Code: Alles auswählenAufklappen

ATTFilter

[SC] StartService FAILED 1058:

The service cannot be started, either because it is disabled or because it has no enabled devices associated with it.

[SC] ChangeServiceConfig SUCCESS
         

Ist ja klar, das athr ist doch der WLAN driver, oder? Den habe ich absichtlich deaktiviert, weil der Treiber den Bluescreen beim booten verursacht. Den möchte ich ja per Windows Update aktualisieren.

Auf der Seite hxxp://www.updatexp.com/0x8024402c.html stehen noch ein paar Infos. Alles dort deutet irgendwie auf Proxy/Verbindungsprobleme hin. Das unter #FIVE (zuunterst) mit dem WinHttpSettings Eintrag löschen habe ich probiert - ohne Erfolg.

Das mit dem Zugriffsproblem ist während unseren Tests passiert - am 31. Jan waren wir ja schon am testen. Vermutlich Repair laufen lassen während Update check noch lief oder sowas.

Ich habe nach dem letzten Post bereits versucht die erwähnten Verzeichnisse zu löschen (gemäss Antwort von Carsoma in hxxp://superuser.com/questions/539411/pc-boots-then-writes-giant-datastore-edb-file-slowing-the-computer-down). Hat nichts gebracht. Ich hätte die Backups noch. Das sind aber nur zwei Subverzeichnisse von SoftwareDistribution gewesen. Ich werde mal deinen Vorschlag (den ganzen Ordner SoftwareDistribution und auch catroot2 zu löschen) noch probieren, bezweifle aber, dass ich damit mehr Erfolg habe. Ich poste nochmal, wenn das was ändert, sonst gehe mal davon aus, dass das auch nichts gebracht hat.

Mir fällt im Moment leider nichts mehr ein.

Evtl. hat noch jemand hier eine Idee.

Da es keine Probleme mit Malware gibt, sind wir hier fertig.




Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Cleanup:
Alle Logs gepostet? Dann lade Dir bitte DelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis:
DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.





Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:
Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.







Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.




Optional:
Adblock Plus Kann Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren.
NoScript Verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.

Lade Software von einem sauberen Portal wie .
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .




Abschließend noch ein paar grundsätzliche Bemerkungen:

• Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
• Lade keine Software von Chip, Softonic oder SourceForge. Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software oder Adware installiert.
• Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Selbst Microsoft unterstützt sog. Registry-Cleaner nicht. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Ich bin froh, dass wir helfen konnten

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank!

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Ich konnte inzwischen das Windows Update Problem beheben. Zur Info für allfällige zukünftige Hilfesuchenden, hier noch was bei mir geholfen hat:
1. Im Control Panel (Systemsteuerung), Power Options (weiss nicht wie das auf deutsch heisst) war der "Balanced" Plan eingestellt. Mit "change plan settings" die Option "put computer to sleep" mit "plugged in" auf "Never" stellen. Ansonsten geht der Computer einschlafen und nach dem wiederaufwecken fängt die Suche wieder von vorne an. Ich hatte zwar bisher schon mehrere Stunden suchen lassen (indem ich dabei sass und immer wieder die Maus bewegt hatte), aber die paar Stunden haben nicht gereicht. Weiter unten mehr dazu, aber eine vollständige Suche kann bis zu 4 Tagen dauern.

2. SoftwareDistribution und catroot(*) und catroot2 Verzeichnisse löschen gemäss Anleitung von M-K-D-B:

---
1. Windows Update Dienste beenden (net stop wuauserv, net stop cryptsvc, net stop bits, net stop msiserver)
2. Ordner C:\Windows\SoftwareDistribution in C:\Windows\SoftwareDistribution_old umbenennen.
3. Ordner C:\Windows\System32\catroot2 in C:\Windows\System32\catroot2_old umbenennen
4. Windows Update Dienste starten (net start wuauserv, net start cryptsvc, net start bits, net start msiserver)
---

(*) catroot zu löschen war ein Fehler, weitere Infos siehe weiter unten, obwohl das auch mit Windows Update zusammenhängt, genau wie catroot2

