Windows Update geht nicht

#0
15.12.2008, 20:18
...neu hier

Beiträge: 9
#1 Hallo Leute,

ich habe vor einem Monat bei einem Scan mit AntiVir einen Trojaner gefunden (TR/Agent.DF.20) und natürlich gelöscht, aber ich bin mir jetzt unsicher, ob mein PC wirklich sauber ist.
Die Systemwiederherstellung lässt sich nämlich nicht starten.

In einem anderen Forum bekam ich den Tipp, zunächst mal im abgesicherten Modus folgendes bei der Eingabeaufforderung einzugeben:
%systemroot%\system32\restore\rstrui.exe

Leider kam danach nur folgende Fehlermeldung:
"Die Systemwiederherstellung kann den Computer nicht sichern, starten Sie den Computer neu, und führen Sie die Systemwiederherstellung erneut aus"

Des Weiteren sollte ich den IE7 installieren, was ich dann heute brav gemacht habe.

Dabei bin ich über die Tatsache gestolpert, dass ich keine Windows-Updates mehr machen kann.
Ich komme zwar auf die Microsoft-Seite, aber die Suche nach Updates wird abgebrochen, und folgender Fehlercode angezeigt:
0x80072EE7

AdAware hat nichts gefunden, ebenso wenig wie Spybot Search&Destroy.

Am besten schaut Ihr Euch mal die folgenden logs an, die sagen Euch hoffentlich mehr wie mir...

AntiVir:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 15. Dezember 2008 19:41

Es wird nach 1086682 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: BLOEDEKISTE

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 16:01:38
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 22:20:34
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 22:20:34
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 22:20:34
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 16:04:08
ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07.12.2008 20:55:58
ANTIVIR2.VDF : 7.1.0.230 156160 Bytes 14.12.2008 23:15:50
ANTIVIR3.VDF : 7.1.0.231 2048 Bytes 14.12.2008 23:15:50
Engineversion : 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 12:31:28
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 12.12.2008 22:42:54
AESCN.DLL : 8.1.1.5 123251 Bytes 10.11.2008 14:58:26
AERDL.DLL : 8.1.1.3 438645 Bytes 07.11.2008 13:32:52
AEPACK.DLL : 8.1.3.4 393591 Bytes 12.11.2008 08:56:58
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12.12.2008 22:42:54
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 12.12.2008 22:42:52
AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 14:00:58
AEGEN.DLL : 8.1.1.8 323956 Bytes 12.12.2008 22:42:52
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 12:31:24
AECORE.DLL : 8.1.5.2 172405 Bytes 30.11.2008 14:54:56
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 12:31:24
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 22:20:34
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 22:20:34
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 14:26:26
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 22:20:34
AVARKT.DLL : 1.0.0.23 307457 Bytes 17.04.2008 14:30:54
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 22:20:34
SQLITE3.DLL : 3.3.17.1 339968 Bytes 17.04.2008 14:30:54
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 22:20:34
NETNT.DLL : 8.0.0.1 7937 Bytes 17.04.2008 14:30:54
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 22:20:32
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 22:20:32

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: d:\programme\antivir\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:, H:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 15. Dezember 2008 19:41

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ntvdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'totalcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MPAPI3s.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PcSync2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '31' Prozesse mit '31' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '50' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM XP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <SOFTWARE XP>
Beginne mit der Suche in 'E:\' <DATEN>
Beginne mit der Suche in 'F:\' <ARCHIV>
Beginne mit der Suche in 'H:\'


Ende des Suchlaufs: Montag, 15. Dezember 2008 20:00
Benötigte Zeit: 19:04 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8902 Verzeichnisse wurden überprüft
186166 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
186164 Dateien ohne Befall
1936 Archive wurden durchsucht
2 Warnungen
0 Hinweise

HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:04, on 15.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
D:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Dokumente und Einstellungen\Franc\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
D:\Programme\AntiVir\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
D:\Programme\totalcmd\totalcmd.exe
C:\WINDOWS\system32\ntvdm.exe
D:\Programme\Mozilla Firefox\firefox.exe
F:\Software-Archiv\Sicherheit\Spyware entfernen\Trend Micro HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] d:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [textbridge98unins] C:\WINDOWS\~alitb98.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "D:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Franc\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229217003531
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229217116140
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\Programme\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5965 bytes

Malwarebytes:
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1501
Windows 5.1.2600 Service Pack 2

