Windows 7 - 80072EFE - kein Windows Update mehr möglich
 

Hallo,
nach der Virenentfernung durch Maleware Antibytes ist nun kein Windows Update mehr möglich. Es erscheint der Fehlercode 80072EFE.

Der Suchlauf mit Avira Antivir hat danach auch nichts mehr angezeigt.

Wäre super wenn ihr mir helfen könntet....

Schonmal Danke im voraus!

Anbei die Logdateien von Hijack, OTL, GMER....

Anhang 8362

Anhang 8363

Anhang 8364

Anhang 8365

....niemand eine Idee?

Die Logs von Malwarebytes fehlen. Poste alle, falls es mehrere sind.

Hi und erstmal Danke für die Antwort.

Hier noch die Maleware Antibytes Logdatei:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4461

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

22.08.2010 15:10:53
mbam-log-2010-08-22 (15-10-53).txt

Art des Suchlaufs: Vollst‰ndiger Suchlauf (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 220614
Laufzeit: 39 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl¸ssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungsschl¸ssel:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{09e620d1-bfba-56f4-17ad-c3a650c9b567} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bˆsartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Fam\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\1bbdd3ac-18b581b0 (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Fam\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\43154c6d-28a8c306 (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\0.14551134420146095.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\Users\Fam\AppData\Roaming\usernt.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Fam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\syscron.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Fam\AppData\Roaming\Ubheq\dexe.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Sind da noch mehr?

Der Durchlauf ist aber auch schon fast ne Woche her. Mach bitte einen neuen vollständigen Scan mit Malwarebytes. Update von Malwarebytes vorher nicht vergessen!!

Die neuen Suchlaufe (mit vorigem Update) finden nicht infiziertes mehr....Ich denke mal der PC ist Viren/Spywarefrei.....Ist es nicht möglich, dass ein Virus irgendwie die Updatefunktion ausgeschalten hat und ich sie jetzt irgendwie wieder einschalten kann?

Dass der Rechner jetzt virenfrei ist würde so nicht behaupten. Nicht ohne Kontrolle. mach bitte neue OTL-Logs:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hi,
anbei die Logs.....wäre Klasse wenn du was finden würdest.

Danke schonmal ;)

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

....anbei die Log



All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Low Rights\ not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Fam
->Temp folder emptied: 22539263 bytes
->Temporary Internet Files folder emptied: 18322017 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 36578133 bytes
->Flash cache emptied: 71178 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 12174 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 74,00 mb


OTL by OldTimer - Version 3.2.10.0 log created on 08282010_164004

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hi anbei die Log.

Das Update funktioniert jetzt wieder, Vielen Vielen Dank. Jetzt müsste der PC Virenfrei sein oder?

Kannst du mir sagen was das für ein Virus war? Wie kann man sich mal abgesehen von Firewall und Virenscanner vor sowas schützen?

Nein, man muss noch Kontrollscans machen, selbst dann ist aber nicht 100% sicher, dass der Rechner sauber ist, weil es keine 100% Sicherheit gibt.
Und nach Durchsicht des CF-Logs ist noch einiges drin, da müssen wir noch was tun:


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ok...

anbei die Log. Musste sie wegen Uploadgröße auf zwei Dateien splitten.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hi, anbei die Dateien....