KB 978207 (MS010-002) / Rootkit.win32.agent.zwo? Intel Mac - Win Partition

#1 Hallo liebe Leute,

Ich hab ein Riesenproblem.
(ehem. Geschäfts-notebook meiner Freundin)
Macbook Pro, (Intel Mac), mac os 10.4.11 Tiger
Bootcamp beta
Auf der Win Partition (NTFS): Win XP Pro SP2

(SP3 kann man nicht nachrüsten, da es erst ab mac os 10.5 Leopard geht)

Nach dem automatischen update des Win ie8 patches,
KB 978207 (MS010-002)

und dem nachfolgenden Neustart,
fährt die win partitition nicht mehr vollständig hoch.

Im abgesicherten Modus funkt. es auch nicht,
auch nicht mit letzte bekannte funkt. Konfig.,
Debugmodus, oder was es sonst noch gibt,
half nicht.

Man sieht das Desktop Wallpaper, das wars dann,
und man wird wieder zurück zur Win Anmeldung geleitet.
Endlosschleife.

Ein paar Stunden vor dem das Problem auftrat,
hab ich einen kompletten Scan der Win Partition mit
a-squared Free 4.5
gemacht.
Außer Cookies keine Auffälligkeiten.

Ntfs für Mac von Paragon installiert.
nun Schreibrecht auf win seite.

Den
Rootkit.win32.agent.zwo
hab ich mit Kas 8.01 von der Mac-seite aus entfernt.
Lag aber wohl nicht daran.
oder doch?

Das hier hab ich gelesen:
http://board.protecus.de/t29972.htm

(Hab jedoch keinen Zugriff, da Win nicht komplett hochfährt)

Zur Sicherheit von der Desinfec't 2010 c't CD gebootet,
und nochmal nach Viren gescannt.
Mit Kaspersky, AntiVir etc.
Kein Ergebnis.

Avira Boot CD brachte nichts.

Gibt es andere Tools die beim Bootvorgang event. vorhandene Malware beseitigen?

Von der Win XP Pro SP2 Installations CD gebootet,
Reparatur Konsole, boot.ini + hal.dll
überschrieben, half nicht.

Win XP Re-installation führt nicht bis zum Ziel,
bekomme eine Fehlermeldung 8% vor Ende mit
svchost.exe Fehler in Anwendung.

Ich möchte natürlich nur ungern die Win Partition formatieren.

Langsam fällt mir nämlich nichts mehr ein...

Viell. hab ich ja was übersehen.

Dank im Voraus!

#2 Da würde mir nur noch eins einfallen
Von der Win XP cd booten und dann die reperatur konsole aufrufen
dich bei der win partiotion anmelden und dann

sfc /scannow

leerstelle nach sfc beachten

es werden alle systemdateien geprüft und wieder neu erstellt wen sie beschädigt sind
Aber Achtung die Installations cd und das installierte betriebssystem müssen das selbe Service Pack aufweisen und die selbe Version also Home oder pro

Danach noch einmal Von Win cd booten wieder reperatur konsole an der instalation anmelden
und dan

chkdsk /r

leerstelle nach chkdsk beachten

Damit würd check disk ausgeführt und weitere fehler in nicht system komponenten wiederhergestellt nicht den start parameter /r vergessen ansonsten würd nur nach fehlern gesucht aber nicht allles wiederhergestellt

#3 Danke Audiopower.
Werde das weiterleiten, und umgehende Berichterstattung veranlassen.

#4 Hallo Audiopower,
leider hat die Reparatur-Konsole Deinen vorgeschlagenen Befehl sfc /scannow nicht angenommen (unbekannter Befehl).
Ich habs mehrmals probiert. Komisch... Das einzige, was ging, war chkdsk /r. Da wurde dann WIN installiert.
Beim Hochfahren von Windows ging dann allerdings wieder nichts mehr (Die Ausnahme "unbekannter Softwarefehler" 0xG06d007e ist in der Anwendung an der Stelle 0x7c812a5b aufgetreten).
Ratlosigkeit macht sich breit...
Idee?

#5 Hm kann ich nicht nachvollziehen habe extra nochmal bei microsoft nachgelesen
http://support.microsoft.com/kb/310747/de

Deine windows version unterstützt ganz klar sfc /scannow

Ich denke es handelt sich hier um ein hardware problem wenn keine neuinstalltion funktioniert
ich würd mal auf den arbeitsspeicher tippen aber wie gesagt nur mal getippt

#6 Werden das mal am Wochenende gemeinsam in Angriff nehmen,
auf der MS seite gibts ja noch mehr Befehle die man einsetzen könnte.

Viell. liegts auch an der verwendeten Boot CD.

Das es ein Hardware Problem ist, scheidet meiner Meinung nach, so gut wie aus, weil die Mac Partition reibungslos läuft.

Danke bis hierhin.

---------------------
Herr Halfden

#7 Hm mir währe keine alternative bekannt mit der man system komponenten wiederherstellen kann das einzige was man testen könnte währe sfc /? um alle parameter augelistet zu bekommen sfc /runonce währe ne möglischkeit

#8 Hat etwas länger gedauert diesmal.
Probierten es nun mit einer Windows Xp Pro Student Edition SP2.

Reparaturkonsole weist keinen Befehl SFC auf, dh. also kein scan.

BOOTCFG UND FIXMBR
durchgeführt.
Dann Re-Installation.
Booten von Win Partition:
Fehlermeldung:
msoobe.exe - Fehler in Anwendung.
Die Anweisung in "0x76ed07a6" verweist auf Speicher in "0x00000000".
Der Vorgang "written" konnte nicht auf dem Speicher durchgeführt werden.

Abbrechen zum Debug.
Ausgeführt.

An der Gesamtsituation ändert sich nichts.
Selber Fehler wie zu Anfang.

@Audipower: viell. doch ein Problem mit dem RAM?

#9 Dann würde sich ein test des verbauten rams anbieten. Dazu würde ich memtest entpfehlen.
http://www.pcgameshardware.de/aid,671594/Download-Memtest-86-211-Speichertester/Tools/Download/
Einfach datei runterladen und das image auf cd brennen von der Memtest cd starten.
Achtung der test sollte einige stunden(4 stunden mindestens ) laufen um zuverlässige ergebnisse zu liefern.Am besten über nacht. Genauere anleitungen zur verwendung von memtest findet man im Internet einfach mal googeln.

Und da ist noch was da der Mac teil einwandfrei Läuft käme auch ein Festplatten fehler in betracht. Wen also Memtest keine fehler findet würd ich es mal mit ner 2 Festplatte testen.
Oder mal auf der Hersteller seite deiner Festplatte also Samsung ,WD oder was immer mal nach einem Festplatten test tool suchen leider benötigen diese meist eine funktionierende Windows Oberfläsche. Da würde sich Bart PE anbieten http://www.nu2german.de/pebuilder319.shtml

MFG Audi
Weiteres dann bitte per PM