Windows Update geht nicht |
||
---|---|---|
#0
| ||
15.12.2008, 20:18
...neu hier
Beiträge: 9 |
||
|
||
16.12.2008, 15:09
Moderator
Beiträge: 5694 |
#2
>>
Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html Gruss Swiss |
|
|
||
16.12.2008, 16:40
...neu hier
Themenstarter Beiträge: 9 |
#3
Hi Swiss,
vielen Dank, dass Du Dich meiner annimmst... Ich bin mir nicht sicher, ob alles so gelaufen ist, wie es sollte, aber hier ist zumindest mal das Log ComboFix 08-12-15.05 - Franc 2008-12-16 16:39:45.1 - [color=red]FAT32[/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1022.670 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Franc\Desktop\ComboFix.exe [COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR] . ((((((((((((((((((((((( Dateien erstellt von 2008-11-16 bis 2008-12-16 )))))))))))))))))))))))))))))) . 2030-08-04 11:02 . 2030-08-04 11:02 <DIR> d--h----- c:\dokumente und einstellungen\Default User 2030-08-04 11:02 . 2030-08-04 11:02 <DIR> d-------- c:\dokumente und einstellungen\All Users 2008-12-14 01:42 . 2030-08-04 11:03 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen 2008-12-14 01:42 . 2030-08-04 11:03 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü 2008-12-14 01:42 . 2030-08-04 11:03 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung 2008-12-14 01:42 . 2030-08-04 11:03 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen 2008-12-14 01:42 . 2030-08-04 11:03 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten 2008-12-14 01:42 . 2030-08-04 11:03 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung 2008-12-14 01:42 . 2030-08-04 11:03 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten 2008-12-14 01:42 . 2008-12-14 01:42 <DIR> d-------- c:\dokumente und einstellungen\Administrator 2008-11-18 17:28 . 2008-11-18 17:28 <DIR> d-------- c:\dokumente und einstellungen\Franc\Anwendungsdaten\Malwarebytes 2008-11-18 17:27 . 2008-11-18 17:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-03 18:52 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-03 18:52 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2008-11-29 21:11 99,840 ----a-w c:\windows\system32\drivers\ACEDRV06.sys 2008-11-14 16:34 --------- d-----w c:\programme\Windows Media Connect 2 2008-11-11 21:53 --------- d-----w c:\programme\Gemeinsame Dateien\TVG 2008-11-11 21:53 --------- d-----w c:\dokumente und einstellungen\Franc\Anwendungsdaten\TVG 2008-11-11 21:53 --------- d-----w c:\dokumente und einstellungen\Franc\Anwendungsdaten\DasTelefonbuch Deutschland 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll 2008-10-16 13:12 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:12 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll 2008-10-16 13:07 208,744 ----a-w c:\windows\system32\muweb.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "PC Suite Tray"="d:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-08-11 1124352] "Nokia.PCSync"="d:\programme\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280] "Google Update"="c:\dokumente und einstellungen\Franc\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-04 133104] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="d:\programme\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo Scheduler server.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo Scheduler server.lnk backup=c:\windows\pss\InterVideo Scheduler server.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ScanPanel.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ScanPanel.lnk backup=c:\windows\pss\ScanPanel.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Franc^Startmenü^Programme^Autostart^3DO Registration.lnk] path=c:\dokumente und einstellungen\Franc\Startmenü\Programme\Autostart\3DO Registration.lnk backup=c:\windows\pss\3DO Registration.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Franc^Startmenü^Programme^Autostart^reminder-ScanSoft Produkt Registrierung.lnk] path=c:\dokumente und einstellungen\Franc\Startmenü\Programme\Autostart\reminder-ScanSoft Produkt Registrierung.lnk backup=c:\windows\pss\reminder-ScanSoft Produkt Registrierung.