Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Microsoft Update deaktiviert sich bei Neustart selbst

Mitglied: 22611

22611 (Level 1)

11.03.2010, aktualisiert 12.03.2010, 7776 Aufrufe, 10 Kommentare

1. Nach der Installation von Service Pack 3 sind die Updates von Microsoft deaktiviert. Sie lassen sich wieder aktivieren, aber nach einem Neustart ist das Update wieder deaktiviert.
2. die Seiten von Microsoft sind vom Problemrechner nicht erreichbar. Alle übrigen Seiten funktionieren.

Seit wann dieses Problem besteht kann ich nicht mehr nachvollziehen. Es muss nicht ursächlich mit dem Service-Pack 3 zusammenhängen.

Der Problemrechner hängt im LAN und der HTTP-Port ist normalerweise gesperrt. Aufgefallen ist das Problem, dass bei einem G-Data AV Scan das Windows abstürzt.
Hier fiel auf das sich Update immer wieder selbst beim Neustart deaktiviert.

Also wollte ich nach Updates manuell suchen und habe den HTTP-Port aufgemacht. Es fällt auf, dass alle möglichen Seiten aufgerufen werden können. Es funktionieren derzeit folgende Seiten nicht:

microsoft.com / .de
pandasecurity.com

Diese Seiten lassen sich auch nicht anpingen.

das Hijack-Logfile und der Scan von Spybot brachten keine verwertbaren Ergebnisse.

Hat jemand einen weiteren Lösungsansatz.


Betriebssystem: Windows XP Professional, Version 2002, SP3
Mitglied: misterlaffer
11.03.2010 um 12:19 Uhr
Hallo,
check mal den DNS-Eintrag im ITPC-Protokol
Bitte warten ..
Mitglied: crashzero2000
11.03.2010 um 12:19 Uhr
Moinsen ,

ich bin mir ziemlich sicher das deine Büchse infiziert ist.
Nach deiner Schilderung hörts sich das genau so an.

Versuch mal hier :
http://www.microsoft.com/security/malwareremove/default.aspx
Poste mal nen HiJack-Log.

Schau mal in die HOST-Datei ob da merkwürdige Eintrge sind.
Bitte warten ..
Mitglied: 22611
11.03.2010 um 12:35 Uhr
@ misterlaffer

Die DNS ist auf "automatisch beziehen" eingestellt. Auch mit statischen DNS hat es nicht funktioniert.

@ crashzero

Die Host-Datei ist leer (bis auf Localhost)

Hijack-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:31:53, on 11.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA\AVKClient\AVKCl.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AVKClient\AVKWCtl.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\HLS32SVC.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\PROGRA~1\GDATA~1\AVKCLI~1\AvkCl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [AVK Client] "C:\PROGRA~1\GDATA~1\AVKCLI~1\AvkCl.exe" /GUI
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: G Data AntiVirus Client (AntiVirusKit Client) - G Data Software AG - C:\Programme\G DATA\AVKClient\AVKCl.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G DATA\AVKClient\AVKWCtl.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
O23 - Service: HL-Server (HLServer) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\HLS32SVC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Die Microsoft-Seite kann ich nicht direkt laden, versuche aber mein Bestes über Umwege
Bitte warten ..
Mitglied: crashzero2000
11.03.2010 um 12:43 Uhr
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
Proxy ? GData setzt, glaube ich, einen Proxy ein

C:\WINDOWS\system32\drivers\CDAC11BA.EXE
Was ist das ?


Firewall ausgeschalten ?

Mal auf der CMD folgendes eingegeben :
netsh firewall reset
netsh winsock reset

und Büchse neu starten.

Spzielle Dienst die du nicht zuordnen kannst ?
Bitte warten ..
Mitglied: cardisch
11.03.2010 um 13:06 Uhr
- Kannst du irgendetwas im Internet anpingen, egal ob IP oder Name ?!?
- Ist deine Hosts-Datei korrupt ?!? Nicht das da falsche IP´s für deine genannten Webseiten drin stehen.


Gruß

Carsten
Bitte warten ..
Mitglied: 22611
11.03.2010 um 13:47 Uhr
@cardish

Host Datei ist in Ordnung.

Nur der Ping auf microsoft.de/.com oder pandasecurity.com funktionierte nicht. Alle anderen antworteten korrekt.

@crashzero

Der Scan von GMER brachte den Durchbruch (http://www.gmer.net/files.php)

Hier der Auszug aus dem Protokoll:
\\\
Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\svchost.exe (* hidden * ) [AUTO] rfnznxx <-- ROOTKIT !!!

Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@DisplayName Security Monitor
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@Description ?berwacht Systemsicherheitseinstellungen und -konfigurationen.
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx\Parameters@ServiceDll C:\WINDOWS\system32\otnlmjgt.dll
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@DisplayName Security Monitor
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@Description ?berwacht Systemsicherheitseinstellungen und -konfigurationen.
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx\Parameters@ServiceDll C:\WINDOWS\system32\otnlmjgt.dll
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@DisplayName Security Monitor
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@Description ?berwacht Systemsicherheitseinstellungen und -konfigurationen.
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx\Parameters@ServiceDll C:\WINDOWS\system32\otnlmjgt.dll
\\\

Im abgesicherten Modus habe ich die Datei otnlmjgt.dll in otnlmjgt_.dll umbenannt und neu gestartet.

