Windowsupdate Immer Inaktiv... obwohl der Dienst zu laufen scheint!
#16
geschrieben 21. Oktober 2004 - 19:55
Die Signatur ist verloren gegangen.
Anzeige
#17 _moep_
geschrieben 21. Oktober 2004 - 19:58
So habe ich das verstanden
Dieser Beitrag wurde von moep bearbeitet: 21. Oktober 2004 - 19:59
#18
geschrieben 21. Oktober 2004 - 20:01
Zitat (moep: 21.10.2004, 15:10)
<{POST_SNAPBACK}>
LOL
Geht mir heute genauso Sorry
Die Signatur ist verloren gegangen.
#19 _moep_
geschrieben 21. Oktober 2004 - 20:04
@Rehleinkiller was meinst du mit
Zitat:"Falsch!"
@staneck2004
Zitat
Ich möchte mich 21000000mal entschuldigen *G*!
Ne ich hab vergessen das es das hier auch gibt!
Achso gut hatte irgendwie keinen Zusammenhang ich dachte das falsch wäre ernst gemeint und irgendjmd. hat was gesagt was nicht stimmt.
Dieser Beitrag wurde von moep bearbeitet: 21. Oktober 2004 - 20:11
#20
geschrieben 21. Oktober 2004 - 20:06
Ich möchte mich 21000000mal entschuldigen *G*!
Ne ich hab vergessen das es das hier auch gibt!
#21
geschrieben 21. Oktober 2004 - 20:23
Zitat (staneck2004: 21.10.2004, 21:06)
Ich möchte mich 21000000mal entschuldigen *G*!
Ne ich hab vergessen das es das hier auch gibt!
<{POST_SNAPBACK}>
Na ist doch nicht schlimm! Aber wenn wir es hier haben können wir's doch auch verlinken...
@moep: Das meinte ich damit!
#22
geschrieben 22. Oktober 2004 - 04:27
Zitat (moep: 21.10.204,20:58)
Also so wie ich das jetzt sehe hat sich immer noch nicht so ganz geklärt, ob er denn jetzt Updates bekommt oder nicht (oder bin ich jetzt etwa auch zu doof zum lesen)
Dieser Beitrag wurde von -=TheSuicider=- bearbeitet: 22. Oktober 2004 - 04:28
#23
geschrieben 22. Oktober 2004 - 07:44
Steht der Dienst für die Automatischen Updates auf Automatic und ist er gestartet ?
Unbedingt auch den Rechner mal prüfen, ob sich Malware/Viren/Trojaner eingenistet haben, die für den Effekt verantwortlich sein könnten.
Mal darüber nachdenken, wenn "Naive Leute" am rechner rumspielen, ob es nicht Sinn macht, Benutzerkonten mit eingeschränkten Rechten zu verwenden, damit nieman etwas verändern kann, der das nich darf.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#24
geschrieben 22. Oktober 2004 - 08:31
Der rechner hat einen Sasser.A draufgehabt, den ich entfernt habe, mit folgenden Virenscannern habe ich gescannt: Trendmicro Sysclean, Stinger und Free-AV. Die Systemwiederherstellung habe ich deaktiviert... Ich habe den Rechner schon mit CWS-Shredder und Hijack this behandelt, ad-aware 1.05 und Spybot 1.3 durchlaufen lassen, die Registry mit MS Regclean bereinigt. Tempfiles und Internet-Cache gelöscht... Der Updatedienst läuft nicht...
HiJackThis Log:
Logfile of HijackThis v1.97.7
Scan saved at 09:40:34, on 22.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\svcxnv32.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Freecom SYNC\FCSYNC.exe
C:\Programme\iPass\iPassConnect Bluewin Traveller Package\IPassConnectGUI.exe
C:\Programme\MoneyPen\MoneyPen.exe
C:\Programme\Palm\HOTSYNC.EXE
E:\Tools & Progs\Antivirus\HiJackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netsc.../winsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.de.netscape.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netsc...nsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netsc.../winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.de.netscape.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netsc.../winsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.ne....com/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.bluewin.ch"); (C:\Programme\Netscape\Users\hermann_furrer\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\Run: [IPConfig] svcxnv32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IPConfig] svcxnv32.exe
O4 - Startup: HotSync Manager.LNK = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Freecom SYNC.lnk = C:\Programme\Freecom SYNC\FCSYNC.exe
O4 - Global Startup: HotSync Manager 2.0.lnk = C:\pilot\hotsync.exe
O4 - Global Startup: iPassConnect Bluewin Traveller Package.lnk = C:\Programme\iPass\iPassConnect Bluewin Traveller Package\IPassConnectGUI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MoneyPen.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programme\Netscape\Communicator\Program\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://protect.microsoft.com/security/prot...b?1097142642972
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094061905342
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1....g/GoogleNav.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/...AB?37875.220625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab
Wäre toll wenn jemand etwas dazu weiss!
Gruss LOBSI
Dieser Beitrag wurde von LOBSI bearbeitet: 22. Oktober 2004 - 08:41
#25
geschrieben 22. Oktober 2004 - 09:01
Regsvr32 c:\windows\system32\wuauserv.dll
Die dll wird geladen aber der dllRegisterServer-Eingangspunkt wurde nicht gefunden
Diese Datei kann nicht registriert werden...