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Franc^Startmenü^Programme^Autostart^Telefon- und Branchenbuch Herbst 2007 - Schnellstarter.lnk] path=c:\dokumente und einstellungen\Franc\Startmenü\Programme\Autostart\Telefon- und Branchenbuch Herbst 2007 - Schnellstarter.lnk backup=c:\windows\pss\Telefon- und Branchenbuch Herbst 2007 - Schnellstarter.lnkStartup [HKLM\~\startupfolder\C:^DOKUME~1^ALLUSE~1^Startmenü^Programme^Autostart^CAPIControl.lnk] path=c:\dokume~1\ALLUSE~1\Startmenü\Programme\Autostart\CAPIControl.lnk backup=c:\windows\pss\CAPIControl.lnkCommon Startup [HKLM\~\startupfolder\C:^DOKUME~1^ALLUSE~1^Startmenü^Programme^Autostart^DSL Control.lnk] path=c:\dokume~1\ALLUSE~1\Startmenü\Programme\Autostart\DSL Control.lnk backup=c:\windows\pss\DSL Control.lnkCommon Startup [HKLM\~\startupfolder\C:^DOKUME~1^ALLUSE~1^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk] path=c:\dokume~1\ALLUSE~1\Startmenü\Programme\Autostart\VIA RAID TOOL.lnk backup=c:\windows\pss\VIA RAID TOOL.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2007-05-11 03:06 40048 d:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] --a------ 2005-03-22 21:05 339968 c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL] --a------ 2001-12-06 14:09 45056 d:\programme\CloneCD\ElbyCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2006-10-30 09:36 256576 d:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ] --------- 2004-07-26 19:14 1867776 d:\programme\Ahead\Nero BackItUp\NBJ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-10-25 18:58 282624 c:\programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2007-03-16 19:25 25268264 d:\programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2005-08-26 18:14 36975 c:\programme\Java\jre1.5.0_05\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] -ra------ 2006-08-02 23:12 577536 c:\windows\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\System32\\dpnsvr.exe"= "d:\\Programme\\iTunes\\iTunes.exe"= "c:\\WINDOWS\\System32\\USMT\\MIGWIZ.EXE"= "d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "d:\\Programme\\Skype\\Phone\\Skype.exe"= R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-13 22336] R0 viasraid;viasraid;c:\windows\system32\DRIVERS\viasraid.sys [2005-08-05 77056] R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2007-04-02 11264] R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-02-13 45376] R1 SSHDRV84;SSHDRV84;\??\c:\windows\system32\drivers\SSHDRV84.sys [2006-01-26 76800] R2 ACEDRV06;ACEDRV06;\??\c:\windows\system32\drivers\ACEDRV06.sys [2008-11-29 99840] R2 CAPI20;Eumex 504PC USB;c:\windows\system32\drivers\CAPI20.sys [2004-05-17 969124] R2 DETEWECP;DeTeWe CapiPort;c:\windows\system32\drivers\detewecp.sys [2001-09-18 38480] R2 SampleScanner;USB-Flachbettscanner;c:\windows\system32\DRIVERS\ArtecGT.sys [2007-12-24 18120] S3 gsplittm;gsplittm;\??\c:\dokume~1\Franc\LOKALE~1\Temp\gsplittm.sys [] S3 ulisa;DeTeWe ISDN-Adapter (USB);c:\windows\system32\Drivers\ulisa.sys [2003-01-27 117116] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] \Shell\AutoRun\command - G:\setup.exe *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners 2008-12-16 c:\windows\Tasks\GoogleUpdateTaskUser.job - c:\dokumente und einstellungen\Franc\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-04 19:54] . - - - - Entfernte verwaiste Registrierungseinträge - - - - Notify-WgaLogon - (no file) MSConfigStartUp-FastTVSync - c:\programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe MSConfigStartUp-InstantAccess - d:\progra~1\TEXTBR~1.0\Bin\INSTAN~1.EXE MSConfigStartUp-Lexmark X1100 Series - c:\programme\Lexmark X1100 Series\lxbkbmgr.exe MSConfigStartUp-RegisterDropHandler - d:\progra~1\TEXTBR~1.0\Bin\REGIST~1.EXE MSConfigStartUp-routcnf - c:\programme\DeTeWe\TA 44dsl\routcnf.exe MSConfigStartUp-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe MSConfigStartUp-WinampAgent - d:\programme\Winamp\Winampa.exe MSConfigStartUp-Yahoo! Pager - d:\progra~1\YAHOO!\MESSEN~1\ypager.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Franc\Anwendungsdaten\Mozilla\Firefox\Profiles\1h94ienf.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://web.de/|http://www.google.de/|https://www.xing.com/|http://www.qype.com/people/miezmutz|https://www.google.com/accounts/ServiceLogin?service=cl&passive=true&nui=1&continue=http%3A%2F%2Fwww.google.com%2Fcalendar%2Frender%3Fhl%3Dde&hl=de&utm_source=de-more&utm_medium=more&utm_campaign=de|http://webmail.c3itsolutions.com/imp/login.php?logout_reason=logout FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJPI150_05.dll FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPOJI610.dll FF - plugin: d:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-16 16:40:30 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(640) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2008-12-16 16:40:51 ComboFix-quarantined-files.txt 2008-12-16 15:40:50 Vor Suchlauf: 9.302.536.192 Bytes frei Nach Suchlauf: 9,293,049,856 Bytes frei 187 |