15.12.2008 19:13:22
mbam-log-2008-12-15 (19-13-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 135348
Laufzeit: 41 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zoek:
======C:\WINDOWS====
----a-w 751 2008-11-14 16:34:12 C:\WINDOWS\win.ini
----a-w 0 2008-12-15 17:29:54 C:\WINDOWS\0.log
----a-w 50 2008-12-15 17:28:52 C:\WINDOWS\wiaservc.log
----a-w 159 2008-12-15 17:29:46 C:\WINDOWS\wiadebug.log
----a-w 100 2008-11-11 21:49:44 C:\WINDOWS\ktel.ini
----a-w 449,112 2008-12-14 00:55:50 C:\WINDOWS\ntbtlog.txt
----a-w 165 2008-10-19 16:22:54 C:\WINDOWS\ClonyCDs.ini
----a-w 1,393 2008-12-15 17:28:06 C:\WINDOWS\imsins.log
----a-w 34,978 2008-07-23 18:39:58 C:\WINDOWS\cdplayer.ini
----a-w 5,676 2008-12-15 17:28:44 C:\WINDOWS\wincmd.ini
----a-w 469 2008-10-19 16:22:58 C:\WINDOWS\Clony2.ini
----a-w 55,252 2008-12-15 17:28:06 C:\WINDOWS\setupapi.log
----a-w 1,362 2008-12-10 09:27:20 C:\WINDOWS\ScnPanel.ini
----a-w 16,272 2008-12-15 17:28:42 C:\WINDOWS\ie7_main.log
----a-w 5,265 2008-12-15 17:26:26 C:\WINDOWS\KB915865.log
----a-w 1,951,451 2008-12-15 17:28:52 C:\WINDOWS\WindowsUpdate.log
----a-w 316,640 2008-11-14 16:33:40 C:\WINDOWS\WMSysPr9.prx
--s-a-w 2,048 2008-12-15 17:29:30 C:\WINDOWS\bootstat.dat
----a-w 32,388 2008-12-15 17:28:52 C:\WINDOWS\SchedLgU.Txt
----a-w 11,664 2008-12-15 17:28:06 C:\WINDOWS\ocgen.log
---ha-w 54,156 2008-11-24 23:02:26 C:\WINDOWS\QTFont.qfn
----a-w 2,662 2008-12-12 12:27:20 C:\WINDOWS\Ausba3.INI
----a-w 116 2008-08-20 10:30:16 C:\WINDOWS\NeroDigital.ini
----a-w 1,409 2008-11-24 23:02:26 C:\WINDOWS\QTFont.for
----a-w 11,464 2008-12-12 12:27:20 C:\WINDOWS\Dusb3ar.ini
----a-w 4,037 2008-12-15 17:28:06 C:\WINDOWS\iis6.log
----a-w 0 2008-12-15 17:26:26 C:\WINDOWS\setupact.log
----a-w 24,734 2008-12-15 17:28:06 C:\WINDOWS\FaxSetup.log
----a-w 0 2008-12-15 17:26:26 C:\WINDOWS\setuperr.log
----a-w 8,168 2008-12-15 17:28:06 C:\WINDOWS\comsetup.log
----a-w 4,952 2008-12-15 17:28:06 C:\WINDOWS\ntdtcsetup.log
----a-w 9,436 2008-12-15 17:28:06 C:\WINDOWS\tsoc.log
----a-w 1,393 2008-12-15 17:27:04 C:\WINDOWS\imsins.BAK
----a-w 1,212 2008-12-15 17:28:06 C:\WINDOWS\msgsocm.log
----a-w 1,368 2008-12-15 17:28:06 C:\WINDOWS\ocmsn.log
----a-w 9,138 2008-12-15 17:26:48 C:\WINDOWS\NLSDownlevelMapping.log
----a-w 47,312 2008-12-15 17:28:06 C:\WINDOWS\ie7.log
----a-w 10,907 2008-12-15 17:27:04 C:\WINDOWS\IDNMitigationAPIs.log
----a-w 18,039 2008-12-15 17:28:00 C:\WINDOWS\updspapi.log
----a-w 6,240 2008-12-15 17:29:54 C:\WINDOWS\spupdsvc.log

