WinFuture-Forum.de: Windowsupdate Immer Inaktiv... - WinFuture-Forum.de

Kann er denn die Updates runterladen, wenn er auf die Windows Update Seite geht, oder erscheint dort auch eine Fehlermeldung?

@Stulle er kann doch Updates runterladen er hat doch nur das Problem, dass das SC eine Falschmeldung macht, dass die automatischen Updates deaktiviert wären, dem aber nicht so ist.
So habe ich das verstanden

Dieser Beitrag wurde von moep bearbeitet: 21. Oktober 2004 - 19:59

Zitat (moep: 21.10.2004, 15:10)

LOL

Geht mir heute genauso Sorry

Ja dann sind wir schon 3
@Rehleinkiller was meinst du mit
Zitat:"Falsch!"
@staneck2004

Zitat

Achso gut hatte irgendwie keinen Zusammenhang ich dachte das falsch wäre ernst gemeint und irgendjmd. hat was gesagt was nicht stimmt.

Dieser Beitrag wurde von moep bearbeitet: 21. Oktober 2004 - 20:11

Es tut mir furchtbar leid dass ich auf eine Seite der anderen Front verlinkt habe !
Ich möchte mich 21000000mal entschuldigen *G*!
Ne ich hab vergessen das es das hier auch gibt!

Zitat (staneck2004: 21.10.2004, 21:06)

Na ist doch nicht schlimm! Aber wenn wir es hier haben können wir's doch auch verlinken...

@moep: Das meinte ich damit!

Zitat (moep: 21.10.204,20:58)

Also so wie ich das jetzt sehe hat sich immer noch nicht so ganz geklärt, ob er denn jetzt Updates bekommt oder nicht (oder bin ich jetzt etwa auch zu doof zum lesen)

Dieser Beitrag wurde von -=TheSuicider=- bearbeitet: 22. Oktober 2004 - 04:28

Steht denn irgendetwas in der Ereignisanzeige, was evemtuell auf ein Problem mit dem Sicherheitscenter oder dem Automatischen Updates zusammenhängt? Oder andere Fehler?

Steht der Dienst für die Automatischen Updates auf Automatic und ist er gestartet ?

Unbedingt auch den Rechner mal prüfen, ob sich Malware/Viren/Trojaner eingenistet haben, die für den Effekt verantwortlich sein könnten.

Mal darüber nachdenken, wenn "Naive Leute" am rechner rumspielen, ob es nicht Sinn macht, Benutzerkonten mit eingeschränkten Rechten zu verwenden, damit nieman etwas verändern kann, der das nich darf.

Also, um dem Bedarf an Hintergrundinformationen gerecht zu werden...

Der rechner hat einen Sasser.A draufgehabt, den ich entfernt habe, mit folgenden Virenscannern habe ich gescannt: Trendmicro Sysclean, Stinger und Free-AV. Die Systemwiederherstellung habe ich deaktiviert... Ich habe den Rechner schon mit CWS-Shredder und Hijack this behandelt, ad-aware 1.05 und Spybot 1.3 durchlaufen lassen, die Registry mit MS Regclean bereinigt. Tempfiles und Internet-Cache gelöscht... Der Updatedienst läuft nicht...

HiJackThis Log:

Logfile of HijackThis v1.97.7
Scan saved at 09:40:34, on 22.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\svcxnv32.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Freecom SYNC\FCSYNC.exe
C:\Programme\iPass\iPassConnect Bluewin Traveller Package\IPassConnectGUI.exe
C:\Programme\MoneyPen\MoneyPen.exe
C:\Programme\Palm\HOTSYNC.EXE
E:\Tools & Progs\Antivirus\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netsc.../winsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.de.netscape.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netsc...nsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netsc.../winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.de.netscape.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netsc.../winsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.ne....com/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.bluewin.ch"); (C:\Programme\Netscape\Users\hermann_furrer\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\Run: [IPConfig] svcxnv32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IPConfig] svcxnv32.exe
O4 - Startup: HotSync Manager.LNK = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Freecom SYNC.lnk = C:\Programme\Freecom SYNC\FCSYNC.exe
O4 - Global Startup: HotSync Manager 2.0.lnk = C:\pilot\hotsync.exe
O4 - Global Startup: iPassConnect Bluewin Traveller Package.lnk = C:\Programme\iPass\iPassConnect Bluewin Traveller Package\IPassConnectGUI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MoneyPen.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programme\Netscape\Communicator\Program\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://protect.microsoft.com/security/prot...b?1097142642972
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094061905342
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1....g/GoogleNav.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/...AB?37875.220625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab


Wäre toll wenn jemand etwas dazu weiss!

Gruss LOBSI

Dieser Beitrag wurde von LOBSI bearbeitet: 22. Oktober 2004 - 08:41

Habe auch folgendes versucht:

Regsvr32 c:\windows\system32\wuauserv.dll

Die dll wird geladen aber der dllRegisterServer-Eingangspunkt wurde nicht gefunden

Diese Datei kann nicht registriert werden...