|
|
||
16.12.2008, 19:50
Moderator
Beiträge: 5694 |
#4
>>
Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Start - Ausführen - gib ein: regedit Gehe zu folgendem Schlüssel: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "UpdatesDisableNotify"=dword:00000001 - in 0 ändern rechtsklick auf den Eintrag auf UpdatesDisableNotify die 1 wegklicken und 0 reinschreiben, dann abspeichern speichern + Registry + PC neustarten + berichte >> Dein Java ist veraltet bitte aktualisieren: http://board.protecus.de/t32385-1.htm Gruss Swiss |
|
|
||
17.12.2008, 14:31
...neu hier
Themenstarter Beiträge: 9 |
#5
Zitat Tonstudio posteteCombofix war schon entfernt, lediglich ein Ordner mit dem Namen war noch auf C: zu finden, den habe ich auch gelöscht. Zitat Tonstudio posteteHab ich beides gemacht, danach ging auch Windows-Updates wieder :-)) Allerdings funktioniert die Systemwiederherstellung immer noch nicht wieder. Was kann ich da noch machen? Gruß, miezmutz |
|
|
||
18.12.2008, 17:51
Ehrenmitglied
Beiträge: 6028 |
||
|
||
18.12.2008, 23:48
...neu hier
Themenstarter Beiträge: 9 |
#7
Zitat Arnold posteteHabe ich gemacht. Da gibt es ja verschiedene Varianten, ich habe jeweils kursiv drunter geschrieben, was dabei raus gekommen ist. Methode 1: Stellen Sie sicher, dass der Dienst "Systemwiederherstellung" ausgeführt wird Sehen Sie in der Systemsteuerung nach. Gehen Sie hierzu folgendermaßen vor: 1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dann compmgmt.msc in das Feld Öffnen ein. Drücken Sie anschließend die [EINGABETASTE]. 2. Erweitern Sie Dienste, und klicken Sie anschließend auf Systemwiederherstellungsdienst. Wenn für diesen Dienst ein anderer Status als Gestartet angezeigt wird, klicken Sie in der Symbolleiste auf das Symbol zum Starten des Dienstes. Ergebnis: es kommt eine Fehlermeldung: „Der Dienst „Systemwiederherstellungsdienst“ auf „lokaler Computer“ konnte nicht gestartet werden. Fehler 3: Das System kann den angegebenen Pfad nicht finden.“ Öffnen Sie ein Eingabeaufforderungsfenster. Gehen Sie hierzu folgendermaßen vor: 1. Klicken Sie auf Start und anschließend auf Ausführen, geben Sie CMD in das Feld Öffnen ein, und drücken Sie anschließend die [EINGABETASTE]. 2. Geben Sie in der Eingabeaufforderung Net Start ein, um sicherzustellen, dass die Systemwiederherstellung aktiviert ist und ausgeführt wird. Wenn der Dienst "Systemwiederherstellung" nicht aufgelistet wird, geben Sie net start "Systemwiederherstellungsdienst" ein, und drücken Sie anschließend die [EINGABETASTE]. Ergebnis: es kommt die Meldung: „Systemwiederherstellungsdienst wurde erfolgreich gestartet.“ Leider startet die Systemwiederherstellung dennoch nicht. Methode 2: Stellen Sie sicher, dass die Systemwiederherstellung auf den Laufwerken aktiviert ist, auf denen sie aktiviert sein soll 1. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie auf Eigenschaften. 2. Klicken Sie auf die Registerkarte Systemwiederherstellung. 3. Wenn die Systemwiederherstellung aktiviert ist, wird in der Spalte Status für ein Laufwerk wird überwacht angezeigt. Andernfalls deaktivieren Sie das Kontrollkästchen Systemwiederherstellung auf allen Laufwerken deaktivieren, und klicken Sie anschließend auf OK. Ergebnis: sobald ich die Registerkarte Systemwiederherstellung anklicke, passiert gar nichts mehr. Es lässt sich dann weder eine andere Registerkarte anklicken, noch kann ich das Fenster wieder schließen. Nur ein Neustart schafft Abhilfe. Methode 3: Stellen Sie sicher, dass auf allen Laufwerken, auf denen die Systemwiederherstellung aktiviert ist, genügend Festplattenspeicher verfügbar ist 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie diskmgmt.msc ein, und drücken Sie dann die [EINGABETASTE]. Überprüfen Sie den freien Speicherplatz auf allen Laufwerken, die von der Systemwiederherstellung überwacht werden. 2. Wenn der freie Speicherplatz auf einer Partition, die von der Systemwiederherstellung überwacht wird, unter 50 MB liegt, wird die Systemwiederherstellung unterbrochen und alle Wiederherstellungspunkte werden entfernt, um Speicherplatz freizugeben. Sie sollten bereits eine Meldung erhalten haben, dass nicht ausreichend Speicherplatz auf der Festplatte verfügbar ist. Die Systemwiederherstellung setzt die Überwachung fort, wenn der freie Speicherplatz auf mindestens 200 MB gestiegen ist. Hinweis: In den meisten Fällen reicht es aus, nur das Laufwerk bzw. die Partition zu überwachen, auf dem bzw. auf der Windows installiert ist. Datendateien werden von der Systemwiederherstellung nicht überwacht. Ergebnis: es ist überall mehr als ausreichend Speicher frei, auf der Systempartition sind es am wenigsten, aber auch da immer noch über 6 GB Methode 4: Überprüfen Sie die Ereignisprotokolle, um Fehler des Systemwiederherstellungsdienstes zu untersuchen 1. Klicken Sie auf Start und auf Ausführen, geben Sie eventvwr.msc /s in das Feld Öffnen ein, und drücken Sie die [EINGABETASTE]. 