Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Microsoft Update deaktiviert sich bei Neustart selbst

Mitglied: 22611

22611 (Level 1)

11.03.2010, aktualisiert 12.03.2010, 7664 Aufrufe, 10 Kommentare

1. Nach der Installation von Service Pack 3 sind die Updates von Microsoft deaktiviert. Sie lassen sich wieder aktivieren, aber nach einem Neustart ist das Update wieder deaktiviert.
2. die Seiten von Microsoft sind vom Problemrechner nicht erreichbar. Alle übrigen Seiten funktionieren.

Seit wann dieses Problem besteht kann ich nicht mehr nachvollziehen. Es muss nicht ursächlich mit dem Service-Pack 3 zusammenhängen.

Der Problemrechner hängt im LAN und der HTTP-Port ist normalerweise gesperrt. Aufgefallen ist das Problem, dass bei einem G-Data AV Scan das Windows abstürzt.
Hier fiel auf das sich Update immer wieder selbst beim Neustart deaktiviert.

Also wollte ich nach Updates manuell suchen und habe den HTTP-Port aufgemacht. Es fällt auf, dass alle möglichen Seiten aufgerufen werden können. Es funktionieren derzeit folgende Seiten nicht:

microsoft.com / .de
pandasecurity.com

Diese Seiten lassen sich auch nicht anpingen.

das Hijack-Logfile und der Scan von Spybot brachten keine verwertbaren Ergebnisse.

Hat jemand einen weiteren Lösungsansatz.


Betriebssystem: Windows XP Professional, Version 2002, SP3
Mitglied: misterlaffer
11.03.2010 um 12:19 Uhr
Hallo,
check mal den DNS-Eintrag im ITPC-Protokol
Bitte warten ..
Mitglied: crashzero2000
11.03.2010 um 12:19 Uhr
Moinsen ,

ich bin mir ziemlich sicher das deine Büchse infiziert ist.
Nach deiner Schilderung hörts sich das genau so an.

Versuch mal hier :
http://www.microsoft.com/security/malwareremove/default.aspx
Poste mal nen HiJack-Log.

Schau mal in die HOST-Datei ob da merkwürdige Eintrge sind.
Bitte warten ..
Mitglied: 22611
11.03.2010 um 12:35 Uhr
@ misterlaffer

Die DNS ist auf "automatisch beziehen" eingestellt. Auch mit statischen DNS hat es nicht funktioniert.

@ crashzero

Die Host-Datei ist leer (bis auf Localhost)

Hijack-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:31:53, on 11.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA\AVKClient\AVKCl.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AVKClient\AVKWCtl.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\HLS32SVC.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\PROGRA~1\GDATA~1\AVKCLI~1\AvkCl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [AVK Client] "C:\PROGRA~1\GDATA~1\AVKCLI~1\AvkCl.exe" /GUI
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: G Data AntiVirus Client (AntiVirusKit Client) - G Data Software AG - C:\Programme\G DATA\AVKClient\AVKCl.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G DATA\AVKClient\AVKWCtl.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
O23 - Service: HL-Server (HLServer) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\HLS32SVC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Die Microsoft-Seite kann ich nicht direkt laden, versuche aber mein Bestes über Umwege
Bitte warten ..
Mitglied: crashzero2000
11.03.2010 um 12:43 Uhr
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
Proxy ? GData setzt, glaube ich, einen Proxy ein

C:\WINDOWS\system32\drivers\CDAC11BA.EXE
Was ist das ?


Firewall ausgeschalten ?

Mal auf der CMD folgendes eingegeben :
netsh firewall reset
netsh winsock reset

und Büchse neu starten.

Spzielle Dienst die du nicht zuordnen kannst ?
Bitte warten ..
Mitglied: cardisch
11.03.2010 um 13:06 Uhr
- Kannst du irgendetwas im Internet anpingen, egal ob IP oder Name ?!?
- Ist deine Hosts-Datei korrupt ?!? Nicht das da falsche IP´s für deine genannten Webseiten drin stehen.


Gruß

Carsten
Bitte warten ..
Mitglied: 22611
11.03.2010 um 13:47 Uhr
@cardish

Host Datei ist in Ordnung.