Entries: 40 (38)
Directories: 0 Files: 40
Bytes: 3,101,938 Blocks: 6,077
======C:\WINDOWS\system32=====
----a-w 1,374 2008-12-14 01:27:02 C:\WINDOWS\System32\wpa.dbl
----a-w 40,836 2008-11-14 16:35:14 C:\WINDOWS\System32\perfc009.dat
----a-w 314,508 2008-11-14 16:35:14 C:\WINDOWS\System32\perfh009.dat
----a-w 49,166 2008-11-14 16:35:14 C:\WINDOWS\System32\perfc007.dat
----a-w 320,104 2008-11-14 16:35:14 C:\WINDOWS\System32\perfh007.dat
----a-w 213,528 2008-10-16 13:12:20 C:\WINDOWS\System32\wuaucpl.cpl
----a-w 208,744 2008-10-16 13:07:48 C:\WINDOWS\System32\muweb.dll
----a-w 148,400 2008-10-26 15:55:50 C:\WINDOWS\System32\FNTCACHE.DAT
----a-w 92,696 2008-10-16 13:09:44 C:\WINDOWS\System32\cdm.dll
----a-w 732,344 2008-11-14 16:35:14 C:\WINDOWS\System32\PerfStringBackup.INI
----a-w 0 2030-08-04 10:07:40 C:\WINDOWS\System32\h323log.txt
----a-w 561,688 2008-10-16 13:12:20 C:\WINDOWS\System32\wuapi.dll
----a-w 43,544 2008-10-16 13:09:44 C:\WINDOWS\System32\wups2.dll
----a-w 34,328 2008-10-16 13:08:58 C:\WINDOWS\System32\wups.dll
----a-w 23,392 2008-11-14 16:34:14 C:\WINDOWS\System32\nscompat.tlb
----a-w 16,832 2008-11-14 16:34:14 C:\WINDOWS\System32\amcompat.tlb
----a-w 51,224 2008-10-16 13:09:44 C:\WINDOWS\System32\wuauclt.exe
----a-w 202,776 2008-10-16 13:12:24 C:\WINDOWS\System32\wuweb.dll
----a-w 1,809,944 2008-10-16 13:13:40 C:\WINDOWS\System32\wuaueng.dll
----a-w 27,672 2008-10-16 13:08:02 C:\WINDOWS\System32\wuaucpl.cpl.mui
----a-w 323,608 2008-10-16 13:12:22 C:\WINDOWS\System32\wucltui.dll
----a-w 18,968 2008-10-16 13:07:16 C:\WINDOWS\System32\wuaueng.dll.mui
----a-w 31,768 2008-10-16 13:08:54 C:\WINDOWS\System32\wucltui.dll.mui
----a-w 27,672 2008-10-16 13:08:02 C:\WINDOWS\System32\wuapi.dll.mui

Entries: 24 (24)
Directories: 0 Files: 24
Bytes: 5,295,116 Blocks: 10,359
======C:\WINDOWS\system32\drivers=====
----a-w 45,376 2008-07-17 22:20:34 C:\WINDOWS\System32\drivers\avgntdd.sys
----a-w 75,072 2008-11-11 08:56:58 C:\WINDOWS\System32\drivers\avipbb.sys
---ha-w 0 2008-07-29 14:16:06 C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
---ha-w 0 2008-07-29 14:16:08 C:\WINDOWS\System32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
----a-w 38,496 2008-10-22 15:10:38 C:\WINDOWS\System32\drivers\mbamswissarmy.sys
----a-w 15,504 2008-10-22 15:10:22 C:\WINDOWS\System32\drivers\mbam.sys
----a-w 99,840 2008-11-29 21:11:10 C:\WINDOWS\System32\drivers\ACEDRV06.sys

Entries: 7 (5)
Directories: 0 Files: 7
Bytes: 274,288 Blocks: 538
=======C:\Programme=====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=======C:=====
--sha-w 805,306,368 2008-12-15 17:29:28 C:\pagefile.sys
--sha-w 1,072,222,208 2008-12-15 17:29:28 C:\hiberfil.sys

Entries: 2 (0)
Directories: 0 Files: 2
Bytes: 1,877,528,576 Blocks: 3,667,048
======C:\Dokumente und Einstellungen\Franc\Anwendungsdaten======
--sha-w 62 2030-08-04 10:03:28 C:\Dokumente und Einstellungen\Franc\Anwendungsdaten\desktop.ini

Entries: 1 (0)
Directories: 0 Files: 1
Bytes: 62 Blocks: 1
======C:\Temp======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Dokumente und Einstellungen\Franc======
---ha-w 6,815,744 2008-12-15 17:30:02 C:\Dokumente und Einstellungen\Franc\NTUSER.DAT
---ha-w 69,632 2008-12-15 17:30:02 C:\Dokumente und Einstellungen\Franc\NTUSER.DAT.LOG
--sh--w 300 2008-12-15 17:28:48 C:\Dokumente und Einstellungen\Franc\ntuser.ini