Das Update von Microsoft läuft jetzt wieder und www.microsoft.com ist wieder frei

Ich werde mich nun an die endgültige Entfernung des Rootkits machen.

Danke an alle die geholfen haben, besonderen Dank an crashzero!!!

Viele Grüße
Steffen

p.s. Den Beitrag markiere ich als gelöst
Bitte warten ..
Mitglied: misterlaffer
11.03.2010 um 13:50 Uhr
G-Data AV Scan mal deinstallieren und schauen ob es dann funktioniert damit du auch den Fehler eingrenzen kannst ob es am G-Data oder Windows liegt. Weil wie du gesagt hast das beim Scan Windows abstürzt. Vieleicht G-Data auch updaten wenn nicht aktuelle Version. Festplatte auf "bad-sectors" überprüfen.
Bitte warten ..
Mitglied: 22611
11.03.2010 um 15:13 Uhr
@ misterlaffer
Nach der Entfernung des Rootkits läuft gerade der Scan. Er läuft momentan recht stabil und hat bisher ein Virus entfernt. Ich bin bester Dinge, dass mein Problemkind auf dem Weg der Besserung ist.

Viele Grüße
Steffen
Bitte warten ..
Mitglied: crashzero2000
11.03.2010 um 17:16 Uhr
Kein Problem.
Dafür ist dieses Forum da, jeder ein Spezialist auf seinem Gebiet.

Du solltest trotzdem noch eine andere AV drüberlaufen lassen, sicher ist sicher.
Irgendwie ist das Teil ja auch reingekommen.

Viel Spaß noch.
Bitte warten ..
Ähnliche Inhalte
Windows Update

Microsoft deaktiviert Spectre-2-Patches für Windows

Information von wuurianWindows Update7 Kommentare

Alle Windows-Rechner mit noch unterstütztem Betriebssystem und einem Broadwell-, Haswell- oder Skylake-Chip bekommen ein außerplanmäßiges Update - das ein ...

Exchange Server

Microsoft Exchange bzw. Outlook 2010: Bei vorhandenem Postfach (deaktiviert) Mails ablehnen

gelöst Frage von Trackmaster1303Exchange Server6 Kommentare

Hallo zusammen, ein Mitarbeiter bei uns geht in Elternzeit. Dazu deaktiviere ich das Postfach. Normalerweise wird dafür eine Weiterleitung ...

Windows 7

Ereignisanzeige plötzlich deaktiviert

Frage von itazubiiWindows 72 Kommentare

Hallo liebe Community, als ich in der Ereignisanzeige unter meiner Windows 7 Maschine nach einem Fehler suchen wollte, konnte ...

Outlook & Mail

Microsoft 2013 Outlook - Änderungen in Personen erst nach Neustart von Outlook

Frage von taK1993xOutlook & Mail3 Kommentare

Hallo liebe Community, ich habe bei mehreren Kunden und selbst auch bei uns das Problem, dass Änderungen in Outlook ...

Neue Wissensbeiträge
Internet
EU-Urheberrechtsreform: Zusammenfassung
Information von Frank vor 1 TagInternet1 Kommentar

Auf golem.de gibt es eine Analyse von Friedhelm Greis, der das Thema EU-Urheberrechtsreform gut und strukturiert zusammenfasst. Zwar haben ...

Microsoft Office

Office365 Schwachstellen bei Sicherheit und Datenschutz

Information von Penny.Cilin vor 2 TagenMicrosoft Office7 Kommentare

Auf Heise+ gibt es einen Artikel bzgl. Office365 Schwachstellen. Das ist noch ein Grund mehr seine Daten nicht in ...

Sicherheit
Schwachstellen in VPN Clients
Tipp von transocean vor 4 TagenSicherheit2 Kommentare

Moin, es gibt Sicherheitslücken bei VPN Clients namhafter Hersteller, wie man hier lesen kann. Gruß Uwe

Sicherheit

Wikileaks-Gründer Julian Assange wurde festgenommen

Information von Frank vor 7 TagenSicherheit3 Kommentare

Wikileaks-Gründer Julian Assange wurde heute in London festgenommen. Die Botschaft Ecuadors, in der er seit sieben Jahren lebte, hat ...

Heiß diskutierte Inhalte
Tipps & Tricks
Verdammt voll erwischt
Frage von AlchimedesTipps & Tricks23 Kommentare

Folgende Mail habe ich auf meinem Freenet Account erhalten: Nun folgendes Problem: 1) Ich besuche Porno Seiten yep hat ...

Drucker und Scanner
Xerox 7328 muss jeden Tag neu installert werden
Frage von PN-SchrauberDrucker und Scanner20 Kommentare

hallo, ich habe in Problem mit einem unserer Drucker. Vorweg, die meisten unserer Netzwerkdrucker laufen über einen Druckserver, dieser ...

HTML
Google maps
Frage von jensgebkenHTML20 Kommentare

Hallo Gemeinschaft, hab mal ne Frage zu Maps - habe es hinbekommen, dass ich einen iframe link erstellen kann ...

Switche und Hubs
PC Verursach Probleme im Netzwerk
gelöst Frage von spoboeSwitche und Hubs16 Kommentare

Hallo zusammen, folgene Situation macht mich inzwischen ratlos: In unserem Betrieb ist ein Rechner über die Hausverkabelung an einem ...