Nachrichtenfenster mit der Aussage Critical System error

#1 Ich hatte Euch schon mal wegen des selben Themas um Hilfe gebeten !! Habe dann in den Foren nach Hilfe gesucht !! Ich habe Windows Xp ( orginal ) und Anti Spyware !! Aber das Nachrichtenfenster taucht immer noch auf !! AQusserdem habe ich neben meiner uhr einen blauen Stern,der sagt " Diese Version von Windows ist nicht sicher !! Ich habe auch schon versucht von Windows Updates zu beziehen,aber bei dem SP2 sagt er immer das er das nicht instalieren kann! Weiß noch jemand einen rat ?? Lieben Gruß,Nanni
Combofixreport!ComboFix 07-07-30.2 - "Tanja" 2007-08-02 21:11:32.1 [GMT 2:00] - NTFS
Microsoft Windows XP Home Edition 5.1.2600.0.1252.1.1031.18.Wahr
* Created a new restore point


((((((((((((((((((((((((( Files Created from 2007-07-02 to 2007-08-02 )))))))))))))))))))))))))))))))


2007-08-02 14:41 444,416 -r-hs---- C:\WINDOWS\system32\upds.exe
2007-07-27 11:09 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-07-25 20:26 <DIR> d-------- C:\Programme\IKEA HomePlanner
2007-07-13 16:28 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Google
2007-07-07 20:30 0 --a------ C:\WINDOWS\system32\ne1.exe


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-01 17:34 --------- d-------- C:\Programme\Morpheus Ultra
2007-07-31 20:09 --------- d-------- C:\Programme\Winamp
2007-07-25 20:12 --------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-07-11 21:19 --------- d-------- C:\Programme\ICQLite
2007-06-25 14:21 --------- d--h----- C:\Programme\WindowsUpdate
2007-06-17 00:11 51200 --a------ C:\WINDOWS\nircmd.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-04-19 10:12]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
"Windows System Update Tools"="upds.exe" [2007-08-02 14:42 C:\WINDOWS\system32\upds.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 14:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Windows System Update Tools"=upds.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize

R2 UxTuneUp;TuneUp Design Expansion;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 ctlsb16;Creative SB16/AWE32/AWE64-Treiber (WDM);C:\WINDOWS\System32\drivers\ctlsb16.sys
R3 SiSV;SiSV;C:\WINDOWS\System32\DRIVERS\SiSV.sys
S3 NtApm;Herk”mmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\System32\DRIVERS\NtApm.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


Contents of the 'Scheduled Tasks' folder
2007-07-27 15:18:01 C:\WINDOWS\Tasks\1-Click Maintenance.job - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-02 21:15:30
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-02 21:17:23

--- E O F ---



Hier noch mein HJT :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:30:50, on 02.08.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Tanja.STENDER\Desktop\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Windows System Update Tools] upds.exe
O4 - HKLM\..\RunServices: [Windows System Update Tools] upds.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE11\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182774716326
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF85597C-34D7-4BF8-9F52-F2C4A60171E3}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

--
End of file - 2926 bytes
Und datfind !!

.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8885-3AEB

Verzeichnis von C:\WINDOWS\system32

02.08.2007 14:42 444.416 upds.exe
02.08.2007 12:47 12.980 wpa.dbl
24.07.2007 09:03 0 TFTP960
23.07.2007 13:27 0 TFTP1228
22.07.2007 18:39 279.552 swreg.exe
22.07.2007 11:29 106.496 TFTP1124
22.07.2007 11:28 89.600 TFTP1484
22.07.2007 11:28 0 TFTP1392
22.07.2007 11:28 0 TFTP932
19.07.2007 13:29 0 TFTP1680
18.07.2007 14:35 0 TFTP1888
18.07.2007 10:40 0 TFTP1720
13.07.2007 12:26 0 TFTP1084
12.07.2007 13:05 0 TFTP1172
07.07.2007 20:30 0 ne1.exe
07.07.2007 20:30 60 i
02.07.2007 12:35 900 NiroFile.exe-up.txt
02.07.2007 12:34 0 TFTP1792
30.06.2007 11:41 0 TFTP388
29.06.2007 10:43 0 TFTP172
28.06.2007 17:13 0 TFTP2016
26.06.2007 19:18 110.992 FNTCACHE.DAT
05.06.2007 23:38 15.747.032 MRT.exe
24.04.2007 11:32 1.485.696 LegitCheckControl.dll
16.04.2007 22:47 33.624 wups.dll
16.04.2007 22:47 30.040 wuapi.dll.mui
16.04.2007 22:47 30.040 wuaucpl.cpl.mui
16.04.2007 22:45 1.710.936 wuaueng.dll
16.04.2007 22:45 549.720 wuapi.dll
16.04.2007 22:45 325.976 wucltui.dll
16.04.2007 22:45 216.408 wuaucpl.cpl
16.04.2007 22:45 92.504 cdm.dll
16.04.2007 22:45 53.080 wuauclt.exe
16.04.2007 22:45 43.352 wups2.dll
16.04.2007 22:45 20.824 wuaueng.dll.mui
16.04.2007 22:44 34.136 wucltui.dll.mui
16.04.2007 22:43 203.096 wuweb.dll