Entries: 3 (0)
Directories: 0 Files: 3
Bytes: 6,885,676 Blocks: 13,449
======C:\WINDOWS\Downloaded Program Files====
----a-w 293 2008-10-16 13:16:04 C:\WINDOWS\Downloaded Program Files\wuweb.inf
----a-w 295 2008-10-16 13:16:04 C:\WINDOWS\Downloaded Program Files\muweb.inf

Entries: 2 (2)
Directories: 0 Files: 2
Bytes: 588 Blocks: 2
=============


Für ein paar konstruktive Vorschläge wäre ich sehr dankbar.

Viele Grüße,
miezmutz
Seitenanfang Seitenende
16.12.2008, 15:09
Moderator

Beiträge: 5694
#2 >>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss
Seitenanfang Seitenende
16.12.2008, 16:40
...neu hier

Themenstarter

Beiträge: 9
#3 Hi Swiss,
vielen Dank, dass Du Dich meiner annimmst...

Ich bin mir nicht sicher, ob alles so gelaufen ist, wie es sollte, aber hier ist zumindest mal das Log

ComboFix 08-12-15.05 - Franc 2008-12-16 16:39:45.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1022.670 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Franc\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-11-16 bis 2008-12-16 ))))))))))))))))))))))))))))))
.

2030-08-04 11:02 . 2030-08-04 11:02 <DIR> d--h----- c:\dokumente und einstellungen\Default User
2030-08-04 11:02 . 2030-08-04 11:02 <DIR> d-------- c:\dokumente und einstellungen\All Users
2008-12-14 01:42 . 2030-08-04 11:03 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2008-12-14 01:42 . 2030-08-04 11:03 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2008-12-14 01:42 . 2030-08-04 11:03 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2008-12-14 01:42 . 2030-08-04 11:03 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2008-12-14 01:42 . 2030-08-04 11:03 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2008-12-14 01:42 . 2030-08-04 11:03 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2008-12-14 01:42 . 2030-08-04 11:03 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2008-12-14 01:42 . 2008-12-14 01:42 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2008-11-18 17:28 . 2008-11-18 17:28 <DIR> d-------- c:\dokumente und einstellungen\Franc\Anwendungsdaten\Malwarebytes
2008-11-18 17:27 . 2008-11-18 17:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-03 18:52 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-03 18:52 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-11-29 21:11 99,840 ----a-w c:\windows\system32\drivers\ACEDRV06.sys
2008-11-14 16:34 --------- d-----w c:\programme\Windows Media Connect 2
2008-11-11 21:53 --------- d-----w c:\programme\Gemeinsame Dateien\TVG
2008-11-11 21:53 --------- d-----w c:\dokumente und einstellungen\Franc\Anwendungsdaten\TVG
2008-11-11 21:53 --------- d-----w c:\dokumente und einstellungen\Franc\Anwendungsdaten\DasTelefonbuch Deutschland
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:12 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:12 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
2008-10-16 13:07 208,744 ----a-w c:\windows\system32\muweb.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"PC Suite Tray"="d:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-08-11 1124352]
"Nokia.PCSync"="d:\programme\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]
"Google Update"="c:\dokumente und einstellungen\Franc\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-04 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="d:\programme\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo Scheduler server.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo Scheduler server.lnk
backup=c:\windows\pss\InterVideo Scheduler server.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ScanPanel.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ScanPanel.lnk
backup=c:\windows\pss\ScanPanel.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Franc^Startmenü^Programme^Autostart^3DO Registration.lnk]
path=c:\dokumente und einstellungen\Franc\Startmenü\Programme\Autostart\3DO Registration.lnk
backup=c:\windows\pss\3DO Registration.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Franc^Startmenü^Programme^Autostart^reminder-ScanSoft Produkt Registrierung.lnk]
path=c:\dokumente und einstellungen\Franc\Startmenü\Programme\Autostart\reminder-ScanSoft Produkt Registrierung.lnk
backup=c:\windows\pss\reminder-ScanSoft Produkt Registrierung.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Franc^Startmenü^Programme^Autostart^Telefon- und Branchenbuch Herbst 2007 - Schnellstarter.lnk]
path=c:\dokumente und einstellungen\Franc\Startmenü\Programme\Autostart\Telefon- und Branchenbuch Herbst 2007 - Schnellstarter.lnk
backup=c:\windows\pss\Telefon- und Branchenbuch Herbst 2007 - Schnellstarter.lnkStartup

