Personal - Free Antivirus-->C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Canon iP3500 series Benutzerregistrierung-->C:\Programme\Canon\IJEREG\iP3500 series\UNINST.EXE
Canon iP3500 series-->"C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3500_series\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3500_series /L0x0007
CDBurnerXP-->"D:\Programme\CDBurnerXP\unins000.exe"
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DVD Shrink 3.2 deutsch-->"D:\Programme\DVD Shrink DE\unins000.exe"
ElsterFormular 2006/2007-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}\setup.exe" -l0x7 -removeonly
ElsterFormular 2007/2008-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}\setup.exe" -l0x7 -removeonly
Far Cry-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{D6DBDC2A-E72C-4284-B6AD-6B3B61B4DABC}
High Definition Audio Driver Package - KB888111-->C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe
HijackThis 2.0.2-->"D:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Malwarebytes' Anti-Malware-->"D:\Programme\Trend Micro\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.3)-->D:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
nLite 1.4.9.1-->"D:\Programme\nLite\unins000.exe"
NVIDIA Drivers-->C:\WINDOWS\system32\nvunrm.exe UninstallGUI
PDFCreator-->D:\Programme\PDFCreator\unins000.exe
PIXMA Extended Survey Program-->C:\Programme\Canon\IJPLM\SETUP.EXE -R
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
PRICOM-Print CX-->C:\WINDOWS\JCNETDEL.EXE -fdeljcnet.ini
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\setup.exe" -l0x7 -removeonly
SpeedSim-->D:\Programme\Trend Micro\SpeedSim\uninst.exe
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Windows-Sicherungsprogramm-->MsiExec.exe /I{76EFFC7C-17A6-479D-9E47-8E658C1695AE}
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_87B606860B720724BEB5DCEB69E8628A61DE0A7E\amdk8.inf
WinRAR archiver-->E:\Programme\WinRAR\uninstall.exe
World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe

=====HijackThis Backups=====

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
R3 - URLSearchHook: (no name) - - (no file)

======Security center information======

AV: Avira AntiVir PersonalEdition

System event log

Computer Name: MASTER
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 1568558
Source Name: Disk
Time Written: 20090121090335.000000+060
Event Type: Warnung
User:

Computer Name: MASTER
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 1568557
Source Name: Disk
Time Written: 20090121090335.000000+060
Event Type: Warnung
User:

Computer Name: MASTER
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 1568556
Source Name: Disk
Time Written: 20090121090335.000000+060
Event Type: Warnung
User:

Computer Name: MASTER
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 1568555
Source Name: Disk
Time Written: 20090121090335.000000+060
Event Type: Warnung
User:

Computer Name: MASTER
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.

Record Number: 1568554
Source Name: Disk
Time Written: 20090121090335.000000+060
Event Type: Warnung
User:

Application event log

Computer Name: MASTER
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 433
Source Name: H+BEDV AntiVir
Time Written: 20070807104025.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: MASTER
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 432
Source Name: SecurityCenter
Time Written: 20070807062101.000000+120
Event Type: Informationen
User:

Computer Name: MASTER
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 431
Source Name: H+BEDV AntiVir
Time Written: 20070807062051.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: MASTER
Event Code: 4097
Message: Die Anwendung "E:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe" hat einen Programmfehler verursacht.
Datum und Zeit des Fehlers: 06.08.2007 um 13:04:03.781
Ausnahme: c0000005 an Adresse 015F24FB (AcroRd32!PDDocSetXAPMetadata)

Record Number: 430
Source Name: DrWatson
Time Written: 20070806130403.000000+120
Event Type: Informationen
User:

Computer Name: MASTER
Event Code: 1000
Message: Fehlgeschlagene Anwendung acrord32.exe, Version 8.1.0.137, fehlgeschlagenes Modul acrord32.dll, Version 8.1.0.137, Fehleradresse 0x005124fb.

Record Number: 429
Source Name: Application Error
Time Written: 20070806130402.000000+120
Event Type: Fehler
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=2
"OS"=Windows_NT
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\QuickTime\QTSystem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 107 Stepping 1, AuthenticAMD
"PROCESSOR_LEVEL"=15
"PROCESSOR_REVISION"=6b01
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%

-----------------EOF-----------------

deoroller · Jan 21, 2009

Den Eintrag im abgesicherten Modus fixen;
R3 - URLSearchHook: (no name) - - (no file)

Dann ist ein Prozess aktiv, der vorgibt von sysinternals.com zu sein
O23 - Service: SNCRFKGVA - Sysinternals - www.sysinternals.com - E:\EIGENE~1\TMP\SNCRFKGVA.exe
Der ehemalige Besitzer der Domain ist aber schon vor Jahren zu Microsoft gewechselt und betreut dort seine Programme weiter. Weißt du, von welchem Programm der Dienst sein kann?
Er läuft in einem temporären Ordner. Der Prozess sollte beendet werden, wenn das Programm beendet wird.
Lass mal die SNCRFKGVA.exe bei www.virustotal.com/de untersuchen.

