Beiträge von Ffluxus

Vielen Dank für deine Antwort. Dann probiere ich das einmal aus...

Hallo ,

heute morgen ist das cmd-Fenster wieder aufgetaucht - ich konnte es leider nicht einfangen. In der Ereignisanzeige wurde angezeigt, was ich anhänge. Ich kann damit leider nicht viel anfangen, außer das es scheinbar etwas mit dem Netzwerk oder dem Router zu tun hat. Das Fenster tauchte auf, als ich bei o2 (Anbieter) eingeloggt war.

Deshalb ist meine starke Vermutung, dass es nichts mit Firefox zu tun hat, sondern mit der o2 Service Suite. Ich hatte sie vor Wochen installiert und wieder deinstalliert, weil sie mir nicht gefiel. Vielleicht sind irgendwelche "Reste" am Werkeln/in der Aufgabenplanung, die die Fenster hervorrufen.

Würde es etwas nützen, wenn ich die Service Suite noch einmal installiere, um sie dann mit dem Revo Uninstaller vollständig zu deinstallieren und loszuwerden?

Oder gibt es einen anderen, besseren Weg?

Protokollname: System
Quelle:        Microsoft-Windows-DNS-Client
Datum:         26.04.2021 10:06:38
Ereignis-ID:   1014
Aufgabenkategorie:(1014)
Ebene:         Warnung
Schlüsselwörter:(268435456)
Benutzer:      Netzwerkdienst
Computer:      LAPTOP-HKLEDIQ5
Beschreibung:
Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.dc._msdcs.localdomain, nachdem keiner der konfigurierten DNS-Server geantwortet hat.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-DNS-Client" Guid="{1c95126e-7eea-49a9-a3fe-a378b03ddb4d}" />
    <EventID>1014</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>1014</Task>
    <Opcode>0</Opcode>
    <Keywords>0x4000000010000000</Keywords>
    <TimeCreated SystemTime="2021-04-26T08:06:38.8262233Z" />
    <EventRecordID>40779</EventRecordID>
    <Correlation />
    <Execution ProcessID="3768" ThreadID="3180" />
    <Channel>System</Channel>
    <Computer>LAPTOP-HKLEDIQ5</Computer>
    <Security UserID="S-1-5-20" />
  </System>
  <EventData>
    <Data Name="QueryName">_ldap._tcp.dc._msdcs.localdomain</Data>
    <Data Name="AddressLength">128</Data>
    <Data Name="Address">1700000000000000FE8000000000000000000000000000010A00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000</Data>
  </EventData>
</Event>

Wow, ich bin echt beeindruckt! Das so schnell zu finden! Und sehr beruhigend für mich, dann kann ich das ja schon mal ignorieren.

Jetzt warte ich weiter auf Fenster, um sie zu fangen, auch wenn es vielleicht so schwer ist wie

"extracting wasps from stings in flight" (bauhaus/Who killed Mr. Moonlight)

Protokollname: System

Quelle: Microsoft-Windows-DistributedCOM

Datum: 22.04.2021 20:18:57

Ereignis-ID: 10016

Aufgabenkategorie:Keine

Ebene: Warnung

Schlüsselwörter:Klassisch

Benutzer: LAPTOP-HKLEDIQ5\ralph

Computer: LAPTOP-HKLEDIQ5

Beschreibung:

Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "LAPTOP-HKLEDIQ5\ralph" (SID: S-1-5-21-1751545276-2641879756-3610683904-1001) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID

{2593F8B9-4EAF-457C-B68A-50F6B8EA6B54}

und der APPID

{15C20B67-12E7-4BB6-92BB-7AFF07997402}

im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden.

Ereignis-XML:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />

<EventID Qualifiers="0">10016</EventID>

<Version>0</Version>

<Level>3</Level>

<Task>0</Task>

<Opcode>0</Opcode>

<Keywords>0x8080000000000000</Keywords>

<TimeCreated SystemTime="2021-04-22T18:18:57.9782704Z" />

<EventRecordID>40282</EventRecordID>

<Correlation ActivityID="{55fd6ef7-b9c5-44bf-bfd2-0906e33c748f}" />

<Execution ProcessID="1104" ThreadID="11400" />

<Channel>System</Channel>

<Computer>LAPTOP-HKLEDIQ5</Computer>

<Security UserID="S-1-5-21-1751545276-2641879756-3610683904-1001" />

</System>

<EventData>

<Data Name="param1">Anwendungsspezifisch</Data>

<Data Name="param2">Lokal</Data>

<Data Name="param3">Aktivierung</Data>

<Data Name="param4">{2593F8B9-4EAF-457C-B68A-50F6B8EA6B54}</Data>

<Data Name="param5">{15C20B67-12E7-4BB6-92BB-7AFF07997402}</Data>

<Data Name="param6">LAPTOP-HKLEDIQ5</Data>

<Data Name="param7">ralph</Data>

<Data Name="param8">S-1-5-21-1751545276-2641879756-3610683904-1001</Data>

<Data Name="param9">LocalHost (unter Verwendung von LRPC)</Data>

<Data Name="param10">Nicht verfügbar</Data>

<Data Name="param11">Nicht verfügbar</Data>

</EventData>

</Event>

Dies ist jetzt eine häufige Warnmeldung im Abschnitt "System". Ich weiß aber nicht, ob das überhaupt etwas mit dem Problem zu tun hat oder überhaupt wichtig ist? Denn:

Zitat von schlingo

es ist erstens völlig normal, dass da massenweise Warnung und Fehler stehen und zweitens dass Du sie nicht verstehst. Das ist aber solange kein Grund zur Beunruhigung, solange Du nicht größere Probleme hast.

