WORM/Warezov Problem - Beseitigung möglich?

#16 kannst du nun die Windowsupdates machen ?? falls nicht, welche fehlermeldung kommt nun ?
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Das Windowsupdate an sich läuft, aber die Automatischen Updates funkzen nicht: Siehe Image

#18 wenn du auf aktivieren klickst, was passiert ?
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Bekomme ich folgende Meldung:

#20 und wenn du das ausfuehrst, was passiert ?

und die windowsupdates..manuell durchgefuehrt- funktionieren ?
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Ja, kann ich so ausführen und die laufen normal durch...
Ich überlege gerade eine Systemwiederherstellung durchzuführen: Sinnvoll?

#22 warte mal noch damit, denn dann sind die viren vielleicht wieder drauf, die systemwiederherstellung ist das letzte, was wir versuchen sollten.
warte, ich schaue mich mal in der Konsole um und schreibe dir dann
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Achso, dann shee ich das also richtig, dass der Virus weg ist und das Problem mit den Updates anderer Herkunft ist oder kann das doch mit dem Virus zusammenhängen...? Ich lasse auch gerade Scanner durchlaufen und die finden auch bisher nichts weiteres... auch der Antivir Guard ist sehr ruhig geworden (Gott... ähh... Sabina sei Dank)

#24 der Virus ist weg, aber er hat die Registryeintraege von den Windowsupdates weggeratzt
Inzwischen sind sie wieder drin.............

1.
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
"AUOptions"=dword:00000005 -> auf 5 stellen und neustarten

dann schau, ob es funktioniert

5 = Lokalen Administrator ermöglichen, Einstellung auszuwählen
Mit dieser Option lassen Sie zu, dass lokale Administratoren mithilfe der Option Automatische Updates in der Systemsteuerung eine gewünschte Konfigurationsoption auswählen. Sie können z. B. einen Zeitpunkt für eine Installation nach Zeitplan auswählen. Lokale Administratoren können die automatischen Updates nicht deaktivieren.
http://www.wsus.de/wupolicy.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Spitze... das mit auf 5 setzen hat sofort geklappt....

Vielen Vielen Dank!

#26 Moin, ich habe hier auch noch so einen Rechner auf dem der Wurm rumgeisterte.
los geworden bin ich ihn scheinbar, jedoch hab ich das Problem das der Dienst für die automatischen Updates nicht mehr existiert.
Im Sicherheitscenter steht demensprechend die Meldung das diese deaktivert sind, in der Systemstuereung unter AU dass se aktiviert sind.

Das PrüfScript liefert:

Zitat

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

in der Registry steht unter:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

Zitat

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000011
"RescheduleWaitTime"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"UseWUServer"=dword:00000001

und unter:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update]

Zitat

"ErrorControl"=dword:00000001
"Start"=dword:00000003
"Type"=dword:00000001
"DisplayName"="Microcode Updatetreiber"
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,75,00,70,00,64,00,61,00,74,00,65,\
00,2e,00,73,00,79,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update\Devices]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update\Enum]
"0"="Root\\SYSTEM\\0001"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Die update.sys existiert auch noch.

Was mag da noch fehlern?

#27 DesMas

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#28 system32.txt

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 8013-0C81

Verzeichnis von C:\WINDOWS\system32

24.12.2006 10:48 2.206 wpa.dbl
24.12.2006 10:07 2.619 OODBS.lor
23.12.2006 12:47 13.438 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
23.12.2006 12:22 10.428 ModemLog_AVM ISDN - ISDN (X.75).txt
10.12.2006 20:17 11.476 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
08.12.2006 00:13 10.716.584 MRT.exe
07.12.2006 07:40 2.362.184 wmvcore.dll
06.12.2006 16:20 124.688 MSWINSCK.OCX
25.11.2006 13:49 8.891 jupdate-1.5.0_09-b03.log
08.11.2006 06:06 679.424 inetcomm.dll
04.11.2006 14:14 1.245.696 msxml4.dll
29.10.2006 17:01 58.596 perfc009.dat
29.10.2006 17:01 392.296 perfh009.dat
29.10.2006 17:01 70.580 perfc007.dat
29.10.2006 17:01 405.118 perfh007.dat
29.10.2006 17:01 938.224 PerfStringBackup.INI
23.10.2006 16:17 664.576 wininet.dll
23.10.2006 16:17 615.936 urlmon.dll
23.10.2006 16:17 474.624 shlwapi.dll
23.10.2006 16:17 1.494.528 shdocvw.dll
23.10.2006 16:17 448.512 mshtmled.dll
23.10.2006 16:17 3.076.096 mshtml.dll
23.10.2006 16:17 146.432 msrating.dll
23.10.2006 16:17 532.480 mstime.dll
23.10.2006 16:17 39.424 pngfilt.dll
23.10.2006 16:17 55.808 extmgr.dll
23.10.2006 16:17 16.384 jsproxy.dll

systemtemp.txt:

