Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   Windows 7 - Total vermurxt - Die Herausforderung (https://www.trojaner-board.de/170986-windows-7-total-vermurxt-herausforderung.html)

tesla2012 11.09.2015 12:15
Windows 7 - Total vermurxt - Die Herausforderung
 
Hallo,

vor ein paar Tagen erhielt ich einen Windows 7 Home Premium Aldi PC in meine Finger. Die Besitzerin klagt darüber dass das Windows Backup und die Windows Firewall nicht mehr gehen und beim Avira der Regenschirm geschlossen bleibt. Ich soll auf Viren überprüfen. :heulen:

Die Besitzerin des Computers hat zuvor selbst allerlei Windows Fixit, CCleaner und sonst etwas drüberlaufen lassen. Mit zwei LiveCDs (Kaspersky+Avira) keine Infektion feststellbar (paar .vir Dateien), allerdings defekte Sektoren auf der Festapltte.

Der Dienst "Basisfiltermodul" ließ sich nicht starten (zugriff verweigert), Firewall Dienst aus. Durch Google eine Lösung gefunden wo bei der Regestrie an zwei Stellen man die Rechte anpassen musste und so starte das Basisfiltermodul wieder und Windows Firewall war auch wieder da. Alle Windows Firewall Regeln fehlten und so hab ich diese neu reinimportiert da Reset nichts brachte.

Die Dienste Windows Module Installer, Windows Search, Windows Defender, Windows Update haben noch macken.

Sfc /scannow liefert "Resourcenschutz kann nicht gestartet werden

Nach sehr langem Googeln musste händisch in der Registrierung so eine ID Nummer aus dem WinSXS Verzeichnis da eingetragen werden und schon ging es ein klein wenig weiter

SFC /scannow liefert nun nach wenigen Sekunden das es defekte Dateien gefunden hat aber nichts reparieren kann. Aus der Log Datei würde man mehr erfahren. Ich werde daraus aber nicht wirklich schlauch