Nur der Ping auf microsoft.de/.com oder pandasecurity.com funktionierte nicht. Alle anderen antworteten korrekt.

@crashzero

Der Scan von GMER brachte den Durchbruch (http://www.gmer.net/files.php)

Hier der Auszug aus dem Protokoll:
\\\
Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\svchost.exe (* hidden * ) [AUTO] rfnznxx <-- ROOTKIT !!!

Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@DisplayName Security Monitor
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx@Description ?berwacht Systemsicherheitseinstellungen und -konfigurationen.
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\rfnznxx\Parameters@ServiceDll C:\WINDOWS\system32\otnlmjgt.dll
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@DisplayName Security Monitor
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx@Description ?berwacht Systemsicherheitseinstellungen und -konfigurationen.
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\rfnznxx\Parameters@ServiceDll C:\WINDOWS\system32\otnlmjgt.dll
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@DisplayName Security Monitor
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx@Description ?berwacht Systemsicherheitseinstellungen und -konfigurationen.
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\rfnznxx\Parameters@ServiceDll C:\WINDOWS\system32\otnlmjgt.dll
\\\

Im abgesicherten Modus habe ich die Datei otnlmjgt.dll in otnlmjgt_.dll umbenannt und neu gestartet.

Das Update von Microsoft läuft jetzt wieder und www.microsoft.com ist wieder frei

Ich werde mich nun an die endgültige Entfernung des Rootkits machen.

Danke an alle die geholfen haben, besonderen Dank an crashzero!!!

Viele Grüße
Steffen

p.s. Den Beitrag markiere ich als gelöst
Bitte warten ..
Mitglied: misterlaffer
11.03.2010 um 13:50 Uhr
G-Data AV Scan mal deinstallieren und schauen ob es dann funktioniert damit du auch den Fehler eingrenzen kannst ob es am G-Data oder Windows liegt. Weil wie du gesagt hast das beim Scan Windows abstürzt. Vieleicht G-Data auch updaten wenn nicht aktuelle Version. Festplatte auf "bad-sectors" überprüfen.
Bitte warten ..
Mitglied: 22611
11.03.2010 um 15:13 Uhr
@ misterlaffer
Nach der Entfernung des Rootkits läuft gerade der Scan. Er läuft momentan recht stabil und hat bisher ein Virus entfernt. Ich bin bester Dinge, dass mein Problemkind auf dem Weg der Besserung ist.

Viele Grüße
Steffen
Bitte warten ..
Mitglied: crashzero2000
11.03.2010 um 17:16 Uhr
Kein Problem.
Dafür ist dieses Forum da, jeder ein Spezialist auf seinem Gebiet.

Du solltest trotzdem noch eine andere AV drüberlaufen lassen, sicher ist sicher.
Irgendwie ist das Teil ja auch reingekommen.

Viel Spaß noch.
Bitte warten ..
Ähnliche Inhalte
Windows 7

Windows Updates nach Neustart ausführen

Frage von SpeakerSTWindows 78 Kommentare

Hallo, wir versorgen unsere Clients per WSUS. Wenn die Updates für die Clients freigegeben sind dann werden diese vom ...

Windows 7

Erzwungener Neustart nach Windows Updates

Frage von ysy0815Windows 712 Kommentare

Hallo zusammen, ich habe ein Problem mit Windows Updates, habe auch schon das Forum durchsucht, aber niemand hat das ...

Windows 10

Win 10 UAC deaktiviert sich nach update

gelöst Frage von ScifireWindows 109 Kommentare

Hallo zusammen, ich habe folgendes Problem und konnte leider noch keine Lösung dafür finden: Ich habe meinen PC kürzlich ...

Windows 10

Deaktivierte Windows 10 Benachrichtigungen gehen nach jedem Neustart wieder an

Frage von Rene1976Windows 103 Kommentare

Hallo, ich bekomme unten rechts immer Windows 10 Benachrichtigungen von diversen Programmen, z.B. Outlook, Cloud-Dienste, Anti-VirenProgramme, Grafiktreiber etc. Das ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 21 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 TagHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++24 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless22 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL19 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...