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 8013-0C81

Verzeichnis von C:\DOKUME~1\Dieter\LOKALE~1\Temp

system.txt

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 8013-0C81

Verzeichnis von C:\WINDOWS

24.12.2006 10:10 0 0.log
24.12.2006 10:08 50 wiaservc.log
24.12.2006 10:08 159 wiadebug.log
24.12.2006 10:07 2.048 bootstat.dat
23.12.2006 15:45 1.902.469 WindowsUpdate.log
23.12.2006 15:08 698.070 ntbtlog.txt
23.12.2006 14:16 2.854 EventSystem.log
23.12.2006 13:55 22.245 KB922760.log
23.12.2006 13:54 17.819 KB924270.log
23.12.2006 13:54 17.685 KB923980.log
23.12.2006 13:53 16.977 KB920213.log
23.12.2006 13:49 192 Wininit.ini
23.12.2006 13:45 944 win.ini
23.12.2006 13:45 227 system.ini
23.12.2006 13:40 1.065.225 FSISU.log
23.12.2006 13:38 1.892 fsmaunin.log
23.12.2006 13:37 1.562 fsbwinst.log
23.12.2006 12:30 107.132 UninstallThunderbird.exe
23.12.2006 12:30 6.992 mozver.dat
23.12.2006 12:23 229 avmenum32.log
23.12.2006 12:23 638 avmcoins.log
23.12.2006 11:52 22.417 xpsp1hfm.log
23.12.2006 11:52 660 KB823980.log
23.12.2006 11:44 636.644 setupapi.log
23.12.2006 11:39 3.670 fsavunin.log
23.12.2006 11:39 37.629 fsgk32.log
23.12.2006 11:39 37.870 fssm32.log
15.12.2006 17:08 135.820 iis6.log
15.12.2006 17:08 302.447 comsetup.log
15.12.2006 17:08 183.921 ntdtcsetup.log

12.10.2006 07:02 8.754 KB923191.log

temp.txt

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 8013-0C81

Verzeichnis von C:\WINDOWS\Temp

24.12.2006 10:48 409 WGANotify.settings
24.12.2006 10:48 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 42.814.656.512 Bytes frei

down.txt

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 8013-0C81

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.03.2006 12:00 5.019 swflash.inf
13.08.2005 23:26 113.664 MsnMessengerSetupDownloader.ocx
30.06.2005 14:19 227 MsnMessengerSetupDownloader.inf
07.03.2004 17:55 65 desktop.ini
12.01.2004 19:49 133 SETUP.INF
12.01.2004 19:49 377.197 DasOertlicheSuchLeiste.EXE
25.08.2003 17:12 1.096 iuctl.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
25.07.2002 17:05 172.032 isusweb.dll
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
13 Datei(en) 894.165 Bytes
0 Verzeichnis(se), 42.814.656.512 Bytes frei

c.txt

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 8013-0C81

Verzeichnis von C:\

24.12.2006 10:54 0 sys.txt
24.12.2006 10:54 974 down.txt
24.12.2006 10:54 328 tmp.txt
24.12.2006 10:54 15.231 system.txt
24.12.2006 10:54 128 systemtemp.txt
24.12.2006 10:54 101.591 system32.txt
24.12.2006 10:07 1.610.612.736 pagefile.sys
23.12.2006 14:40 68.202 avenger.txt
23.12.2006 13:45 211 boot.ini

29.08.2006 13:06 13.030 PDOXUSRS.NET

Ach PS: der Haken bei "Delete Prefetch Files" also ist das Windows Prefetching wohl nicht aktiv

#29 DesMas

also der Wurm ist weg, nichts mehr sichtbar
arbeite das ab und berichte
http://virus-protect.org/artikel/spyware/warezov_1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#30

Zitat

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
@="*DoNotAllowXPSP2" -> löschen oder auf 0 ändern, falls es existiert.

nicht vorhanden

derzeitiger Stand der Registry Daten:

Zitat

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000005
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000011
"RescheduleWaitTime"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"UseWUServer"=dword:00000001

Zitat

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions"=dword:00000002
"ResetAU"=dword:00000001
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000f
"ConfigVer"=dword:00000001
"NextDetectionTime"="2006-12-17 07:04:01"
"ScheduledInstallDate"="2006-12-17 02:00:00"
"BalloonTime"="2006-12-16 15:52:47"
"BalloonType"=dword:00000005
"OfflineDetectionPending"=dword:00000001

Versuch den Dienst mittels

Zitat

rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %systemroot%\inf\au.inf

neu zu installieren: erfolgreich
- Dienst taucht wieder in der Liste auf


Firma dankt... ich hoffe das nicht noch irgendwas unauffälliges verdreht ist.