2. Klicken Sie auf die Kategorie System. 3. Klicken Sie auf die Registerkarte Quelle, um nach Namen zu sortieren, und suchen Sie anschließend nach "sr" oder "srservice". Doppelklicken Sie auf jeden dieser Dienste, und werten Sie anschließend die Ereignisbeschreibung aus, um Hinweise auf die Ursache des Problems zu erhalten. Ergebnis: es finden sich etliche Einträge mit „srservice“ als Quelle. Die Ereigniskennung ist „104“, und als Fehlermeldung steht dort nur „Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen“ Methode 5: Starten Sie im abgesicherten Modus, und führen Sie die Systemwiederherstellung aus 1. Starten Sie den Computer neu. Drücken Sie unmittelbar nachdem der Bildschirm zum ersten Mal schwarz wird oder nach Ende der BIOS-Meldungen mehrmals hintereinander die Taste F8. Das Menü mit den erweiterten Windows-Startoptionen wird angezeigt. Wenn das Menü nicht angezeigt wird, starten Sie den Computer neu, und versuchen Sie es erneut. 2. Wählen Sie die Option Abgesicherter Modus aus, und drücken Sie anschließend die [EINGABETASTE]. Während die Dateien geladen werden, werden sie in rascher Folge nacheinander am Bildschirm angezeigt. Hinweis: Der abgesicherte Modus verwendet nur die Gerätetreiber und Dienste, die unbedingt erforderlich sind, um Windows zu starten. Für den Bildschirm wird der standardmäßige Microsoft-VGA-Treiber verwendet (bei 640 x 480 Pixel und 16 Farben). 3. Melden Sie sich als Administrator an. Wenn kein Kennwort festgelegt wurde, lassen Sie das entsprechende Feld leer, und drücken Sie anschließend die [EINGABETASTE], oder klicken Sie auf den grünen Pfeil. 4. Klicken Sie im Bildschirm mit den Informationen über den abgesicherten Modus auf Nein, um die Systemwiederherstellung zu starten. 5. Wählen Sie die Option Computer zu einem früheren Zeitpunkt wiederherstellen aus, und klicken Sie anschließen auf Weiter, um ein Datum mit verfügbaren Wiederherstellungspunkten auszuwählen. 6. Klicken Sie auf Weiter, um die Wiederherstellung des Systems in einen früheren Zustand zu starten. Das habe ich nicht versucht, da ich ja nicht den Computer in einen früheren Zustand versetzen will, sondern nur möchte, dass die Systemwiederherstellung theoretisch wieder funktioniert. Zitat Arnold posteteÜber msconfig ließ sich die Systemwiederherstellung leider auch nicht starten. |
|
|
||
19.12.2008, 00:08
Ehrenmitglied
Beiträge: 6028 |
#8
Dial-a-fix
Download Dial-a-fix-2006 zum Desktop Doppelklick Dial-a-fix Doppelklick Dial-a-fix-v0.60.0.24 Entpacke jetzt die Dateien Doppelklick Dial-a-fix-v0.60.0.24 Doppelklick Dial-a-fix Klicke unten auf das grüne doppelte Häkchen(check all) und klicke GO Schließe am Ende mit Close Rechner neustarten Info: http://virus-protect.org/artikel/tools/dial_a_fix.html __________ MfG Argus |
|
|
||
19.12.2008, 01:13
...neu hier
Themenstarter Beiträge: 9 |
#9
Hi Arnold,
auch Dir vielen Dank, dass Du Dich um mein Problem kümmerst :-) Leider hat es Dial-a-fix auch nicht gebracht. :-( Hab alles genau so gemacht, wie ich sollte, aber nach Neustart kommt bei dem Versuch, die Systemwiederherstellung zu starten nur wieder die bekannte Fehlermeldung: "Die Systemwiederherstellung kann den Computer nicht sichern, starten Sie den Computer neu, und führen Sie die Systemwiederherstellung erneut aus" Wenn ich beim Arbeitsplatz auf Eigenschaften gehe, kann ich auch weiterhin den Karteireiter der Systemwiederherstellung nicht aktivieren. Hast Du noch mehr Ideen? Gruß, miezmutz |
|
|
||
19.12.2008, 01:44
Ehrenmitglied
Beiträge: 6028 |
#10
http://www.kellys-korner-xp.com/xp_abc.htm Klicke S scrolle runter nach System Restore
__________ MfG Argus |
|
|
||
19.12.2008, 19:47
...neu hier
Themenstarter Beiträge: 9 |
#11
Hi Arnold,
ich habe mir das mal alles durchgelesen, konnte aber keinen neuen Lösungsansatz dabei finden. War es etwas Bestimmtes, das ich dort finden sollte? |
|
|
||
19.12.2008, 21:20
Ehrenmitglied
Beiträge: 6028 |
||
|
||
19.12.2008, 21:31
...neu hier
Themenstarter Beiträge: 9 |
#13
Ja, habe ich, aber ich will nicht unbedingt eine Reparatur-Installation machen, falls es das ist, was Du vorschlagen willst...