[HKLM\~\startupfolder\C:^DOKUME~1^ALLUSE~1^Startmenü^Programme^Autostart^CAPIControl.lnk]
path=c:\dokume~1\ALLUSE~1\Startmenü\Programme\Autostart\CAPIControl.lnk
backup=c:\windows\pss\CAPIControl.lnkCommon Startup

[HKLM\~\startupfolder\C:^DOKUME~1^ALLUSE~1^Startmenü^Programme^Autostart^DSL Control.lnk]
path=c:\dokume~1\ALLUSE~1\Startmenü\Programme\Autostart\DSL Control.lnk
backup=c:\windows\pss\DSL Control.lnkCommon Startup

[HKLM\~\startupfolder\C:^DOKUME~1^ALLUSE~1^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk]
path=c:\dokume~1\ALLUSE~1\Startmenü\Programme\Autostart\VIA RAID TOOL.lnk
backup=c:\windows\pss\VIA RAID TOOL.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 03:06 40048 d:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2005-03-22 21:05 339968 c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
--a------ 2001-12-06 14:09 45056 d:\programme\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-10-30 09:36 256576 d:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
--------- 2004-07-26 19:14 1867776 d:\programme\Ahead\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-10-25 18:58 282624 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-03-16 19:25 25268264 d:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-08-26 18:14 36975 c:\programme\Java\jre1.5.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
-ra------ 2006-08-02 23:12 577536 c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\System32\\dpnsvr.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\System32\\USMT\\MIGWIZ.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-13 22336]
R0 viasraid;viasraid;c:\windows\system32\DRIVERS\viasraid.sys [2005-08-05 77056]
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2007-04-02 11264]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-02-13 45376]
R1 SSHDRV84;SSHDRV84;\??\c:\windows\system32\drivers\SSHDRV84.sys [2006-01-26 76800]
R2 ACEDRV06;ACEDRV06;\??\c:\windows\system32\drivers\ACEDRV06.sys [2008-11-29 99840]
R2 CAPI20;Eumex 504PC USB;c:\windows\system32\drivers\CAPI20.sys [2004-05-17 969124]
R2 DETEWECP;DeTeWe CapiPort;c:\windows\system32\drivers\detewecp.sys [2001-09-18 38480]
R2 SampleScanner;USB-Flachbettscanner;c:\windows\system32\DRIVERS\ArtecGT.sys [2007-12-24 18120]
S3 gsplittm;gsplittm;\??\c:\dokume~1\Franc\LOKALE~1\Temp\gsplittm.sys []
S3 ulisa;DeTeWe ISDN-Adapter (USB);c:\windows\system32\Drivers\ulisa.sys [2003-01-27 117116]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\setup.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-12-16 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\dokumente und einstellungen\Franc\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-04 19:54]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-WgaLogon - (no file)
MSConfigStartUp-FastTVSync - c:\programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
MSConfigStartUp-InstantAccess - d:\progra~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
MSConfigStartUp-Lexmark X1100 Series - c:\programme\Lexmark X1100 Series\lxbkbmgr.exe
MSConfigStartUp-RegisterDropHandler - d:\progra~1\TEXTBR~1.0\Bin\REGIST~1.EXE
MSConfigStartUp-routcnf - c:\programme\DeTeWe\TA 44dsl\routcnf.exe
MSConfigStartUp-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
MSConfigStartUp-WinampAgent - d:\programme\Winamp\Winampa.exe
MSConfigStartUp-Yahoo! Pager - d:\progra~1\YAHOO!\MESSEN~1\ypager.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Franc\Anwendungsdaten\Mozilla\Firefox\Profiles\1h94ienf.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://web.de/|http://www.google.de/|https://www.xing.com/|http://www.qype.com/people/miezmutz|https://www.google.com/accounts/ServiceLogin?service=cl&passive=true&nui=1&continue=http%3A%2F%2Fwww.google.com%2Fcalendar%2Frender%3Fhl%3Dde&hl=de&utm_source=de-more&utm_medium=more&utm_campaign=de|http://webmail.c3itsolutions.com/imp/login.php?logout_reason=logout
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJPI150_05.dll
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPOJI610.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 16:40:30
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(640)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-12-16 16:40:51
ComboFix-quarantined-files.txt 2008-12-16 15:40:50