Zitat

Ja, da hat ja das Security Center ja recht, das das WAU inaktiv ist. Dem Teil in der Systemsteuerung und in System ist es übrigens vollkommen egal, ob der Dienst läuft oder nicht - konfigurieren kann man auch ein abgeschaltetes WAU.

Gut, dann müsste man sich jetzt ersteinmal um den Dienst kümmern. Wenn Du diesen manuell startest (Systemsteuerung -> Computer -> Dienste), gibt es eine Fehlermeldung oder einen Eintrag in der Ereignisanzeige?

Dein Logfile sieht auch gut aus:
svcxnv32.exe -> Trojaner
BackWeb-8876480.exe -> Böse Spyware/Trojaner

Ein paar Registryeinträge noch zu den Teilen. Der Rest sieht normal aus, auch wenn eine Menge läuft...

Persönlich würde ich ja bei so einem Befall den Rechner leiber neu installieren und dann etwas sicherer gestallten (z.B. keine Adminrechte für User).

Dieser Beitrag wurde von DK2000 bearbeitet: 22. Oktober 2004 - 09:04

hijackthis.de

Hast du mal deine Log-file hier reinkopiert und ausgewertet?
Die sieht ja gruselig aus.

Laufender Prozess. (BackWeb-8876480.exe)
Spyware BackWeb-8876480.exe

O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe

Browserhijacker (http://www.bluewin.*...e.de.netscape.*)

O4 - HKCU\..\Run: [IPConfig]
C:\WINDOWS\Logi_MwX.Exe (Hast du eine Logitechmouse?)
MoneyPen (?)

---------------------------
svcxnv32.exe TROJANER
-----------------------
When Backdoor.Hacarmy.E is installed, it performs the following actions:

1. Creates the a of itself as %System%\svcxnv32.exe

Note: %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

2. Adds the value:

"IPConfig" = "svcxnv32.exe"

to the following registry entries:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

so that the backdoor is executed every time Windows starts.

3. Creates a mutex named "svcxnv32.exe" to ensure that only one instance of the backdoor is running on the compromised machine at once.

4. Connects to a predefined IRC server on port 6667/tcp and awaits commands from the remote attacker. These commands typically allow the remote attacker to perform some of the following actions on the compromised machine:
* Download and execute files.
* Terminate processes.
* Use IRC commands such as JOIN, PRIVMSG or KICK.
* Steal system information, such as operating system information, system uptime, current user name, IP address, and host name.


To delete the value from the registry

Important: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified keys only. Read the document, "How to make a backup of the Windows registry," for instructions.

1. Click Start > Run.
2. Type regedit

Then click OK.

3. Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. In the right pane, delete the value:

"IPConfig" = "svcxnv32.exe"

5. Navigate to the key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

6. In the right pane, delete the value:

"IPConfig" = "svcxnv32.exe"

7. Exit the Registry Editor.
-------------------------------------------------------------

1. Was ist Malware?
2. Windows Sicherer Machen

Dieser Beitrag wurde von BAstiL bearbeitet: 22. Oktober 2004 - 09:25

Habe die Böhsen Tasks gekillt, die Starteinträge und die Files gelöscht...

Neuinstallation kommt eben nicht in frage weil spezielle Software drauf installiert ist, die einen Techniker der Firma erfordert wenn Sie neu installiert werden soll und der kostet so richtig geld

Ich würde gerne dem Updateservice mal auf den Grund gehen, weis aber in diesem fall nicht, wo ich am besten anfangen kann/soll...

Danke und Gruss

Zitat

Habe ich mir schon gedacht. Sind einige Treiber für Hardwarekomponenten drauf, die man zu Hause so eigentlich nicht braucht. Aber gerade in so einem Fall würde ich auf einen Sicheren Rechner wert legen und nicht jeden mit Adminrechten ranlassen (sorry, wenn ich mich da wiederhole ) und zum nach der Installation ein Backup anlegen.

Zitat

Hatte ich ja schon oben beschrieben. Dienst in der Systemsteuerung -> Computer -> Dienste versuchen Manuell zu starten und auf Fehlermeldungen achten und Ereignisanzeige auswerten (auch da, wo Dienste hockt).

So kann ich mir alles mögliche vorstellen, von zerstörten Dateien für den Dienst bis irgendwelche Einträge in der Registry von der Malware, die den WAU ausgehebelt haben. Da z.B. die ganzen Tools, die Du vorhin über den Rechner gejagt hast, mind. 2 böse Programme übersehen haben, würde ich dem Rechner nicht mehr trauen.

Dieser Beitrag wurde von DK2000 bearbeitet: 22. Oktober 2004 - 09:25

siehe mein post ^^^

(Habe editiert und ergänzt)

Dieser Beitrag wurde von BAstiL bearbeitet: 22. Oktober 2004 - 09:27