Avira Antivir funktioniert nicht mehr - updated auch nicht - sowie Windows Warnung
 

Guten Abend,

Seit vorgestern hab, ich das Problem mit zufälligen Bluescreens.

Ich muss dazu sagen, dass ich Windows 7 Starter auf einem HP mini 210 Netbook laufen habe.

Darüberhinaus lässt sich mein avira antivir guard nicht mehr aktivieren und updates gehen auch nicht mehr.

Heute hab ich dann folgende Überraschung erlebt:

Es erschien die Fehlermeldung: "Möglicherweise sind Sie einer Softwarefälschung zum Opfer gefallen"

Was aber nicht sein kann Windows 7 Starter war ja schon vorinstalliert bezogen vom roten Elektrofachmarkt MM.


Es gab da schon mal einen Thread bei dem der Ersteller mit den selben Symptomen zu kämpfen hatte:

http://www.trojaner-board.de/89006-v...geht-mehr.html

Dort wurde vorgeschlagen WVCheck und MGADiag.exe zu laden und auszuführen.

Ich weiss ich sollte normalerweise erst auf Anweisungen von eurem Team warten, aber in dem Fall weils identisch ist und ja keine änderungen wie bei combo fix etc vorgenommen werden, dachte ich mir ich arbeite schon mal vor.

WVChceck konnte ich nicht ausführen und bei MGADiag kam das raus:

Diagnostic Report (1.9.0027.0):
-----------------------------------------
Windows Validation Data-->

Validation Code: 50
Cached Online Validation Code: N/A, hr = 0xc004f012
Windows Product Key: *****-*****-6DHR7-X99PJ-3FGDB
Windows Product Key Hash: QeXBTi1VsLHgVi2/T3o9Gqd7mLo=
Windows Product ID: 00342-OEM-8992752-30008
Windows Product ID Type: 2
Windows License Type: OEM SLP
Windows OS version: 6.1.7601.2.00010300.1.0.011
ID: {C01F2C8D-0A3B-4C1C-B0DD-1BBABB346D6F}(4)
Is Admin: No
TestCab: 0x0
LegitcheckControl ActiveX: N/A, hr = 0x80070002
Signed By: N/A, hr = 0x80070002
Product Name: Windows 7 Starter
Architecture: 0x00000000
Build lab: 7601.win7sp1_gdr.110622-1506
TTS Error: T:20111128013827109-
Validation Diagnostic:
Resolution Status: N/A

Vista WgaER Data-->
ThreatID(s): N/A, hr = 0x80070002
Version: N/A, hr = 0x80070002

Windows XP Notifications Data-->
Cached Result: N/A, hr = 0x80070002
File Exists: No
Version: N/A, hr = 0x80070002
WgaTray.exe Signed By: N/A, hr = 0x80070002
WgaLogon.dll Signed By: N/A, hr = 0x80070002

OGA Notifications Data-->
Cached Result: N/A, hr = 0x80070002
Version: N/A, hr = 0x80070002
OGAExec.exe Signed By: N/A, hr = 0x80070002
OGAAddin.dll Signed By: N/A, hr = 0x80070002

OGA Data-->
Office Status: 114 Blocked VLK 2
Microsoft Office Professional Edition 2003 - 114 Blocked VLK 2
OGA Version: N/A, 0x80070002
Signed By: N/A, hr = 0x80070002
Office Diagnostics: FCEE394C-458-800703e6_025D1FF3-344-800703e6_025D1FF3-229-800703e6_025D1FF3-230-1_025D1FF3-517-80040154_025D1FF3-237-80040154_025D1FF3-238-2_025D1FF3-244-80070002_025D1FF3-258-3

Browser Data-->
Proxy settings: N/A
User Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32)
Default Browser: C:\Program Files\Mozilla Firefox\firefox.exe
Download signed ActiveX controls: Prompt
Download unsigned ActiveX controls: Disabled
Run ActiveX controls and plug-ins: Allowed
Initialize and script ActiveX controls not marked as safe: Disabled
Allow scripting of Internet Explorer Webbrowser control: Disabled
Active scripting: Allowed
Script ActiveX controls marked as safe for scripting: Allowed

File Scan Data-->
File Mismatch: C:\Windows\system32\wat\watadminsvc.exe[Hr = 0x80070003]
File Mismatch: C:\Windows\system32\wat\npwatweb.dll[Hr = 0x80070003]
File Mismatch: C:\Windows\system32\wat\watux.exe[Hr = 0x80070003]
File Mismatch: C:\Windows\system32\wat\watweb.dll[Hr = 0x80070003]
File Mismatch: C:\Windows\system32\sppcext.dll[6.1.7600.16385], Hr = 0x800b0100
File Mismatch: C:\Windows\system32\slcext.dll[6.1.7600.16385], Hr = 0x800b0100
File Mismatch: C:\Windows\system32\drivers\spsys.sys[6.1.7127.0], Hr = 0x800b0100