3. Gemäss Antwort von Moab hier: hxxp://superuser.com/questions/951960/windows-7-sp1-windows-update-stuck-checking-for-updates
- Service Pack 1 installieren (war hier schon)
- Download (ohne installieren) KB3135445 von hier: https://support.microsoft.com/en-us/kb/3135445 und lokal speichern
- Download (ohne installieren) SUR Tool von hier: hxxp://windows.microsoft.com/en-us/windows7/what-is-the-system-update-readiness-tool und lokal speichern
- Internet-Verbindung trennen (war bei mir ganz einfach; Kabel ausziehen, da WLAN sowieso nicht geht)
- Reboot ohne Internet
- Install KB3135445 und reboot wenn am Schluss danach gefragt wird, immer noch ohne Internet-Verbindung
- SUR Tool installieren. (das kann viele Stunden dauern)
- Reboot und Internet wieder verbinden
- Windows Update starten und nach Updates suchen
- Wenn immer noch eine Fehlermeldung angezeigt wird (war bei mir der Fall), dann das Windows Update Fixit Tool laden von hier: hxxp://go.microsoft.com/?linkid=9665683 und ausführen. Bei Start "aggressive mode" aktivieren.
- Reboot

4. Windows Update erneut suchen lassen. Dies kann bis zu vier Tage dauern gemäss anderen Posts die ich gefunden habe. Bei mir hat es 1.5 Tage gedauert, bis die Liste erschien (104 Updates verfügbar).

5. Ich habe alle Updates installiert und rebootet. Danach hat der Rechner nicht mehr gestartet mit Fehlermeldung (Bluescreen) STOP: c000021a {Fatal System Error}, The verification of a KnownDLL failed. system termination unexpectedly with a status of 0xc0000428 (0x94334560 0x00000000)., The system has been shut down.

6. Windows startup repair mittels Rücksetzen auf Restore Point.

7. Erneut Windows Update laufen lassen (wieder einen Tag warten). Danach nur wenige Updates installieren und rebooten. Wenn boot erfolgreich ist, neu starten und nochmal Windows Update suchen lassen und wieder ein paar Updates installieren. Wenn nicht erfolgreich, wieder zurücksetzen mittels Restore Point.

8. Dies hat dann bereits etwa eine Woche gedauert, da ja jedesmal wieder Windows Update Suche laufen lassen mindestens einen Tag gedauert hat. Einmal hat dann das System erfolgreich gebootet, aber mit einem Update der zuvor fehlgeschlagen ist. Ich habe dann einige weitere Updates installiert und gerebootet. Das hat dann erneut zum Fehler mit "verification of KnownDLL failed" geführt und ein Zurücksetzen mittels Restore Point hat nichts mehr geholfen. Auch Last Known Good Configuration half nicht.

9. Ich habe herausgefunden, dass die Boot-Option "Disable Driver Signature Enforcement" das einzige ist was hilft, um das System überhaupt noch zu booten.

10. Da keine Change mehr bestand mittels Restore Point zu einem funktionierenden System zurückzukommen (Boot nur noch mittels der Boot-Option "disable driver signature enforcement" möglich), habe ich beschlossen erst mal alle Updates von Windows Update zu installieren, inklusive optionale Updates und Treiber-Aktualisierungen. Dies hat auch mein WLAN-Problem behoben.

11. Ich habe noch ein defrag auf der Harddisk laufen lassen, da dies ja auch zu langsamem Scannen beitragen kann. Ebenfalls ein chkdisk mit allen Repair-Optionen (/F /R).

12. Seither funktioniert Windows Update wieder vernünftig schnell und ein "Scan for Updates" läuft wieder in ein paar Minuten durch.

13. Ich habe sfc /SCANNOW versucht, aber es konnte das unsigned Treiber-Problem nicht reparieren. Im erzeugten Logfile standen zwar viele Warnungen, aber nach langer Recherche scheinen diese Warnungen normal zu sein.