Code:
2015-09-11 12:37:40, Info                  CBS    Starting TrustedInstaller initialization.
2015-09-11 12:37:40, Info                  CBS    Loaded Servicing Stack v6.1.7601.18766 with Core: C:\Windows\winsxs\x86_microsoft-windows-servicingstack_31bf3856ad364e35_6.1.7601.18766_none_0b32a93025b365c1\cbscore.dll
2015-09-11 12:37:40, Info                  CSI    00000001@2015/9/11:10:37:40.791 WcpInitialize (wcp.dll version 0.0.0.6) called (stack @0x63a1dec9 @0x63e95d96 @0x63e720c3 @0xc41c99 @0xc41236 @0x75e175a8)
2015-09-11 12:37:40, Info                  CSI    00000002@2015/9/11:10:37:40.794 WcpInitialize (wcp.dll version 0.0.0.6) called (stack @0x63a1dec9 @0x63ed7183 @0x63ed4013 @0xc41c99 @0xc41236 @0x75e175a8)
2015-09-11 12:37:40, Info                  CSI    00000003@2015/9/11:10:37:40.794 WcpInitialize (wcp.dll version 0.0.0.6) called (stack @0x63a1dec9 @0x71f14bc8 @0x71f154a6 @0xc41327 @0xc41245 @0x75e175a8)
2015-09-11 12:37:40, Info                  CBS    Ending TrustedInstaller initialization.
2015-09-11 12:37:40, Info                  CBS    Starting the TrustedInstaller main loop.
2015-09-11 12:37:40, Info                  CBS    TrustedInstaller service starts successfully.
2015-09-11 12:37:40, Info                  CBS    SQM: Initializing online with Windows opt-in: False
2015-09-11 12:37:40, Info                  CBS    SQM: Cleaning up report files older than 10 days.
2015-09-11 12:37:40, Info                  CBS    SQM: Requesting upload of all unsent reports.
2015-09-11 12:37:40, Info                  CBS    SQM: Failed to start upload with file pattern: C:\Windows\servicing\sqm\*_std.sqm, flags: 0x2 [HRESULT = 0x80004005 - E_FAIL]
2015-09-11 12:37:40, Info                  CBS    SQM: Failed to start standard sample upload. [HRESULT = 0x80004005 - E_FAIL]
2015-09-11 12:37:40, Info                  CBS    SQM: Queued 0 file(s) for upload with pattern: C:\Windows\servicing\sqm\*_all.sqm, flags: 0x6
2015-09-11 12:37:40, Info                  CBS    SQM: Warning: Failed to upload all unsent reports. [HRESULT = 0x80004005 - E_FAIL]
2015-09-11 12:37:40, Info                  CBS    No startup processing required, TrustedInstaller service was not set as autostart, or else a reboot is still pending.
2015-09-11 12:37:40, Info                  CBS    NonStart: Checking to ensure startup processing was not required.
2015-09-11 12:37:40, Info                  CSI    00000004 IAdvancedInstallerAwareStore_ResolvePendingTransactions (call 1) (flags = 00000004, progress = NULL, phase = 0, pdwDisposition = @0xddfb9c
2015-09-11 12:37:40, Info                  CSI    00000005 Creating NT transaction (seq 1), objectname [6]"(null)"
2015-09-11 12:37:40, Info                  CSI    00000006 Created NT transaction (seq 1) result 0x00000000, handle @0x1c8
2015-09-11 12:37:40, Info                  CSI    00000007@2015/9/11:10:37:40.848 CSI perf trace:
CSIPERF:TXCOMMIT;1032
2015-09-11 12:37:40, Info                  CBS    NonStart: Success, startup processing not required as expected.
2015-09-11 12:37:40, Info                  CBS    Startup processing thread terminated normally
2015-09-11 12:37:40, Info                  CSI    00000008 CSI Store 3720448 (0x0038c500) initialized
2015-09-11 12:37:43, Info                  CSI    00000009 [SR] Verifying 100 (0x00000064) components
2015-09-11 12:37:43, Info                  CSI    0000000a [SR] Beginning Verify and Repair transaction
2015-09-11 12:37:44, Error                CSI    0000000b (F) STATUS_OBJECT_NAME_NOT_FOUND #544966# from Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile(flags = (AllowSharingViolation), handle = {provider=NULL, handle=0}, da = (SYNCHRONIZE|FILE_READ_ATTRIBUTES), oa = @0x34e044->OBJECT_ATTRIBUTES {s:24; rd:NULL; on:[95]"\??\C:\Windows\WinSxS\msil_jsc.resources_b03f5f7f11d50a3a_6.1.7601.18523_de-de_64a73679b4f25753"; a:(OBJ_CASE_INSENSITIVE)}, iosb = @0x34e064, as = (null), fa = 0, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), cd = FILE_OPEN, co = (FILE_SYNCHRONOUS_IO_NONALERT|0x00004000), eab = NULL, eal = 0, disp = Invalid)
[gle=0xd0000034]
2015-09-11 12:37:44, Error                CSI    0000000c@2015/9/11:10:37:44.099 (F) d:\win7sp1_gdr\base\wcp\sil\merged\ntu\ntsystem.cpp(2057): Error STATUS_OBJECT_NAME_NOT_FOUND originated in function Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile expression: (null)
[gle=0x80004005]
2015-09-11 12:37:44, Error                CSI    0000000d (F) STATUS_OBJECT_NAME_NOT_FOUND #544965# from Windows::Rtl::SystemImplementation::CDirectory::OpenExistingDirectory(...)[gle=0xd0000034]
2015-09-11 12:37:44, Error                CSI    0000000e (F) STATUS_OBJECT_NAME_NOT_FOUND #544964# from Windows::Rtl::SystemImplementation::CDirectory_IRtlDirectoryTearoff::OpenExistingDirectory(flags = 0, da = (SYNCHRONIZE), oa = @0x34e428->SIL_OBJECT_ATTRIBUTES {s:20; on:"msil_jsc.resources_b03f5f7f11d50a3a_6.1.7601.18523_de-de_64a73679b4f25753"; a:(OBJ_CASE_INSENSITIVE)}, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), oo = (FILE_DIRECTORY_FILE|FILE_SYNCHRONOUS_IO_NONALERT|FILE_OPEN_FOR_BACKUP_INTENT), dir = NULL, disp = Invalid)
[gle=0xd0000034]
2015-09-11 12:42:14, Info                  CSI    0000000f [SR] Verifying 100 (0x00000064) components
2015-09-11 12:42:14, Info                  CSI    00000010 [SR] Beginning Verify and Repair transaction
2015-09-11 12:42:14, Error                CSI    00000011 (F) STATUS_OBJECT_NAME_NOT_FOUND #1089856# from Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile(flags = (AllowSharingViolation), handle = {provider=NULL, handle=0}, da = (SYNCHRONIZE|FILE_READ_ATTRIBUTES), oa = @0xebdfa4->OBJECT_ATTRIBUTES {s:24; rd:NULL; on:[95]"\??\C:\Windows\WinSxS\msil_jsc.resources_b03f5f7f11d50a3a_6.1.7601.18523_de-de_64a73679b4f25753"; a:(OBJ_CASE_INSENSITIVE)}, iosb = @0xebdfc4, as = (null), fa = 0, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), cd = FILE_OPEN, co = (FILE_SYNCHRONOUS_IO_NONALERT|0x00004000), eab = NULL, eal = 0, disp = Invalid)
[gle=0xd0000034]
2015-09-11 12:42:14, Error                CSI    00000012@2015/9/11:10:42:14.216 (F) d:\win7sp1_gdr\base\wcp\sil\merged\ntu\ntsystem.cpp(2057): Error STATUS_OBJECT_NAME_NOT_FOUND originated in function Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile expression: (null)
[gle=0x80004005]
2015-09-11 12:42:14, Error                CSI    00000013 (F) STATUS_OBJECT_NAME_NOT_FOUND #1089855# from Windows::Rtl::SystemImplementation::CDirectory::OpenExistingDirectory(...)[gle=0xd0000034]
2015-09-11 12:42:14, Error                CSI    00000014 (F) STATUS_OBJECT_NAME_NOT_FOUND #1089854# from Windows::Rtl::SystemImplementation::CDirectory_IRtlDirectoryTearoff::OpenExistingDirectory(flags = 0, da = (SYNCHRONIZE), oa = @0xebe388->SIL_OBJECT_ATTRIBUTES {s:20; on:"msil_jsc.resources_b03f5f7f11d50a3a_6.1.7601.18523_de-de_64a73679b4f25753"; a:(OBJ_CASE_INSENSITIVE)}, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), oo = (FILE_DIRECTORY_FILE|FILE_SYNCHRONOUS_IO_NONALERT|FILE_OPEN_FOR_BACKUP_INTENT), dir = NULL, disp = Invalid)
[gle=0xd0000034]