|
|
|
||
19.12.2008, 21:50
Ehrenmitglied
Beiträge: 6028 |
#14
Früher gabs in Windows 98 eine Funktion SFC (Check System Files)
In AVZ Antiviral Toolkit gibt es auch so eine Funktion Info: http://virus-protect.org/artikel/tools/avz.html Download: http://z-oleg.com/avz4.zip Reiter>Service>System Utilities>SFC Vielleicht hilft es __________ MfG Argus |
|
|
||
20.12.2008, 01:18
...neu hier
Themenstarter Beiträge: 9 |
#15
Hi Arnold,
hier ist das Ergebnis des Scans, kannst Du daraus irgendwas ersehen? AVZ Antiviral Toolkit log; AVZ version is 4.30 Scanning started at 20.12.2008 01:07:39 Database loaded: signatures - 201412, NN profile(s) - 2, microprograms of healing - 56, signature database released 19.12.2008 21:47 Heuristic microprograms loaded: 372 SPV microprograms loaded: 9 Digital signatures of system files loaded: 74370 Heuristic analyzer mode: Medium heuristics level Healing mode: enabled Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights System Restore: enabled 1. Searching for Rootkits and programs intercepting API functions 1.1 Searching for user-mode API hooks Analysis: kernel32.dll, export table found in section .text Analysis: ntdll.dll, export table found in section .text Analysis: user32.dll, export table found in section .text Analysis: advapi32.dll, export table found in section .text Analysis: ws2_32.dll, export table found in section .text Analysis: wininet.dll, export table found in section .text Analysis: rasapi32.dll, export table found in section .text Analysis: urlmon.dll, export table found in section .text Analysis: netapi32.dll, export table found in section .text 1.2 Searching for kernel-mode API hooks Driver loaded successfully SDT found (RVA=085700) Kernel ntkrnlpa.exe found in memory at address 804D7000 SDT = 8055C700 KiST = 80504460 (284) Function NtCreateThread (35) intercepted (805D0FE0->F6C3BA64), hook not defined Function NtOpenProcess (7A) intercepted (805CB408->F6C3BA50), hook not defined Function NtOpenThread (80) intercepted (805CB694->F6C3BA55), hook not defined Function NtTerminateProcess (101) intercepted (805D29AA->F6C3BA5F), hook not defined Function NtWriteVirtualMemory (115) intercepted (805B4394->F6C3BA5A), hook not defined Functions checked: 284, intercepted: 5, restored: 0 1.3 Checking IDT and SYSENTER Analysis for CPU 1 Analysis for CPU 2 Checking IDT and SYSENTER - complete 1.4 Searching for masking processes and drivers Checking not performed: extended monitoring driver (AVZPM) is not installed Driver loaded successfully 1.5 Checking of IRP handlers Checking - complete 2. Scanning memory Number of processes found: 37 Number of modules loaded: 382 Scanning memory - complete 3. Scanning disks 4. Checking Winsock Layered Service Provider (SPI/LSP) LSP settings checked. No errors detected 5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) 6. Searching for opened TCP/UDP ports used by malicious programs Checking disabled by user 7. Heuristic system check Checking - complete 8. Searching for vulnerabilities >> Services: potentially dangerous service allowed: TermService (Terminaldienste) >> Services: potentially dangerous service allowed: Schedule (Taskplaner) >> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe) >> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe) > Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)! >> Security: disk drives' autorun is enabled >> Security: administrative shares (C$, D$ ...) are enabled >> Security: anonymous user access is enabled >> Security: sending Remote Assistant queries is enabled Checking - complete 9. Troubleshooting wizard >> HDD autorun are allowed >> Autorun from network drives are allowed >> Removable media autorun are allowed Checking - complete Files scanned: 60478, extracted from archives: 38496, malicious software found 0, suspicions - 0 Scanning finished at 20.12.2008 01:19:16 Time of scanning: 00:11:37 If you have a suspicion on presence of viruses or questions on the suspected objects, you can address http://virusinfo.info conference |
|
|
||
ich habe vor einem Monat bei einem Scan mit AntiVir einen Trojaner gefunden (TR/Agent.DF.20) und natürlich gelöscht, aber ich bin mir jetzt unsicher, ob mein PC wirklich sauber ist.