14. Ich habe einen exzellenten Artikel zum Thema unsigned Treiber gefunden: https://blogs.technet.microsoft.com/askcore/2012/04/15/troubleshooting-boot-issues-due-to-missing-driver-signature-x64/
Dort wird empfohlen Sigcheck zu installieren (von https://technet.microsoft.com/en-us/sysinternals/bb897441.aspx); ich habe das exe ins system32 kopiert. Mit dem Kommando sigcheck.exe -i c:\windows\system32\drivers\srv.sys kann dann die Signatur überprüft werden. Die hiess bei mir "unsigned", was also den Fehler bestätigt hat. Als Reparatur wird empfohlen von einem funktionierenden PC sowohl den Treiber als auch das Catalog-File zu kopieren. Ich habe also erst mittels Eventlog die Liste der Problem-Treiber ermittelt (z.B. war srv.sys und srv2.sys in der Liste, also Microsoft System-Treiber, die nicht unsigned sein sollten). Ich habe dann auf einem funktionierenden PC sigcheck ausgeführt für srv.sys und als dann als Pfad für das Catalog-File C:\windows\system32\catroot\... aufgeführt war, ging mir ein Licht auf. Das war ja das Verzeichnis, das ich im Schritt 2 gelöscht hatte.

15. Ich habe das Verzeichnis catroot vom noch vorhandenen backup zurückgespielt (also gemerged mit den neueren Einträgen im neuen catroot Verzeichnis). Seither kann ich auch wieder normal booten.

16. Da Windows Update wieder funktioniert und auch booten wieder ohne Spezial-Optionen möglich ist, ist das Problem gelöst. Ich musste nur noch mühsam wieder einen Bluetooth Treiber suchen, den ich im laufe dieser Experimente auch gelöscht hatte, aber auch das war erfolgreich.


17. Im Windows Application Eventlog erschien noch ein Fehler, dass Flash zu alt wäre ("version <8") mit Herkunft von einem Druckertreiber. Das ist ja richtig, da ich Flash deinstalliert hatte. Da der Druckertreiber das aber vielleicht braucht, habe ich noch Flash in der neuesten Version installiert. Ist mir nicht ganz wohl dabei, aber wenn der User das braucht...

18. Ein neuer Lauf mit sfc /SCANNOW findet keine Fehler mehr.

19. Im Windows Security Eventlog erhalte ich aber beim Booten immer noch etwa 10 Meldungen mit unsignierten Treibern, z.B. für srv.sys:
"Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error."
File Name: \Device\HarddiskVolume2\Windows\System32\drivers\srv.sys
Wenn ich jedoch sigcheck -i filename mache, dann erhalte ich "signed" und noch mehr Informationen. Bei diesen "mehr Informationen" steht, dass eines der Zertifikate abgelaufen ist (Thumbprint 5C616DC011E309DFCD15C0EA32494186654A2CDC und 7CB0244C7CEC5283E7EFDADF5CCC58772DD67F42, "This certificate or one of the certificates in the certificate chain is not time valid.") Es ist tatsächlich abgelaufen. Auf einem anderen Rechner (Windows 8.1 64-bit) erhalte ich jedoch die gleiche Meldung, ohne jedoch Fehler im Eventlog. Also entweder dies ist eine erwartete Meldung im Security Eventlog durch ein abgelaufenes Zertifikat, oder es ist immer noch etwas kaputt, das ich jedoch nicht beheben kann ohne noch mehr Zeit aufzuwenden. Da aus Benutzer-Sicht wieder alles funktioniert geht der Rechner nun wieder so zurück an den Besitzer (Family).