Sfc mit diesen Offwindir etc. ausgeführt über die CD Console oder auf einer anderen Festplatte installierte selbe Windows bringt nur die Meldung das es nicht gestartet werden kann.

Ein drüberinstallieren via Upgrade läuft soweit durch, nach dem Neustart kommt die Meldung dass das Upgrade fehlgeschlagen sei und der alte Zustand zurückgesetzt wird.

Bei der Systemwiederherstellung ist der jüngste Punkt aus dem Jahr 2011. Während meiner Aktivität hat er keine neuen angelegt. Das vermurxte Windows wurde auf eine neue Festplatte gespiegelt.


Kaputt sind immer noch

Windows Update (Dienst ist gestartet), aber programm selbst meint "Windows Update kann derzeit nicht nach Updates suchen da der Dienst nicht ausgeführt wird"

Windows Defender (Dienst lässt sich händisch starten), programm aber meint "Der Dienst dieses Programms wurde aufgrund eines Problems angehalten, klicken sie auf jetzt starten". Passieren tut dabei aber nichts.

Windows Module Installer (Dienst ist gestartet), doppelklick z.B. auf Microsoft Fixit 50784 liefert "Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Ein für den Abschluss der Installation erforderliches Skript konnte nicht ausgeführt werden.

Mit einer anderen Festplatte auf diesem Computer neu installierte selbe Windows mit allen Updates. Habe Dateien vom System32 Verzeichnis zu dem defekten Windows kopiert um fehlende Dateien so zu ergänzen. 3 DLLs unterschied, aber brachte sonst auch nichts.


Ich vermute das Hauptübel ist die Windows Registrierung weil ich nur bei Anpassungen von der kleine schritte weiter gekommen bin. Nach gut Dünken habe ich von dem intakten Windows diverse Schlüsses exportiert und in das defekte importiert. Aber nun bin ich am ende mit meinem Latain.

Jemand noch eine Idee, außer Neu installieren :rolleyes:

Achja, in der Ereignisanzeige steht

Anwendungen: CAPI2, Vom Kryptograpfiedienst konnte die Katalogdatenbank nicht initalisiert werden ESENT Fehler 583

Anwendung: Search, Der Jet-Eigenschaftenspeicher kann von Windows Search nicht geöffnet werden. 0x800411f Der Inhaltsindexserver kann wegen eines Datenbankfehlers keine Daten aktualisieren oder auf sie zugriefen.

Installationen: (probiert ein Windows Updatepack zu installieren), Das Windows Update koinnte aufgrund eines Fehlers nicht installiert werden 3355443783

System: Diesnst "Windows Search wurde unerwartet beendet. Dies ist bereits 11mal passiert

System: Der Dienst Windows Defender wurde mit folgendem Fehler beendet %%-1906441657

Avenger77 11.09.2015 12:30
Hi,

also wenn BFE.sys im Arsc. ist, dann heisst das schon mal nix Gutes. Dann war das kein "normaler" Virus!
Beim letzten Fall hier im Board wurde da nach langem hin und her ein Inplace-Upgrade / Reparaturinstallation empfohlen bzw. sofortiges Neuaufsetzen.

Hier ist das falsche Subforum:
Bitte mache hier Plagegeister aller Art und deren Bekämpfung - Trojaner-Board

einen neuen Thread auf.