Die Systemwiederherstellung lässt sich nämlich nicht starten.
In einem anderen Forum bekam ich den Tipp, zunächst mal im abgesicherten Modus folgendes bei der Eingabeaufforderung einzugeben:
%systemroot%\system32\restore\rstrui.exe
Leider kam danach nur folgende Fehlermeldung:
"Die Systemwiederherstellung kann den Computer nicht sichern, starten Sie den Computer neu, und führen Sie die Systemwiederherstellung erneut aus"
Des Weiteren sollte ich den IE7 installieren, was ich dann heute brav gemacht habe.
Dabei bin ich über die Tatsache gestolpert, dass ich keine Windows-Updates mehr machen kann.
Ich komme zwar auf die Microsoft-Seite, aber die Suche nach Updates wird abgebrochen, und folgender Fehlercode angezeigt:
0x80072EE7
AdAware hat nichts gefunden, ebenso wenig wie Spybot Search&Destroy.
Am besten schaut Ihr Euch mal die folgenden logs an, die sagen Euch hoffentlich mehr wie mir...
AntiVir:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 15. Dezember 2008 19:41
Es wird nach 1086682 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: BLOEDEKISTE
Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 16:01:38
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 22:20:34
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 22:20:34
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 22:20:34
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 16:04:08
ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07.12.2008 20:55:58
ANTIVIR2.VDF : 7.1.0.230 156160 Bytes 14.12.2008 23:15:50
ANTIVIR3.VDF : 7.1.0.231 2048 Bytes 14.12.2008 23:15:50
Engineversion : 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 12:31:28
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 12.12.2008 22:42:54
AESCN.DLL : 8.1.1.5 123251 Bytes 10.11.2008 14:58:26
AERDL.DLL : 8.1.1.3 438645 Bytes 07.11.2008 13:32:52
AEPACK.DLL : 8.1.3.4 393591 Bytes 12.11.2008 08:56:58
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12.12.2008 22:42:54
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 12.12.2008 22:42:52
AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 14:00:58
AEGEN.DLL : 8.1.1.8 323956 Bytes 12.12.2008 22:42:52
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 12:31:24
AECORE.DLL : 8.1.5.2 172405 Bytes 30.11.2008 14:54:56
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 12:31:24
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 22:20:34
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 22:20:34
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 14:26:26
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 22:20:34
AVARKT.DLL : 1.0.0.23 307457 Bytes 17.04.2008 14:30:54
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 22:20:34
SQLITE3.DLL : 3.3.17.1 339968 Bytes 17.04.2008 14:30:54
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 22:20:34
NETNT.DLL : 8.0.0.1 7937 Bytes 17.04.2008 14:30:54
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 22:20:32
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 22:20:32
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: d:\programme\antivir\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:, H:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Montag, 15. Dezember 2008 19:41
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ntvdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'totalcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MPAPI3s.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PcSync2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '31' Prozesse mit '31' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '50' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <SYSTEM XP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <SOFTWARE XP>
Beginne mit der Suche in 'E:\' <DATEN>
Beginne mit der Suche in 'F:\' <ARCHIV>
Beginne mit der Suche in 'H:\'
Ende des Suchlaufs: Montag, 15. Dezember 2008 20:00