Der Vollständigkeit halber noch die Ausgabe von sigcheck -i path\srv.sys (ein Treiber, der im Eventlog als invalid hash angezeigt wird, siehe oben):

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\system32>sigcheck -i c:\windows\system32\drivers\srv.sys

Sigcheck v2.50 - File version and signature viewer
Copyright (C) 2004-2016 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\windows\system32\drivers\srv.sys:
        Verified:       Signed
        Link date:      03:46 29.04.2011
        Signing date:   23:28 02.05.2011
        Catalog:        C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C
04FC295EE}\Package_1_for_KB2536275~31bf3856ad364e35~x86~~6.1.1.2.cat
        Signers:
           Microsoft Windows
                Cert Status:    This certificate or one of the certificates in t
he certificate chain is not time valid.
                Valid Usage:    Code Signing, NT5 Crypto
                Cert Issuer:    Microsoft Windows Verification PCA
                Serial Number:  61 03 05 56 00 00 00 00 00 10
                Thumbprint:     5C616DC011E309DFCD15C0EA32494186654A2CDC
                Algorithm:      sha1RSA
                Valid from:     22:11 14.02.2011
                Valid to:       22:11 14.05.2012
           Microsoft Windows Verification PCA
                Cert Status:    Valid
                Valid Usage:    Code Signing, NT5 Crypto
                Cert Issuer:    Microsoft Root Certificate Authority
                Serial Number:  61 07 02 DC 00 00 00 00 00 0B
                Thumbprint:     5DF0D7571B0780783960C68B78571FFD7EDAF021
                Algorithm:      sha1RSA
                Valid from:     22:55 15.09.2005
                Valid to:       23:05 15.03.2016
           Microsoft Root Certificate Authority
                Cert Status:    Valid
                Valid Usage:    All
                Cert Issuer:    Microsoft Root Certificate Authority
                Serial Number:  79 AD 16 A1 4A A0 A5 AD 4C 73 58 F4 07 13 2E 65
                Thumbprint:     CDD4EEAE6000AC7F40C3802C171E30148030C072
                Algorithm:      sha1RSA
                Valid from:     00:19 10.05.2001
                Valid to:       00:28 10.05.2021
        Counter Signers:
           Microsoft Time-Stamp Service
                Cert Status:    This certificate or one of the certificates in t
he certificate chain is not time valid.
                Valid Usage:    Timestamp Signing
                Cert Issuer:    Microsoft Time-Stamp PCA
                Serial Number:  61 04 B3 F5 00 00 00 00 00 0D
                Thumbprint:     7CB0244C7CEC5283E7EFDADF5CCC58772DD67F42
                Algorithm:      sha1RSA
                Valid from:     20:13 25.07.2008
                Valid to:       20:23 25.07.2011
           Microsoft Time-Stamp PCA
                Cert Status:    Valid
                Valid Usage:    Timestamp Signing
                Cert Issuer:    Microsoft Root Certificate Authority
                Serial Number:  61 16 68 34 00 00 00 00 00 1C
                Thumbprint:     375FCB825C3DC3752A02E34EB70993B4997191EF
                Algorithm:      sha1RSA
                Valid from:     13:53 03.04.2007
                Valid to:       14:03 03.04.2021
           Microsoft Root Certificate Authority
                Cert Status:    Valid
                Valid Usage:    All
                Cert Issuer:    Microsoft Root Certificate Authority
                Serial Number:  79 AD 16 A1 4A A0 A5 AD 4C 73 58 F4 07 13 2E 65
                Thumbprint:     CDD4EEAE6000AC7F40C3802C171E30148030C072
                Algorithm:      sha1RSA
                Valid from:     00:19 10.05.2001
                Valid to:       00:28 10.05.2021
        Company:        Microsoft Corporation
        Description:    Server driver
        Product:        Microsoft« Windows« Operating System
        Prod version:   6.1.7601.17608
        File version:   6.1.7601.17608 (win7sp1_gdr.110428-1525)
        MachineType:    32-bit

C:\Windows\system32>
         

Hier weiss ich auch nicht weiter ohne noch enorm viel Zeit aufzuwenden. Für den Benutzer sollte dies aber keine Probleme verursachen, da Booten ja jetzt wieder normal geht.

20. Ich werde noch die Cleanup-Tools laufen lassen die du gepostet hast (und hoffe, die machen mir jetzt nichts mehr kaputt).

Danke für deine Hilfe.