Vor Suchlauf: 9.302.536.192 Bytes frei
Nach Suchlauf: 9,293,049,856 Bytes frei

187
Seitenanfang Seitenende
16.12.2008, 19:50
Moderator

Beiträge: 5694
#4 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Start - Ausführen - gib ein: regedit

Gehe zu folgendem Schlüssel:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=dword:00000001 - in 0 ändern

rechtsklick auf den Eintrag auf UpdatesDisableNotify

die 1 wegklicken und 0 reinschreiben, dann abspeichern

speichern + Registry + PC neustarten + berichte ;)


>>
Dein Java ist veraltet bitte aktualisieren:
http://board.protecus.de/t32385-1.htm


Gruss Swiss
Seitenanfang Seitenende
17.12.2008, 14:31
...neu hier

Themenstarter

Beiträge: 9
#5

Zitat

Tonstudio postete
>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)
Combofix war schon entfernt, lediglich ein Ordner mit dem Namen war noch auf C: zu finden, den habe ich auch gelöscht.

Zitat

Tonstudio postete
>>
Start - Ausführen - gib ein: regedit

Gehe zu folgendem Schlüssel:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=dword:00000001 - in 0 ändern

rechtsklick auf den Eintrag auf UpdatesDisableNotify

die 1 wegklicken und 0 reinschreiben, dann abspeichern

speichern + Registry + PC neustarten + berichte ;)


>>
Dein Java ist veraltet bitte aktualisieren:
http://board.protecus.de/t32385-1.htm


Gruss Swiss
Hab ich beides gemacht, danach ging auch Windows-Updates wieder :-))

Allerdings funktioniert die Systemwiederherstellung immer noch nicht wieder.

Was kann ich da noch machen?

Gruß,
miezmutz
Seitenanfang Seitenende
18.12.2008, 17:51
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
18.12.2008, 23:48
...neu hier

Themenstarter

Beiträge: 9
#7

Zitat

Arnold postete
http://support.microsoft.com/kb/302796/de
Habe ich gemacht.
Da gibt es ja verschiedene Varianten, ich habe jeweils kursiv drunter geschrieben, was dabei raus gekommen ist.

Methode 1: Stellen Sie sicher, dass der Dienst "Systemwiederherstellung" ausgeführt wird
Sehen Sie in der Systemsteuerung nach. Gehen Sie hierzu folgendermaßen vor:
1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dann compmgmt.msc in das Feld Öffnen ein. Drücken Sie anschließend die [EINGABETASTE].
2. Erweitern Sie Dienste, und klicken Sie anschließend auf Systemwiederherstellungsdienst.

Wenn für diesen Dienst ein anderer Status als Gestartet angezeigt wird, klicken Sie in der Symbolleiste auf das Symbol zum Starten des Dienstes.

Ergebnis: es kommt eine Fehlermeldung:
„Der Dienst „Systemwiederherstellungsdienst“ auf „lokaler Computer“ konnte nicht gestartet werden. Fehler 3: Das System kann den angegebenen Pfad nicht finden.“


Öffnen Sie ein Eingabeaufforderungsfenster. Gehen Sie hierzu folgendermaßen vor:
1. Klicken Sie auf Start und anschließend auf Ausführen, geben Sie CMD in das Feld Öffnen ein, und drücken Sie anschließend die [EINGABETASTE].
2. Geben Sie in der Eingabeaufforderung Net Start ein, um sicherzustellen, dass die Systemwiederherstellung aktiviert ist und ausgeführt wird.

Wenn der Dienst "Systemwiederherstellung" nicht aufgelistet wird, geben Sie net start "Systemwiederherstellungsdienst" ein, und drücken Sie anschließend die [EINGABETASTE].

Ergebnis: es kommt die Meldung:
„Systemwiederherstellungsdienst wurde erfolgreich gestartet.“
Leider startet die Systemwiederherstellung dennoch nicht.


Methode 2: Stellen Sie sicher, dass die Systemwiederherstellung auf den Laufwerken aktiviert ist, auf denen sie aktiviert sein soll
1. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Eigenschaften.
2. Klicken Sie auf die Registerkarte Systemwiederherstellung.
3. Wenn die Systemwiederherstellung aktiviert ist, wird in der Spalte Status für ein Laufwerk wird überwacht angezeigt.
Andernfalls deaktivieren Sie das Kontrollkästchen Systemwiederherstellung auf allen Laufwerken deaktivieren, und klicken Sie anschließend auf OK.

Ergebnis: sobald ich die Registerkarte Systemwiederherstellung anklicke, passiert gar nichts mehr. Es lässt sich dann weder eine andere Registerkarte anklicken, noch kann ich das Fenster wieder schließen. Nur ein Neustart schafft Abhilfe.