Danke für die Mailclientempfehlung

Danke für den Tipp, ich wusste noch gar nicht, dass man das Fenster einfangen kann. Das werde ich erstmal auf jeden Fall probieren.

Entschuldigung, aber dann habe ich mich vielleicht nicht klar genug ausgedrückt. Also: Die cmd-Fenster treten nicht immer auf, nur gelegentlich. Wenn eines auftritt, verschwindet es sofort wieder und dann ist erst mal wieder Ruhe (während der Sitzung sowieso, meistens einige Tage bis über eine Woche passiert nichts in der Richtung), d.h. ich kann dann zwar, wie du vorschlägst, einmal den abgesicherten Modus benutzen, aber das nützt mir dann nichts, weil das Fenster dann ja schon wieder weg ist und ich nicht weiß, wann es wieder auftaucht.

Ich hoffe, ich konnte mich verständlich ausdrücken, die Überprüfung der einzelnen Add-Ons scheint mir ein sinnvollerer Weg zu sein, um diese Frage abzuklären.

Da die aufblitzenden cmd-Fenster nur sporadisch, manchmal über eine Woche lang nicht, auftauchen, müsste ich über einen längeren Zeitraum den abgesicherten Modus/zweites Konto (ohne Erweiterungen...) permanent benutzen, das möchte ich nicht.

Ich habe gerade deine nachgereichte Anleitung gelesen, das klärt die Frage nach dem "ich" ja...

Sorry, that is too complicated for me und ich werde erst einmal andere Vermutungen überprüfen. So tief wollte ich in Windows nun nicht eindringen, behalte deinen Vorschlag aber im Hinterkopf, als letzte Möglichkeit sozusagen.

Das Durchtesten der Add-Ons ist natürlich eine Option, die ich als weiteres Mittel in Betracht ziehe (vor allem Mailcheck und uBlock Filterlisten)

Zitat von .DeJaVu

Ich müsste einen Filter im Process Monitor (Microsoft/Sysinternals) auf Firefox und CMD einrichten

Du meinst also nicht dich, sondern mich? Also, dass ich das bei mir einrichten soll?

Meiner Beobachtung nach ja. Es tritt meistens in Zusammenhang mit Seiten auf, von denen ich Anmeldedaten hinterlegt habe, deshalb meine erste Vermutung eines Zusammenhangs mit der Passwortspeicherung.

(für .DejaVu)

Da die Fenster nur sporadisch (manchmal nur einmal die Woche) und nicht planbar auftreten, ist der abgesicherte Modus eher ungeeignet. Oder ich müsste die Add-Ons nach und nach durchtesten. Aber wochenlang ohne Werbeblocker...?

Danke für den Tipp. Habe ich mir schon mal angeguckt und auch installiert gehabt, das war mir aber zu umfangreich, ich wollte nur ein schlankes Programm (auch wenn es von Mozilla ist... ).

Aber nach wie vor geht es mir um die aufblitzenden Fenster...

Okay, danke, werde ich mir mal in Ruhe anschauen und belasse bis dahin erstmal die Windows-Mail App als Standardmailprogramm ohne Konto

Hallo , ich habe jetzt erst eure Beiträge gelesen. Danke.

In meiner Aufgabenplanung ist unter Office leider gar nichts vorhanden, also kann ich auch nichts deaktivieren.

Der Link zu hsp.gmx.net ist interessant (gmx und web.de gehören 1 &1), weiß aber nicht, ob er mir weiterhilft. Mittlerweile ist meine Vermutung, dass der Warnhinweis im Zusammenhang mit der Mail-App steht. Ich habe sie mal ausprobiert, dies lief schlecht, ich habe deshalb alles versucht zurückzusetzen (Mail-App deinstalliert, wieder installiert, zurückgesetzt). Vielleicht hat das nicht richtig geklappt.

Kann ich die Mail-App eigentlich löschen und Firefox als Standard-Mailapp in Windows setzen?

Ob das mit den cmd-Fenstern zusammenhängt, weiß ich nicht. Das Problem ist noch nicht gelöst.

Ja, den AdwCleaner habe ich genau nach Anleitung eingestellt. Und als GMX Mailcheck nutze ich die Browsererweiterung (siehe auch in den gesendeten Daten in meinem ersten Beitrag). War aber nur eine Vermutung, kann ja auch etwas anderes in Zusammenhang mit gmx sein...