Joschagah · Jan 21, 2009

Ok,

ich habe keine Ahnung von welchem Program der Prozess stammen könnte. Hier das Ergebnis von VirusTotal:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.21 -
AhnLab-V3 5.0.0.2 2009.01.21 -
AntiVir 7.9.0.57 2009.01.21 -
Authentium 5.1.0.4 2009.01.21 -
Avast 4.8.1281.0 2009.01.21 -
AVG 8.0.0.229 2009.01.21 -
BitDefender 7.2 2009.01.21 -
CAT-QuickHeal 10.00 2009.01.21 -
ClamAV 0.94.1 2009.01.21 -
Comodo 940 2009.01.21 -
DrWeb 4.44.0.09170 2009.01.21 -
eSafe 7.0.17.0 2009.01.20 -
eTrust-Vet 31.6.6319 2009.01.21 -
F-Prot 4.4.4.56 2009.01.21 -
F-Secure 8.0.14470.0 2009.01.21 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.21 -
Ikarus T3.1.1.45.0 2009.01.21 -
K7AntiVirus 7.10.598 2009.01.21 -
Kaspersky 7.0.0.125 2009.01.21 -
McAfee 5501 2009.01.20 -
McAfee+Artemis 5501 2009.01.20 -
Microsoft 1.4205 2009.01.21 -
NOD32 3786 2009.01.21 -
Norman 5.93.01 2009.01.21 -
nProtect 2009.1.8.0 2009.01.21 -
Panda 9.5.1.2 2009.01.21 -
PCTools 4.4.2.0 2009.01.21 -
Prevx1 V2 2009.01.21 -
Rising 21.13.22.00 2009.01.21 -
SecureWeb-Gateway 6.7.6 2009.01.21 -
Sophos 4.37.0 2009.01.21 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.21 -
TheHacker 6.3.1.5.225 2009.01.21 -
TrendMicro 8.700.0.1004 2009.01.21 -
ViRobot 2009.1.21.1572 2009.01.21 -
VirusBuster 4.5.11.0 2009.01.21 -
weitere Informationen
File size: 494464 bytes
MD5...: b70d719c27bc34977d53983f9b3481bb
SHA1..: 274a7b6b6ddacfbe8b6144774a8048752309dabb
SHA256: 6840c82b3b86f3ccdab0fc2657084d33b187402b882858c34cdc5e1a171feec7
SHA512: 1dfd17f7fb46a6b5bf12db3846b0f727ee8b329e3138f4ac70dfd02423184764
884db01ff45f59f145f64d8e6787c3890491a7c63cf3c9a69ba5e3f0a3c3182a
ssdeep: 3072:2wUxasiZznVIvjzFM8zEDTHx7uG0Sq5e9whvrCyoI9Ilgz9tsXLqfGRvhRd
d4pTq:2nqJ+j28zSTR7Jqw9oDFzZ+Hdd4p4l
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43cf33
timedatestamp.....: 0x44e255aa (Tue Aug 15 23:15:54 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x28000 0x22965 0x23000 6.57 89ea1cebf8114864f11b93835af4e5dd
.rdata 0x4b000 0x3c24 0x4000 5.15 7ab4716d944b7033822ea8294ac915ec
.data 0x4f000 0x23150 0x1e000 5.33 f77c195d10653f272574a2e7f8d5da0a
.rsrc 0x73000 0x69d0 0x7000 4.66 f3b6e2bd2ee31723a18af8c2a9bd6680
.reloc 0x7a000 0x281a 0x3000 5.82 f3480f7e81f5665421d90ec3c0e20664