Methode 3: Stellen Sie sicher, dass auf allen Laufwerken, auf denen die Systemwiederherstellung aktiviert ist, genügend Festplattenspeicher verfügbar ist
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie diskmgmt.msc ein, und drücken Sie dann die [EINGABETASTE]. Überprüfen Sie den freien Speicherplatz auf allen Laufwerken, die von der Systemwiederherstellung überwacht werden.
2. Wenn der freie Speicherplatz auf einer Partition, die von der Systemwiederherstellung überwacht wird, unter 50 MB liegt, wird die Systemwiederherstellung unterbrochen und alle Wiederherstellungspunkte werden entfernt, um Speicherplatz freizugeben. Sie sollten bereits eine Meldung erhalten haben, dass nicht ausreichend Speicherplatz auf der Festplatte verfügbar ist. Die Systemwiederherstellung setzt die Überwachung fort, wenn der freie Speicherplatz auf mindestens 200 MB gestiegen ist.

Hinweis: In den meisten Fällen reicht es aus, nur das Laufwerk bzw. die Partition zu überwachen, auf dem bzw. auf der Windows installiert ist. Datendateien werden von der Systemwiederherstellung nicht überwacht.

Ergebnis: es ist überall mehr als ausreichend Speicher frei, auf der Systempartition sind es am wenigsten, aber auch da immer noch über 6 GB

Methode 4: Überprüfen Sie die Ereignisprotokolle, um Fehler des Systemwiederherstellungsdienstes zu untersuchen
1. Klicken Sie auf Start und auf Ausführen, geben Sie eventvwr.msc /s in das Feld Öffnen ein, und drücken Sie die [EINGABETASTE].
2. Klicken Sie auf die Kategorie System.
3. Klicken Sie auf die Registerkarte Quelle, um nach Namen zu sortieren, und suchen Sie anschließend nach "sr" oder "srservice". Doppelklicken Sie auf jeden dieser Dienste, und werten Sie anschließend die Ereignisbeschreibung aus, um Hinweise auf die Ursache des Problems zu erhalten.

Ergebnis: es finden sich etliche Einträge mit „srservice“ als Quelle. Die Ereigniskennung ist „104“, und als Fehlermeldung steht dort nur „Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen“

Methode 5: Starten Sie im abgesicherten Modus, und führen Sie die Systemwiederherstellung aus
1. Starten Sie den Computer neu. Drücken Sie unmittelbar nachdem der Bildschirm zum ersten Mal schwarz wird oder nach Ende der BIOS-Meldungen mehrmals hintereinander die Taste F8. Das Menü mit den erweiterten Windows-Startoptionen wird angezeigt.

Wenn das Menü nicht angezeigt wird, starten Sie den Computer neu, und versuchen Sie es erneut.
2. Wählen Sie die Option Abgesicherter Modus aus, und drücken Sie anschließend die [EINGABETASTE]. Während die Dateien geladen werden, werden sie in rascher Folge nacheinander am Bildschirm angezeigt.

Hinweis: Der abgesicherte Modus verwendet nur die Gerätetreiber und Dienste, die unbedingt erforderlich sind, um Windows zu starten. Für den Bildschirm wird der standardmäßige Microsoft-VGA-Treiber verwendet (bei 640 x 480 Pixel und 16 Farben).
3. Melden Sie sich als Administrator an. Wenn kein Kennwort festgelegt wurde, lassen Sie das entsprechende Feld leer, und drücken Sie anschließend die [EINGABETASTE], oder klicken Sie auf den grünen Pfeil.
4. Klicken Sie im Bildschirm mit den Informationen über den abgesicherten Modus auf Nein, um die Systemwiederherstellung zu starten.
5. Wählen Sie die Option Computer zu einem früheren Zeitpunkt wiederherstellen aus, und klicken Sie anschließen auf Weiter, um ein Datum mit verfügbaren Wiederherstellungspunkten auszuwählen.
6. Klicken Sie auf Weiter, um die Wiederherstellung des Systems in einen früheren Zustand zu starten.

Das habe ich nicht versucht, da ich ja nicht den Computer in einen früheren Zustand versetzen will, sondern nur möchte, dass die Systemwiederherstellung theoretisch wieder funktioniert.