# -------------------------------
# Malwarebytes AdwCleaner 8.2.0.0
# -------------------------------
# Build:    03-22-2021
# Database: 2021-04-20.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    04-20-2021
# Duration: 00:00:10
# OS:       Windows 10 Home
# Scanned:  31968
# Detected: 17


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.HPAudioSwitch   Folder   C:\Program Files (x86)\HP\HPAUDIOSWITCH 
Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4569A59A-CEB0-4842-BA01-2611C3E6762D}  
Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPAudioSwitch 
Preinstalled.HPAudioSwitch   Task   C:\Windows\System32\Tasks\HPAUDIOSWITCH 
Preinstalled.HPCleanFLC   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|HPSEU_Host_Launcher 
Preinstalled.HPCleanFLC   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Run|HPSEU_Host_Launcher 
Preinstalled.HPCleanFLC   Registry   HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run|HPSEU_Host_Launcher 
Preinstalled.HPCleanFLC   Registry   HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run|HPSEU_Host_Launcher 
Preinstalled.HPRegistrationService   Folder   C:\ProgramData\HP\HP REGISTRATION SERVICE 
Preinstalled.HPSupportAssistant   Folder   C:\HP\SUPPORT 
Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK 
Preinstalled.HPSupportAssistant   Folder   C:\Users\ralph\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK 
Preinstalled.HPSureConnect   Folder   C:\Program Files\HPCOMMRECOVERY 
Preinstalled.HPSureConnect   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{6468C4A5-E47E-405F-B675-A70A70983EA6} 
Preinstalled.HPTouchpointAnalyticsClient   Folder   C:\ProgramData\HP\HP TOUCHPOINT ANALYTICS CLIENT 
Preinstalled.HPTouchpointAnalyticsClient   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E5FB98E0-0784-44F0-8CEC-95CD4690C43F} 
Preinstalled.WildTangentGamesBundle   Folder   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WILDTANGENT GAMES 



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

Jetzt bin ich völlig verwirrt. Als ich eben noch einmal AdwCleaner öffnete, um das Logprotokoll zu senden, öffnete sich wieder ein cmd-Fenster. Im Ereignisprotokoll steht: 1014,DNS Client Events und zur Erklärung: Zeitüberschreitung bei der Namensauflösung für den Namen hsp.gmx.net, nachdem keiner der konfigurierten DNS-Server geantwortet hat.

Wo kommt das denn nun her? Ratlosigkeit...

Zumindest weiß ich jetzt, dass es wohl nichts mit Firefox zu tun hat? Oder kann es der Mail-Check von GMX sein?

Habe es so gemacht wie beschrieben und dabei gemerkt, das ja gar keine Software installiert wird. Eine Scan-Logdatei kann ich nicht schicken, da er keine unerwünschten Programme erkannt hat. AdwCleaner hat nur vorinstallierte HP-Software erkannt, die ich natürlich nicht unbedingt in Quarantäne verschieben will. Und WildTangentGamesBundle, wahrscheinlich ein Rest von vorinstallierten Windows-Apps. Interessant ist der HP support assistant. Ich habe ihn mal verloren, als er nicht lief und ich auf "Zurücksetzen" in den App-Einstellungen gedrückt habe, kann natürlich sein, das davon noch etwas im Hintergrund "werkelt".

Jetzt drücke ich bei AdwCleaner erst mal auf abbrechen (nicht in Quarantäne verschieben).

Oh je. Ich habe vor einiger Zeit Malwarebytes durchlaufen lassen (von wegen "Google nervt"), er hat nichts gefunden. Jetzt habe ich dadurch den Revo Uninstaller, damit ich Malwarebytes wieder loswurde. Ist der AdwCleaner etwas anderes? Und soll ich ihn danach behalten, oder kann ich ihn dann auch wieder entfernen?

Hallo Ingo,

vielen Dank für deinen Hinweis, das beruhigt mich ja wirklich. Der Zuverlässigkeitsverlauf von Windows zeigt auch keinerlei Probleme. Ich werde deinem Tipp folgen.

Der abgesicherte Modus bringt mir insofern nichts, da die Fenster nur sporadisch auftreten .

Grüße von der Ostseeküste

Jetzt bin ich gerade völlig irritiert, ich finde in der Ereignisanzeige unter System lauter Warnungen, die ich nicht verstehe (Ereignis 16, Kernel-General, Distributed COM)...Hilfe wäre toll...

Sie tauchen eigentlich nur auf, wenn Firefox geöffnet ist. In der Aufgabenplanung habe ich keine Hinweise zu irgendwelchen absonderlichen Dingen gefunden.

In der Ereignisanzeige habe ich aber unter "Ereignisse der Zusammenfassungsseite" lauter Warnungen gefunden, hier ein Screenshot

Lässt sich damit für dich etwas anfangen?