( 11 imports )
> VERSION.dll: GetFileVersionInfoSizeW, VerQueryValueW, GetFileVersionInfoW
> KERNEL32.dll: SystemTimeToTzSpecificLocalTime, GetTimeZoneInformation, TerminateProcess, CreateProcessW, GetDriveTypeW, GetLogicalDrives, CreateThread, ResetEvent, OpenEventW, SetEvent, LoadLibraryW, CreateEventW, InitializeCriticalSection, GetFullPathNameW, GetSystemDirectoryW, WaitForMultipleObjects, GetTempPathW, GetCommandLineW, GetVersion, GetModuleFileNameW, FlushFileBuffers, LocalAlloc, SetConsoleCtrlHandler, SetEndOfFile, IsBadCodePtr, SetUnhandledExceptionFilter, SetStdHandle, GetStringTypeW, GetStringTypeA, GetVersionExA, GetUserDefaultLCID, EnumSystemLocalesA, GetLocaleInfoA, IsValidCodePage, IsValidLocale, GetCPInfo, GetModuleFileNameA, ReadFile, GetFileType, GetStdHandle, SetHandleCount, GetCommandLineA, GetEnvironmentStrings, GetEnvironmentStringsW, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, SystemTimeToFileTime, GetCurrentThread, TlsGetValue, TlsFree, TlsAlloc, TlsSetValue, GetCurrentThreadId, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, LCMapStringW, LCMapStringA, FatalAppExitA, DeleteCriticalSection, ExitProcess, GetStartupInfoW, GetModuleHandleA, WideCharToMultiByte, RtlUnwind, HeapFree, HeapAlloc, HeapReAlloc, LoadLibraryA, FindFirstFileW, FindNextFileW, FindClose, CompareFileTime, FileTimeToLocalFileTime, SetEnvironmentVariableA, lstrlenW, CreateFileMappingW, MapViewOfFile, GetFileSize, UnmapViewOfFile, GetTickCount, VirtualProtect, IsBadReadPtr, GetCurrentDirectoryW, GetOEMCP, DeviceIoControl, SetFileAttributesW, DeleteFileW, CopyFileW, InterlockedIncrement, InterlockedDecrement, WaitForSingleObject, EnterCriticalSection, LeaveCriticalSection, WriteFile, MultiByteToWideChar, DosDateTimeToFileTime, LocalFileTimeToFileTime, FileTimeToSystemTime, GetDateFormatW, GetTimeFormatW, GetLocaleInfoW, GlobalAlloc, GlobalLock, GlobalUnlock, GetFileAttributesW, LocalFree, FormatMessageW, Sleep, HeapSize, DebugBreak, GetModuleHandleW, GetProcAddress, InterlockedExchange, SetLastError, CreateFileW, FindResourceW, LoadResource, SizeofResource, LockResource, GetCurrentProcess, CloseHandle, GetVersionExW, CreateFileA, SetFilePointer, GetLastError, CompareStringA, CompareStringW, GetACP, GetStartupInfoA, RaiseException
> USER32.dll: EndPaint, BeginPaint, PtInRect, IsZoomed, CallWindowProcW, DrawFrameControl, CreateDialogParamW, UnionRect, OffsetRect, GetSystemMetrics, EndDeferWindowPos, EnumChildWindows, BeginDeferWindowPos, GetPropW, DeferWindowPos, GetClassNameW, SetWindowPlacement, UpdateWindow, LoadAcceleratorsW, GetMessageW, TranslateAcceleratorW, ScreenToClient, DrawTextW, GetWindowTextW, wsprintfW, IsDialogMessageW, TranslateMessage, DispatchMessageW, DialogBoxIndirectParamW, GetWindowLongW, SetWindowLongW, SetFocus, GetMenu, CheckMenuItem, GetWindowPlacement, GetDlgItemTextW, SetTimer, EnableWindow, DialogBoxParamW, KillTimer, DefWindowProcW, MsgWaitForMultipleObjects, LoadIconW, SetWindowTextW, DestroyIcon, PostQuitMessage, SetDlgItemTextW, IsWindowEnabled, CheckDlgButton, IsDlgButtonChecked, RegisterClas***W, ShowWindow, MapWindowPoints, CreateWindowExW, SetCapture, ReleaseCapture, EndDialog, GetParent, GetWindowRect, MoveWindow, GetDlgItem, LoadCursorW, GetSysColorBrush, GetSysColor, ChildWindowFromPoint, InvalidateRect, SetCursor, OpenClipboard, EmptyClipboard, SendMessageW, SetClipboardData, CloseClipboard, LoadStringW, PostMessageW, MessageBoxW, InflateRect, SetPropW, GetClientRect
> GDI32.dll: EndDoc, GetStockObject, GetObjectW, EndPage, SetBkMode, SetTextColor, SelectObject, StartPage, StartDocW, SetMapMode, CreateFontIndirectW, GetDeviceCaps
> comdlg32.dll: GetSaveFileNameW, PrintDlgW
> ADVAPI32.dll: RegQueryInfoKeyW, GetSecurityDescriptorLength, MakeAbsoluteSD, MakeSelfRelativeSD, RegOpenKeyExW, RegQueryValueW, RegConnectRegistryW, RegEnumKeyExW, RegCreateKeyExW, RegCreateKeyW, RegSetValueExW, RegCloseKey, RegDeleteKeyW, OpenProcessToken, LookupPrivilegeValueW, AdjustTokenPrivileges, RegQueryValueExA, RegOpenKeyExA, RegQueryValueExW, RegGetKeySecurity, IsValidSecurityDescriptor, CloseServiceHandle, DeleteService, QueryServiceStatus, ControlService, OpenServiceW, OpenSCManagerW, StartServiceW, CreateServiceW, SetServiceStatus, RegEnumKeyW, RegDeleteValueW, FreeSid, EqualSid, GetTokenInformation, AllocateAndInitializeSid, RegisterServiceCtrlHandlerW, StartServiceCtrlDispatcherW, RegEnumValueW
> SHELL32.dll: CommandLineToArgvW, ShellExecuteW, ExtractIconExW
> ole32.dll: CreateBindCtx
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_Create, ImageList_ReplaceIcon, PropertySheetW, -
> MPR.dll: WNetEnumResourceW, WNetOpenEnumW, WNetCloseEnum