Zitat

Arnold postete
http://support.microsoft.com/kb/310560/de
Über msconfig ließ sich die Systemwiederherstellung leider auch nicht starten.
Seitenanfang Seitenende
19.12.2008, 00:08
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Dial-a-fix
Download Dial-a-fix-2006 zum Desktop

Doppelklick Dial-a-fix
Doppelklick Dial-a-fix-v0.60.0.24
Entpacke jetzt die Dateien
Doppelklick Dial-a-fix-v0.60.0.24
Doppelklick Dial-a-fix

Klicke unten auf das grüne doppelte Häkchen(check all) und klicke GO
Schließe am Ende mit Close
Rechner neustarten
Info: http://virus-protect.org/artikel/tools/dial_a_fix.html
__________
MfG Argus
Seitenanfang Seitenende
19.12.2008, 01:13
...neu hier

Themenstarter

Beiträge: 9
#9 Hi Arnold,
auch Dir vielen Dank, dass Du Dich um mein Problem kümmerst :-)

Leider hat es Dial-a-fix auch nicht gebracht. :-(

Hab alles genau so gemacht, wie ich sollte, aber nach Neustart kommt bei dem Versuch, die Systemwiederherstellung zu starten nur wieder die bekannte Fehlermeldung:
"Die Systemwiederherstellung kann den Computer nicht sichern, starten Sie den Computer neu, und führen Sie die Systemwiederherstellung erneut aus"

Wenn ich beim Arbeitsplatz auf Eigenschaften gehe, kann ich auch weiterhin den Karteireiter der Systemwiederherstellung nicht aktivieren.


Hast Du noch mehr Ideen?

Gruß, miezmutz
Seitenanfang Seitenende
19.12.2008, 01:44
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 http://www.kellys-korner-xp.com/xp_abc.htm Klicke S scrolle runter nach System Restore
__________
MfG Argus
Seitenanfang Seitenende
19.12.2008, 19:47
...neu hier

Themenstarter

Beiträge: 9
#11 Hi Arnold,
ich habe mir das mal alles durchgelesen, konnte aber keinen neuen Lösungsansatz dabei finden.

War es etwas Bestimmtes, das ich dort finden sollte?
Seitenanfang Seitenende
19.12.2008, 21:20
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Hast du ein Orginal CD von Windows XP dabei?
__________
MfG Argus
Seitenanfang Seitenende
19.12.2008, 21:31
...neu hier

Themenstarter

Beiträge: 9
#13 Ja, habe ich, aber ich will nicht unbedingt eine Reparatur-Installation machen, falls es das ist, was Du vorschlagen willst...
Seitenanfang Seitenende
19.12.2008, 21:50
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 Früher gabs in Windows 98 eine Funktion SFC (Check System Files)
In AVZ Antiviral Toolkit gibt es auch so eine Funktion
Info: http://virus-protect.org/artikel/tools/avz.html
Download: http://z-oleg.com/avz4.zip

Reiter>Service>System Utilities>SFC

Vielleicht hilft es
__________
MfG Argus
Seitenanfang Seitenende
20.12.2008, 01:18
...neu hier

Themenstarter

Beiträge: 9
#15 Hi Arnold,
hier ist das Ergebnis des Scans, kannst Du daraus irgendwas ersehen?

AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 20.12.2008 01:07:39
Database loaded: signatures - 201412, NN profile(s) - 2, microprograms of healing - 56, signature database released 19.12.2008 21:47
Heuristic microprograms loaded: 372
SPV microprograms loaded: 9
Digital signatures of system files loaded: 74370
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=085700)
Kernel ntkrnlpa.exe found in memory at address 804D7000
SDT = 8055C700
KiST = 80504460 (284)
Function NtCreateThread (35) intercepted (805D0FE0->F6C3BA64), hook not defined
Function NtOpenProcess (7A) intercepted (805CB408->F6C3BA50), hook not defined
Function NtOpenThread (80) intercepted (805CB694->F6C3BA55), hook not defined
Function NtTerminateProcess (101) intercepted (805D29AA->F6C3BA5F), hook not defined
Function NtWriteVirtualMemory (115) intercepted (805B4394->F6C3BA5A), hook not defined
Functions checked: 284, intercepted: 5, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Analysis for CPU 2
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 37
Number of modules loaded: 382
Scanning memory - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun are allowed
>> Autorun from network drives are allowed
>> Removable media autorun are allowed
Checking - complete
Files scanned: 60478, extracted from archives: 38496, malicious software found 0, suspicions - 0
Scanning finished at 20.12.2008 01:19:16
Time of scanning: 00:11:37
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
Seitenanfang Seitenende