Benötigte Zeit: 19:04 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
8902 Verzeichnisse wurden überprüft
186166 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
186164 Dateien ohne Befall
1936 Archive wurden durchsucht
2 Warnungen
0 Hinweise
HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:04, on 15.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
D:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Dokumente und Einstellungen\Franc\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
D:\Programme\AntiVir\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
D:\Programme\totalcmd\totalcmd.exe
C:\WINDOWS\system32\ntvdm.exe
D:\Programme\Mozilla Firefox\firefox.exe
F:\Software-Archiv\Sicherheit\Spyware entfernen\Trend Micro HijackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] d:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [textbridge98unins] C:\WINDOWS\~alitb98.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "D:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Franc\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229217003531
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229217116140
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\Programme\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
--
End of file - 5965 bytes
Malwarebytes:
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1501
Windows 5.1.2600 Service Pack 2
15.12.2008 19:13:22
mbam-log-2008-12-15 (19-13-22).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 135348
Laufzeit: 41 minute(s), 50 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Zoek:
======C:\WINDOWS====
----a-w 751 2008-11-14 16:34:12 C:\WINDOWS\win.ini
----a-w 0 2008-12-15 17:29:54 C:\WINDOWS\0.log
----a-w 50 2008-12-15 17:28:52 C:\WINDOWS\wiaservc.log
----a-w 159 2008-12-15 17:29:46 C:\WINDOWS\wiadebug.log
----a-w 100 2008-11-11 21:49:44 C:\WINDOWS\ktel.ini
----a-w 449,112 2008-12-14 00:55:50 C:\WINDOWS\ntbtlog.txt
----a-w 165 2008-10-19 16:22:54 C:\WINDOWS\ClonyCDs.ini
----a-w 1,393 2008-12-15 17:28:06 C:\WINDOWS\imsins.log
----a-w 34,978 2008-07-23 18:39:58 C:\WINDOWS\cdplayer.ini
----a-w 5,676 2008-12-15 17:28:44 C:\WINDOWS\wincmd.ini
----a-w 469 2008-10-19 16:22:58 C:\WINDOWS\Clony2.ini
----a-w 55,252 2008-12-15 17:28:06 C:\WINDOWS\setupapi.log
----a-w 1,362 2008-12-10 09:27:20 C:\WINDOWS\ScnPanel.ini
----a-w 16,272 2008-12-15 17:28:42 C:\WINDOWS\ie7_main.log
----a-w 5,265 2008-12-15 17:26:26 C:\WINDOWS\KB915865.log
----a-w 1,951,451 2008-12-15 17:28:52 C:\WINDOWS\WindowsUpdate.log
----a-w 316,640 2008-11-14 16:33:40 C:\WINDOWS\WMSysPr9.prx
--s-a-w 2,048 2008-12-15 17:29:30 C:\WINDOWS\bootstat.dat
----a-w 32,388 2008-12-15 17:28:52 C:\WINDOWS\SchedLgU.Txt
----a-w 11,664 2008-12-15 17:28:06 C:\WINDOWS\ocgen.log
---ha-w 54,156 2008-11-24 23:02:26 C:\WINDOWS\QTFont.qfn
----a-w 2,662 2008-12-12 12:27:20 C:\WINDOWS\Ausba3.INI
----a-w 116 2008-08-20 10:30:16 C:\WINDOWS\NeroDigital.ini
----a-w 1,409 2008-11-24 23:02:26 C:\WINDOWS\QTFont.for
----a-w 11,464 2008-12-12 12:27:20 C:\WINDOWS\Dusb3ar.ini
----a-w 4,037 2008-12-15 17:28:06 C:\WINDOWS\iis6.log
----a-w 0 2008-12-15 17:26:26 C:\WINDOWS\setupact.log
----a-w 24,734 2008-12-15 17:28:06 C:\WINDOWS\FaxSetup.log
----a-w 0 2008-12-15 17:26:26 C:\WINDOWS\setuperr.log
----a-w 8,168 2008-12-15 17:28:06 C:\WINDOWS\comsetup.log
----a-w 4,952 2008-12-15 17:28:06 C:\WINDOWS\ntdtcsetup.log
----a-w 9,436 2008-12-15 17:28:06 C:\WINDOWS\tsoc.log
----a-w 1,393 2008-12-15 17:27:04 C:\WINDOWS\imsins.BAK
----a-w 1,212 2008-12-15 17:28:06 C:\WINDOWS\msgsocm.log
----a-w 1,368 2008-12-15 17:28:06 C:\WINDOWS\ocmsn.log
----a-w 9,138 2008-12-15 17:26:48 C:\WINDOWS\NLSDownlevelMapping.log
----a-w 47,312 2008-12-15 17:28:06 C:\WINDOWS\ie7.log
----a-w 10,907 2008-12-15 17:27:04 C:\WINDOWS\IDNMitigationAPIs.log
----a-w 18,039 2008-12-15 17:28:00 C:\WINDOWS\updspapi.log
