XP: Windows Updates nicht möglich, andere Downloads können nicht abgeschlossen werden
 

Guten Tag zusammen,

Vorab: Das betroffene Laptop wird gewerblich und überwiegend von meiner Frau privat in einem kleinen Netzwerk genutzt. Ich bin Inhaber der Firma und habe keinen EDV- / Netzwerk-Admin oder Dergleichen. Ich hoffe unter diesem Umstand trotzdem auf eure Unterstützung.

Beim Versuch Windows- und Microsoft Updates durchzuführen habe gestern ich festgestellt, dass die Updates nicht geladen werden und der Rechner mit hoher Belastung läuft. Im Taskmanager habe ich festgestellt, dass ein svchost Prozess schwankend zwischen 30 % und 55% der CPU Leistung beansprucht.

Ich habe im Netz dazu recherchiert und daraufhin Scans mit Spybot und dem installierten Virenprogramm Panda durchgeführt, ohne dass diese Scans etwas zu Tage gefördert haben.

In der Ereignisanzeige habe ich diverse Fehlermeldungen gefunden, die nach meiner Auffassung auf Probleme oder Fehler in der Netzwerkverbindung deuten können.

Bei heutiger Recherche im Netz habe ich den Hinweis auf einen Scan mit dem Prozess Analyzer gefunden und durchgeführt. Dieser hat zwei Auffälligkeiten gefunden, die über svchost.exe für die hohe Belastung verantwortlich seinen könnten. Um Näheres über die auffälligen Dienste zu erfahren habe ich entsprechend dem Hinweis vom ProzessAnalyzer das Laptop mit SecurityTaskManger überprüft ohne daraus neue Erkenntnisse zu gewinnen. Einen Dienst konnte ich identifizieren und wollte den Dienst von automatisch auf manuell oder deaktiviert umstellen. Das war nicht möglich. Es erschien die Meldung Zugriff verweigert.

Dann habe ich einen Scan mit Hijackthis laufen lassen um den logfile hier zur Prüfung posten zu können. Der Anleitung habe ich entnommen, dass dieser log nicht aussagekräftig ist.

Im Anschluss habe ich wie in der Anleitung beschrieben deffogger, FRST und GMER drüberlaufen lassen. Bei Gmer kam eine Fehlermeldung.

In dem archive.zip bei gefügt habe ich Screenshots der Dienste und vom Prozessanalyzer sowie die Logfiles von HJT, defogger, FRST und GMER.

Sämtliche Programme habe ich mit einem anderen Rechner heruntergeladen und mittels USB-Stick auf dem betroffenen Laptop installiert. Downloads sind nicht möglich. Auch die Aktualisierung von Panda Signaturdateien von Panda funktioniert nicht.

Ich hoffe, hier kann mir jemand helfen. Vielen Dank im Voraus.

Hallo,

ja da läuft Malware..
Lass uns zuerst noch schauen, was der TDSSKiller sieht:


Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Zunächst erst mal herzlichen Dank.

TDSS Killer hat offenbar etwas gefunden.

logfile von TDSSKiller anbei

Ok.


Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
Vista und Win7 User mit Rechtsklick "als Administrator ausführen".

• Drücke auf Start Scan.
  Mache während des Scans nichts am Rechner!
• Gehe sicher, dass bei kkbzfwfa die Option Cure oder Delete (default) angehakt ist.
• Drücke Continue --> Reboot.
• TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
• Poste bitte den Inhalt dieses Logfiles in deinen Thread.

Alles erledigt.

Ich habe zwei neue Logfiles gefunden, die sind beigefügt.

Ok, dann bitte so weiter:


Schritt 1

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Combofix ist in der Installation stecken geblieben

siehe Screenshot

Dann schiess es ab, mach einen Neustart und dann MBAR:


Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Ich kann nicht abschließen, die Button im Installations-shield funktionieren nicht. Ich kann das Programm im Taskmanager beenden.

Ja, das meine ich. Danach neustarten.

Malwarebytes hat zwei Infekte gefunden.

hier die Logdatei

Der zweite Scan läuft gerade.

Kannst Du sagen was für Malware auf dem Laptop war, also in welcher Form Schaden angerichtet werden konnte?
Meine Frau betreibt u.a. das Onlinebanking von diesem Rechner.

Danke, Ulf

so beim zweiten Lauf hat Malwarebytes nichts mehr gefunden.

Hier das Logfile

War es das jetzt?
Nochmal die Frage, weißt Du ob ich mir wegen der Malware Sorgen machen muss und welche Schäden sie verursacht haben könnte?

Ulf

Hallo Ulf,

ich kann dir noch nicht genau sagen, was für Malware das war. Wir sollten noch weiter kontrollieren.


Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hallo Leo,

hier der Inhalt aus dem Logfile:
FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---


Ich muss für heute leider Schluss machen und hoffe es ist okay, wenn wir Morgen weitermachen?

Ulf

Guten Tag Leo,

ich bin wieder am Rechner und kann hier bis ca. 16.15 Uhr bleiben. Dann muss ich zu einem Termin.