02.08.2007 21:33 1.212.856 WindowsUpdate.log
02.08.2007 20:23 0 0.log
02.08.2007 20:21 2.048 bootstat.dat
02.08.2007 20:19 32.558 SchedLgU.Txt
01.08.2007 21:34 116 NeroDigital.ini
30.07.2007 01:30 216 wiadebug.log
29.07.2007 12:27 50 wiaservc.log
23.07.2007 16:23 416.758 setupapi.log
20.07.2007 00:47 109.056 catchme.exe
27.06.2007 18:58 230.878 ntbtlog.txt
27.06.2007 17:28 68.641 xpsp1hfm.log
27.06.2007 17:28 21.766 KB828741.log
27.06.2007 17:28 6.854 KB828741Uninst.log
26.06.2007 18:50 28.656 comsetup.log
26.06.2007 18:50 13.585 iis6.log
26.06.2007 18:50 17.388 ntdtcsetup.log
26.06.2007 18:50 1.374 imsins.log
26.06.2007 18:50 32.872 tsoc.log
26.06.2007 18:50 3.284 Q810833.log
26.06.2007 18:50 34.720 ocgen.log
26.06.2007 18:50 2.968 ocmsn.log
26.06.2007 18:50 4.298 msgsocm.log
26.06.2007 18:50 86.555 FaxSetup.log
26.06.2007 18:49 2.759 Q815021.log
26.06.2007 18:49 1.374 imsins.BAK
26.06.2007 18:34 26.770 KB835732.log
26.06.2007 17:41 999 KB884020.log
26.06.2007 17:38 437 Q815021Uninst.log
26.06.2007 17:10 6.307 KB835732Uninst.log
26.06.2007 17:04 1.128 Q329115.log
26.06.2007 16:44 15.382 KB833407.log
26.06.2007 16:43 12.274 Q329834.log
26.06.2007 16:43 13.508 KB823559.log
26.06.2007 16:42 11.930 Q329048.log
26.06.2007 16:41 10.254 Q810577.log
26.06.2007 16:40 12.733 WgaNotify.log
26.06.2007 16:34 7.134 Q811630.log
26.06.2007 16:28 5.696 Q329441.log
26.06.2007 16:26 2.957 Q329170.log
26.06.2007 16:24 1.216 Q329390.log
26.06.2007 16:23 964 Q323255.log
25.06.2007 14:38 7.597 KB892130.log
25.06.2007 14:37 5.856 KB842773.log
25.06.2007 14:37 4.407 setupact.log
17.06.2007 00:11 51.200 nircmd.exe
29.04.2007 18:13 65.536 DUMP99b2.tmp
28.04.2007 18:09 1.140 mozver.dat
28.04.2007 18:00 0 nsreg.dat
Ich glaube das wars !!

#2 Hi,

verantwortlich:
upds.exe
# Safety Rating: Known Malware, do not run
# Malware Family: Part of Malware group - Covert Sys Exec
# Malware Form: EXPLOIT

und:
swreg.exe

avenger:

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:


registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Windows System Update Tools
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices\Windows System Update Tools

Files to delete:
C:\WINDOWS\system32\upds.exe
C:\WINDOWS\system32\swreg.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [Windows System Update Tools] upds.exe
O4 - HKLM\..\RunServices: [Windows System Update Tools] upds.exe

Cureit
Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Chris