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=b70d719c27bc34977d53983f9b3481bb' target='_blank'>http://www.threatexpert.com/report.aspx?md5=b70d719c27bc34977d53983f9b3481bb</a>

Worum handelt es sich bei dem "HookEintrag"?

deoroller · Jan 21, 2009

Es wurde irgendein Tool von Sysinternals gestartet und das läuft immer noch.
NT-Prozesse kann man unter Systemsteuerung-Verwaltung-Dienste beenden und deaktivieren.
Da kannst du mal nach gucken.

Joschagah · Jan 21, 2009

Auweiah,

also leider komme ich in dem Diensteverzeichnis nicht weiter.
In den Beschreibungen steht nichts von Sysinternalis, also wie kann ich denn dann herausfinden um welchen Dienst es sich handelt?

Und was verbirgt sich hinter:

R3 - URLSearchHook: (no name) - - (no file)

und bedeutet im abgesicherten Modus fixen, das ich Windows abgesichert starte und dann über HJK "fixen" anwähle?

deoroller · Jan 21, 2009

Systemwiederherstellung deaktivieren.
PC im abgesicherten Modus starten.
http://www2.tu-berlin.de/www/software/virus/savemode.shtml

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

Und was verbirgt sich hinter:
R3 - URLSearchHook: (no name) - - (no file)

Ein überflüssiger Eintrag.

Joschagah · Jan 21, 2009

Ok,

jetzt habe ich es. Der Dienst wurde deaktiviert und der URL Hook EIntrag imabgesicherten Modus entfernt.

Erneutes Log posten?

deoroller · Jan 21, 2009

Ist nicht nötig, wenn die Sachen verschwunden sind.
Du kannst jetzt noch in der Registry nach SNCRFKGVA unter [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] suchen und SNCRFKGVA löschen. Dann verschwindet der Dienst auch in der Übersicht der Dienste und im HijackThis-Log.

Joschagah · Jan 21, 2009

Ok,

super. Aber mit meiner Festplatte hatte das wahrscheinlich nischts zu tun, oder?

Geh ich recht in der Annahme, dass mein System anscheinend relativ sauber ist?

Wie auch immer, habe die Gelgenheit gleich genutzt und weitere, zur Zeit nicht benötigte Dienste deaktiviert.

Vielen Dank für die Unterstützung,

Joschagah

deoroller · Jan 21, 2009

Soweit ich das überblicke, ist der PC nicht verseucht.
Die Festplatte sollte eigentlich noch keine Ermüdungserscheinungen zeigen mit den paar Betriebsstunden.

Joschagah · Jan 22, 2009

Ok super, vielen Dank.

Was wäre denn eine durchschnittliche Anzahl von Betriebsstunden, bei der Festplatten Ermüdungserscheinungen bekommen?

deoroller · Jan 22, 2009

Da gibt es Angaben von Hersteller, aber das trifft fast nie zu, da es Mittelwerte sind.
Bei dem einen fällt die Platte nach 2 Jahren aus und bei dem anderen nach 10 und dann haben wir einen Durchschnitt von 6 Jahren, was bei keinem zutrifft.
Ermüdungserscheinung wäre ein verschlissenes Lager, abnehmendes Magnetfeld, immer häufiger auftretende Rekalibrierungen.

Log in or Sign up

Festplatte Zugriffsgeräusche und "Rattern"

Joschagah Kbyte

deoroller Wandelndes Forum

Joschagah Kbyte

deoroller Wandelndes Forum

derupsi Halbes Gigabyte

Joschagah Kbyte

deoroller Wandelndes Forum

Joschagah Kbyte

deoroller Wandelndes Forum

Joschagah Kbyte

deoroller Wandelndes Forum

Joschagah Kbyte

deoroller Wandelndes Forum

Joschagah Kbyte

deoroller Wandelndes Forum

Joschagah Kbyte

deoroller Wandelndes Forum

Joschagah Kbyte

deoroller Wandelndes Forum

Share This Page