#26
geschrieben 22. Oktober 2004 - 09:03
Zitat
Ja, da hat ja das Security Center ja recht, das das WAU inaktiv ist. Dem Teil in der Systemsteuerung und in System ist es übrigens vollkommen egal, ob der Dienst läuft oder nicht - konfigurieren kann man auch ein abgeschaltetes WAU.
Gut, dann müsste man sich jetzt ersteinmal um den Dienst kümmern. Wenn Du diesen manuell startest (Systemsteuerung -> Computer -> Dienste), gibt es eine Fehlermeldung oder einen Eintrag in der Ereignisanzeige?
Dein Logfile sieht auch gut aus:
svcxnv32.exe -> Trojaner
BackWeb-8876480.exe -> Böse Spyware/Trojaner
Ein paar Registryeinträge noch zu den Teilen. Der Rest sieht normal aus, auch wenn eine Menge läuft...
Persönlich würde ich ja bei so einem Befall den Rechner leiber neu installieren und dann etwas sicherer gestallten (z.B. keine Adminrechte für User).
Dieser Beitrag wurde von DK2000 bearbeitet: 22. Oktober 2004 - 09:04
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#27 _BAstiL_
geschrieben 22. Oktober 2004 - 09:08
Hast du mal deine Log-file hier reinkopiert und ausgewertet?
Die sieht ja gruselig aus.
Laufender Prozess. (BackWeb-8876480.exe)
Spyware BackWeb-8876480.exe
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
Browserhijacker (http://www.bluewin.*...e.de.netscape.*)
O4 - HKCU\..\Run: [IPConfig]
C:\WINDOWS\Logi_MwX.Exe (Hast du eine Logitechmouse?)
MoneyPen (?)
---------------------------
svcxnv32.exe TROJANER
-----------------------
When Backdoor.Hacarmy.E is installed, it performs the following actions:
1. Creates the a of itself as %System%\svcxnv32.exe
Note: %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
2. Adds the value:
"IPConfig" = "svcxnv32.exe"
to the following registry entries:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
so that the backdoor is executed every time Windows starts.
3. Creates a mutex named "svcxnv32.exe" to ensure that only one instance of the backdoor is running on the compromised machine at once.
4. Connects to a predefined IRC server on port 6667/tcp and awaits commands from the remote attacker. These commands typically allow the remote attacker to perform some of the following actions on the compromised machine:
* Download and execute files.
* Terminate processes.
* Use IRC commands such as JOIN, PRIVMSG or KICK.
* Steal system information, such as operating system information, system uptime, current user name, IP address, and host name.
To delete the value from the registry
Important: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified keys only. Read the document, "How to make a backup of the Windows registry," for instructions.
1. Click Start > Run.
2. Type regedit
Then click OK.
3. Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. In the right pane, delete the value:
"IPConfig" = "svcxnv32.exe"
5. Navigate to the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
6. In the right pane, delete the value:
"IPConfig" = "svcxnv32.exe"
7. Exit the Registry Editor.
-------------------------------------------------------------
1. Was ist Malware?
2. Windows Sicherer Machen
Dieser Beitrag wurde von BAstiL bearbeitet: 22. Oktober 2004 - 09:25
#28
geschrieben 22. Oktober 2004 - 09:11
Neuinstallation kommt eben nicht in frage weil spezielle Software drauf installiert ist, die einen Techniker der Firma erfordert wenn Sie neu installiert werden soll und der kostet so richtig geld
Ich würde gerne dem Updateservice mal auf den Grund gehen, weis aber in diesem fall nicht, wo ich am besten anfangen kann/soll...
Danke und Gruss
#29
geschrieben 22. Oktober 2004 - 09:23
Zitat
Habe ich mir schon gedacht. Sind einige Treiber für Hardwarekomponenten drauf, die man zu Hause so eigentlich nicht braucht. Aber gerade in so einem Fall würde ich auf einen Sicheren Rechner wert legen und nicht jeden mit Adminrechten ranlassen (sorry, wenn ich mich da wiederhole ) und zum nach der Installation ein Backup anlegen.
Zitat
Hatte ich ja schon oben beschrieben. Dienst in der Systemsteuerung -> Computer -> Dienste versuchen Manuell zu starten und auf Fehlermeldungen achten und Ereignisanzeige auswerten (auch da, wo Dienste hockt).
So kann ich mir alles mögliche vorstellen, von zerstörten Dateien für den Dienst bis irgendwelche Einträge in der Registry von der Malware, die den WAU ausgehebelt haben. Da z.B. die ganzen Tools, die Du vorhin über den Rechner gejagt hast, mind. 2 böse Programme übersehen haben, würde ich dem Rechner nicht mehr trauen.
Dieser Beitrag wurde von DK2000 bearbeitet: 22. Oktober 2004 - 09:25
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#30 _BAstiL_
geschrieben 22. Oktober 2004 - 09:26
(Habe editiert und ergänzt)
Dieser Beitrag wurde von BAstiL bearbeitet: 22. Oktober 2004 - 09:27
- ← Mein Ganzes System Spinnt!
- Windows XP & Windows Media Center Edition
- Programm Wie Ein Dienst Starten →