Das dürfte was für schrauber sein :party:

Füge dort die Scan-Logs an, in Tags (#-Button), die Du bereits getätigt hast.
Zusätzlich mache bitte FRST (als Admin ausführen!):
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


purzelbär 11.09.2015 12:50
So wie sich das liest, kann man sich nur Avenger77 anschliessen und dazu raten eine Datensicherung Privater Daten zu machen, evtl. gleich eine neue Festplatte kaufen und dann Windows 7 mit Programmen, Browser usw. komplett neu auf die neue Festplatte installieren.

burningice 11.09.2015 13:42
Ja bitte mal wie Avenger gesagt hat einen neuen Thread eröffnen und da FRST posten :)

Das Helfen ist aber privat und nicht gewerblich oder?

tesla2012 11.09.2015 14:27
Zitat:
Das Helfen ist aber privat und nicht gewerblich oder?
Welcher gewerbliche würde an so einem System 4 Tage herumdoktern? Ist ein privatvergnügen.

Ich hab mal den WinSxS Order von intakten Windows in das defekte kopiert. Nun läuft SFC bis 95% durch und bricht dann ab.

Ich lass es gut sein und mach die Neuinstallation. In einem anderen Forum wurde leider zu 100% auch auf die Neuinstallation geraten.

burningice 11.09.2015 14:30
Wir haben dir hier nicht zur Neuinstallation geraten, wir wissen ja nicht genau was passiert ist :) Wir möchten nur erst ausschließen, dass nicht Malware an deinem PC schuld ist.

Dafür brauchen wir einen FRST Log von dir, und wenn es später um die Systemdateien geht, können wir anhand von Logs schauen, ob das System zu retten ist :)

Avenger77 11.09.2015 15:46
tesla:
Falls Du ohne FRST/Bereinigung selber weitermachen willst und neu aufsetzt:

Denk dran, den MBR zu überschreiben - falls eine bestimmte Sorte Schädling für die Schieflage verantwortlich war:
Code:
bootrec /FixMbr
Code:
bootrec /FixBoot
Das sind die 2 Befehle für cmd.exe
Denk dran, dies nur zu machen, wenn Du eine Installations-DVD hast.
Ist das ein Laptop mit Recovery Partition ohne Installations DVD, dann wird diese danach nicht mehr funktionieren!

tesla2012 11.09.2015 16:01
Hallo, wie vorgeschlagen habe ich dort die Loggs hinterlassen

http://www.trojaner-board.de/170990-...-sadomaso.html

Ich habe von dem Jetzt Zustand ein Backup gemacht. Spaßeshalber probiere ich nun ein Upgrade auf Windows 10

burningice 11.09.2015 16:38
nein bitte lass das, du hast eine schwere Infektion auf dem Rechner, folge den Anweisungen von Schrauber - das bekommt man wohl schon wieder hin ;)

Das geht aber nur, wenn du derweil keine sonstigen Veränderungen am System vornimmst :daumenhoc

tesla2012 11.09.2015 17:35
Windows 10 aufspielen geht auch nicht. Nach dem Download und der Überprüfung kommt nur die Meldung "Es ist ein Problem aufgetreten". :lach:

Deathkid535 11.09.2015 17:44
Die Logs schauen ja mal schlimm aus :D. Ich hab schrauber mal gefragt ob ich dich haben kann (endlich mal eine coole Infektion) :)

tesla2012 11.09.2015 17:57
Fear the Walking Windows :lach:

burningice 11.09.2015 19:18
Tesla ich beneide gerade Deathkid dass er dich bearbeiten darf. Da hast echt was spannendes :D

(Bitte die Frst.txt aufsplitten und geteilt Posten damit es weiter geht :daumenhoc) *popcorn in mikrowelle schieb*

tesla2012 11.09.2015 20:36
Das Problem hat sich erledigt. Ich hab den Computer nun platt gemacht. War einfach zu viel Computer-Sadomaso.

Aldi war so nett und hat auf der zweiten Partition die Treiber und die beigefügte Software hinterlegt, unter anderem Corel Draw Essentials 3. Als ich das gerade instellieren wollte, meckert das Installationsprogramm das eine CAB Datei fehlt. Die alte Festplatte muss wohl Datenlöchrig wie ein Schweizer Käse gewesen sein. Vermutlich wird nach dem selben Schema auch irgendwelche Systemdateien oder teile der Windowsregistrierung so in Mitleidenschaft gezogen worden sein.

Danke für die Bemühungen :)

Avenger77 11.09.2015 21:52
Ich hoffe Du liest das da noch!
Da waren ja Dutzende Treiber und Bibliotheken nicht signiert! :wtf:

Hast Du den MBR überschrieben?
Sonst = Ohne das besteht die grosse Gefahr, dass der Urheber des Ganzen überlebt hat!


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:09 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131