Other data-->
Office Details: <GenuineResults><MachineData><UGUID>{C01F2C8D-0A3B-4C1C-B0DD-1BBABB346D6F}</UGUID><Version>1.9.0027.0</Version><OS>6.1.7601.2.00010300.1.0.011</OS><Architecture>x32</Architecture><PKey>*****-*****-*****-*****-3FGDB</PKey><PID>00342-OEM-8992752-30008</PID><PIDType>2</PIDType><SID>S-1-5-21-4102476539-3461679999-2792589953</SID><SYSTEM/><BIOS/><HWID>B3E00D00018400F4</HWID><UserLCID>0407</UserLCID><SystemLCID>0407</SystemLCID><TimeZone>Mitteleuropäische Zeit(GMT+01:00)</TimeZone><iJoin>0</iJoin><SBID><stat>3</stat><msppid></msppid><name></name><model></model></SBID><OEM><OEMID>HPQOEM</OEMID><OEMTableID>SLIC-MPC</OEMTableID></OEM><GANotification/></MachineData><Software><Office><Result>114</Result><Products><Product GUID="{90110407-6000-11D3-8CFE-0150048383C9}"><LegitResult>114</LegitResult><Name>Microsoft Office Professional Edition 2003</Name><Ver>11</Ver><Val>59D1605114E3500</Val><Hash>vfZmaSmFPIYrLWTcZSZErUQg+Fo=</Hash><Pid>73932-640-0000106-57682</Pid><PidType>14</PidType></Product></Products><Applications><App Id="15" Version="11" Result="114"/><App Id="16" Version="11" Result="114"/><App Id="18" Version="11" Result="114"/><App Id="19" Version="11" Result="114"/><App Id="1A" Version="11" Result="114"/><App Id="1B" Version="11" Result="114"/><App Id="44" Version="11" Result="114"/></Applications></Office></Software></GenuineResults>

Spsys.log Content: U1BMRwEAAAAAAQAABAAAAMQpAAAAAAAAYWECAEgtpY19aRcLZq3MAWbXGpOihAOpMHzDmWxsjuoLkCYgVlA+trYbSPc/P0F+CIFrhjWlWq84L0ozF6lpXDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY 1oDDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1stzrqx+w3WN aAx4dZsxs/sxaQSZh6DCEuBHjsLx04oPts2st7Nx9OY7IZEB5+o7kbqvo8YXlqqR+U0zkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vW y3OurH7DdY1oDDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1s tzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgM

Licensing Data-->
Führen Sie auf einem Computer unter Microsoft Windows (keine Core Edition) "slui.exe 0x2a 0x1A8" aus, um den Fehlertext anzuzeigen.
Fehler: 0x1A8

Windows Activation Technologies-->
HrOffline: 0x00000000
HrOnline: N/A
HealthStatus: 0x0000000000000000
Event Time Stamp: N/A
ActiveX: Not Registered - 0x80040154
Admin Service: Not Registered - 0x80040154
HealthStatus Bitmask Output:


HWID Data-->
HWID Hash Current: KgAAAAAAAQABAAIAAAABAAAAAQABAAEAJJTWtx64uhPonrJM8huuCnIZ

OEM Activation 1.0 Data-->
N/A

OEM Activation 2.0 Data-->
BIOS valid for OA 2.0: yes
Windows marker version: 0x20001
OEMID and OEMTableID Consistent: yes
BIOS Information:
ACPI Table Name OEMID Value OEMTableID Value
APIC HPQOEM SLIC-MPC
FACP HP SLIC-MPC
HPET HPQOEM SLIC-MPC
BOOT HPQOEM SLIC-MPC
MCFG HPQOEM SLIC-MPC
SSDT PmRef CpuPm
SLIC HPQOEM SLIC-MPC


Ich hoffe mir kann jemand weiterhelfen

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden
• Sollte ich innerhalb der nächsten 3 Tage keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Schritt 1

Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.scr
dds.pif

• Schließe alle laufenden Programme.
• Starte DDS mit Doppelklick.
• Es wird 2 Logfiles erstellen.
  • dds.txt
  • attach.txt
• Speichere beide Logfiles auf deinem Desktop
• Poste beide Logfiles hier.

Bitte poste in deiner nächsten Antwort
dds.txt
attach.txt

Hallo,

danke Daniel, dass du mir mit den Problemen hilfst.


Inhalt vom DDS.txt


Attach.txt

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Hallo hat gedauert weil windows immer wieder neustartet, musst daher erst die internet verbindung deaktivieren:

Ist Windows denn aktiviert auch ? Laut MGA Diag sieht das nicht so aus.

Befolge mal diese Schritte
http://windows.microsoft.com/de-AT/w...-this-computer

Hallo,

so bin wieder da hat erstmal gedauert den key zu finden, ist bei dem netbook ganz unter der aku abdeckung.

Aber wollte auch ungern meinen cd key eingeben, da ich ja genau weiss das es eine echte legale win 7 starter edition ist und ich ungern will, dass der von einem bösartigen programm aufgezeichnet wird beim eingeben.

Gut hab ich jetzt trotzdem gemacht aber komm nicht weiter.

Können wir nicht einfach weiter machen mit der Beseitigung

Bild im Anhang.

MfG

Stefan

Wende dich mal an den Windows Support. Das nicht mein Gebiet :)

Schicke mir, wenn du dort fertig bist, kurz ne PM, dann machen wir hier weiter