Ich habe das Laptop gestartet: ohne Probleme

Die Serverlaufwerke sind erreichbar, die Internetverbindung funktioniert.
Dann habe ich probiert, ob Downloads vollständig funktionieren: Keine Probleme

Die Aktualisierung der Virensignatur von Panda Global Protection funktioniert auch wieder

Soweit hast offensichtlich eine Menge erreicht! Danke.

Anschließend habe ich probiert, ob das Windows-Update jetzt funktioniert: Leider Fehlanzeige.
Der Internet Explorer öffnet sich, es wird überprüft, ob die neueste Software für die Updates installiert ist. Auch noch ok. Nach dem Anklicken des Buttons "Schnellsuche" erscheint der Hinweis "Die neuesten für Ihren Computer Updates werden gesucht" der Balken mit dem grünen Lauf erscheint danach passiert nichts mehr.

Im Taskmanager finde ich 6 svchost.exe Prozesse von denen einer sporadisch die CPU bis zu 51% auslastet.

In der System Ereignisanzeige finde ich wieder diverse Fehler:
Der Reihe nach die neueste Meldung zuerst:

W32Time, Fehler
Eigenschaften:
Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 59 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

W32Time, Warnung:
Eigenschaften:
Der Zeitanbieter "NtpClient" konnte keinen Domänencontroller als Zeitquelle finden. Der Vorgang wird in 60 Minuten wiederholt.

Dnsapi, Warnung
Eigenschaften:
Die Ressourceneinträge für Host (A) konnten für den Netzwerkadapter
mit folgenden Einstellungen nicht registriert werden:

Adaptername : {2518234F-DA30-4305-9B25-B430A27642A0}
Hostname : Aagenau-02
Primäres Domänensuffix : aagenau.local
DNS-Serverliste :
192.168.199.254
Server, an den das Update gesendet wurde : <?>
IP-Adresse(n) :
192.168.199.108

Diese Ressourceneinträge konnten nicht registriert werden, weil der DNS-Server die Updateanforderung verweigert hat. Mögliche Ursachen sind: (a) Sie sind nicht dazu berechtigt den adapterspezifischen DNS-Domänenname zu aktualisieren. (b) Der autorisierende DNS-Server unterstützt das Protokoll für das dynamische DNS-Update nicht.

Wenden Sie sich an den DNS-Server- oder Netzwerksystemadministrator, um die Ressourceneinträge für den DNS-Host (A) mit dem spezifischen DNS-Domänennamen und IP-Adressen für diesen Adapter zu registrieren.

W32Time, Fehler:
Fehlereigenschaften:
Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 30 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

W32Time, Warnung
Eigenschaften:
Der Zeitanbieter "NtpClient" konnte keinen Domänencontroller als Zeitquelle finden. Der Vorgang wird in 30 Minuten wiederholt.

Windows Update Agent, Fehler
Fehlereigenschaften:
Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst "Automatische Updates" hergestellt werden, daher können Updates nicht nach dem angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht, eine Verbindung herzustellen.

W32Time, Fehler
Eigenschaften:
Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

W32Time, Fehler
Eigenschaften
Der Zeitanbieter "NtpClient" konnte keinen Domänencontroller als Zeitquelle finden. Der Vorgang wird in 15 Minuten wiederholt.

Netlogon, Fehler
Eigenschaften:
Es steht kein Domänencontroller für die Domäne AAGENAU aus folgendem Grund zur Verfügung:
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar. .
Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist, und versuchen Sie es erneut. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht.


W32Time, Fehler
Eigenschaften:
Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

W32Time, Warnung
Eigenschaften:
Der Zeitanbieter "NtpClient" konnte keinen Domänencontroller als Zeitquelle finden. Der Vorgang wird in 15 Minuten wiederholt.

MrxSmb, Fehler
Eigenschaften:
Der Suchdiensttreiber erhielt zu viele nicht erlaubte Datagramme vom Remotecomputer "SPEEDPORT.IP" zum Namen "AAGENAU-02" auf Transport "NetBT_Tcpip_{2518". Das Datagramm steht in den Daten. Es werden keine weiteren Ereignisse erzeugt, solange die Rücksetzfrequenz nicht abgelaufen ist.


5 mal MrxSmb Warnung
Eigenschaften:
Der Browser erhielt ein nicht zugelassenes Datagramm vom Remotecomputer "SPEEDPORT.IP" zum Namen "AAGENAU-02" auf dem Transport "NetBT_Tcpip_{2518". Daten: Datagramm.

Service Control Manager, Fehler
Eigenschaften:
Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst "Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

Service Control Manager, Fehler
Eigenschaften:
Der Dienst "Spybot-S&D 2 Security Center Service" wurde aufgrund folgenden Fehlers nicht gestartet:
Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.

Service Control Manager, Fehler
Eigenschaften:
Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Spybot-S&D 2 Security Center Service.

Server, Warnung
Eigenschaften:
Der Serverdienst konnte die Freigabe support nicht wiederherstellen, da das Verzeichnis C:\Programme\OpenVPN\support nicht mehr vorhanden ist. Führen Sie den Befehl "net share support /delete" aus, um die Freigabe zu löschen oder um das Verzeichnis C:\Programme\OpenVPN\support zu erstellen.

Hallo Ulf,

die grössten Probleme scheinen ja schon mal beseitigt zu sein. Wir kontrollieren noch weiter.


Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4

Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.