----a-w 6,240 2008-12-15 17:29:54 C:\WINDOWS\spupdsvc.log
Entries: 40 (38)
Directories: 0 Files: 40
Bytes: 3,101,938 Blocks: 6,077
======C:\WINDOWS\system32=====
----a-w 1,374 2008-12-14 01:27:02 C:\WINDOWS\System32\wpa.dbl
----a-w 40,836 2008-11-14 16:35:14 C:\WINDOWS\System32\perfc009.dat
----a-w 314,508 2008-11-14 16:35:14 C:\WINDOWS\System32\perfh009.dat
----a-w 49,166 2008-11-14 16:35:14 C:\WINDOWS\System32\perfc007.dat
----a-w 320,104 2008-11-14 16:35:14 C:\WINDOWS\System32\perfh007.dat
----a-w 213,528 2008-10-16 13:12:20 C:\WINDOWS\System32\wuaucpl.cpl
----a-w 208,744 2008-10-16 13:07:48 C:\WINDOWS\System32\muweb.dll
----a-w 148,400 2008-10-26 15:55:50 C:\WINDOWS\System32\FNTCACHE.DAT
----a-w 92,696 2008-10-16 13:09:44 C:\WINDOWS\System32\cdm.dll
----a-w 732,344 2008-11-14 16:35:14 C:\WINDOWS\System32\PerfStringBackup.INI
----a-w 0 2030-08-04 10:07:40 C:\WINDOWS\System32\h323log.txt
----a-w 561,688 2008-10-16 13:12:20 C:\WINDOWS\System32\wuapi.dll
----a-w 43,544 2008-10-16 13:09:44 C:\WINDOWS\System32\wups2.dll
----a-w 34,328 2008-10-16 13:08:58 C:\WINDOWS\System32\wups.dll
----a-w 23,392 2008-11-14 16:34:14 C:\WINDOWS\System32\nscompat.tlb
----a-w 16,832 2008-11-14 16:34:14 C:\WINDOWS\System32\amcompat.tlb
----a-w 51,224 2008-10-16 13:09:44 C:\WINDOWS\System32\wuauclt.exe
----a-w 202,776 2008-10-16 13:12:24 C:\WINDOWS\System32\wuweb.dll
----a-w 1,809,944 2008-10-16 13:13:40 C:\WINDOWS\System32\wuaueng.dll
----a-w 27,672 2008-10-16 13:08:02 C:\WINDOWS\System32\wuaucpl.cpl.mui
----a-w 323,608 2008-10-16 13:12:22 C:\WINDOWS\System32\wucltui.dll
----a-w 18,968 2008-10-16 13:07:16 C:\WINDOWS\System32\wuaueng.dll.mui
----a-w 31,768 2008-10-16 13:08:54 C:\WINDOWS\System32\wucltui.dll.mui
----a-w 27,672 2008-10-16 13:08:02 C:\WINDOWS\System32\wuapi.dll.mui
Entries: 24 (24)
Directories: 0 Files: 24
Bytes: 5,295,116 Blocks: 10,359
======C:\WINDOWS\system32\drivers=====
----a-w 45,376 2008-07-17 22:20:34 C:\WINDOWS\System32\drivers\avgntdd.sys
----a-w 75,072 2008-11-11 08:56:58 C:\WINDOWS\System32\drivers\avipbb.sys
---ha-w 0 2008-07-29 14:16:06 C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
---ha-w 0 2008-07-29 14:16:08 C:\WINDOWS\System32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
----a-w 38,496 2008-10-22 15:10:38 C:\WINDOWS\System32\drivers\mbamswissarmy.sys
----a-w 15,504 2008-10-22 15:10:22 C:\WINDOWS\System32\drivers\mbam.sys
----a-w 99,840 2008-11-29 21:11:10 C:\WINDOWS\System32\drivers\ACEDRV06.sys
Entries: 7 (5)
Directories: 0 Files: 7
Bytes: 274,288 Blocks: 538
=======C:\Programme=====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=======C:=====
--sha-w 805,306,368 2008-12-15 17:29:28 C:\pagefile.sys
--sha-w 1,072,222,208 2008-12-15 17:29:28 C:\hiberfil.sys
Entries: 2 (0)
Directories: 0 Files: 2
Bytes: 1,877,528,576 Blocks: 3,667,048
======C:\Dokumente und Einstellungen\Franc\Anwendungsdaten======
--sha-w 62 2030-08-04 10:03:28 C:\Dokumente und Einstellungen\Franc\Anwendungsdaten\desktop.ini
Entries: 1 (0)
Directories: 0 Files: 1
Bytes: 62 Blocks: 1
======C:\Temp======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Dokumente und Einstellungen\Franc======
---ha-w 6,815,744 2008-12-15 17:30:02 C:\Dokumente und Einstellungen\Franc\NTUSER.DAT
---ha-w 69,632 2008-12-15 17:30:02 C:\Dokumente und Einstellungen\Franc\NTUSER.DAT.LOG
--sh--w 300 2008-12-15 17:28:48 C:\Dokumente und Einstellungen\Franc\ntuser.ini
Entries: 3 (0)
Directories: 0 Files: 3
Bytes: 6,885,676 Blocks: 13,449
======C:\WINDOWS\Downloaded Program Files====
----a-w 293 2008-10-16 13:16:04 C:\WINDOWS\Downloaded Program Files\wuweb.inf
----a-w 295 2008-10-16 13:16:04 C:\WINDOWS\Downloaded Program Files\muweb.inf
Entries: 2 (2)
Directories: 0 Files: 2
Bytes: 588 Blocks: 2
=============
Für ein paar konstruktive Vorschläge wäre ich sehr dankbar.
Viele Grüße,
miezmutz