Trojaner-Board - CBS.log: Manifest Files korrupt

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - CBS.log: Manifest Files korrupt - Reparatur ? (https://www.trojaner-board.de/151056-cbs-log-manifest-files-korrupt-reparatur.html)

Okay.
Nein, die Meldungen treten nicht mehr auf.
Aber Du meintest oben bereits, das dadurch das eigentliche Problem nicht wirklich gelöst ist, richtig?

Die Manifest Files wurden so gut wie gefixt, es fehlen nur noch 2, und ich versuche eine "saubere" Kopie davon (ich meine eine saubere Kopie der zwei Manifest Dateien) zu kriegen. Das Problem ist, dass der Component hive keinen Aufschluss gibt, woher diese Manifest Files kommen. Wenn wir diese zwei Files gefixt haben (wenn das möglich ist), sind wir fertig. Aber ich würde zum Abschluss gerne einen OTL Scan sehen. Anweisungen gibt es später.

In Ordnung.

moin,

zu Deiner Frage von gestern, ob noch weitere Meldungen auftauchen:
Es ist nichts dramatisches aber es kommen auch regelmäßig folgende Meldungen des Microsoft .NET Framework. Nach Recherche hieß es, dass ich da nix machen kann; es sei ein Softwarefehler der per Update beseitigt werden müsse.

Hier nun die Meldung:

Microsoft .NET Framework
Unbehandelte Ausnahme ind er Anwendung. Klicken Sie auf "Weiter". um den Fehler zu ignorieren und die Anwendung fortzusetzen. Wenn Sie auf Beenden klicken, wird die Anwendung sofort beendet.
Der Versionszeichenfolgeteil war entweder zu kurz oder zu lang.

Details:

Code:

Informationen über das Aufrufen von JIT-Debuggen

anstelle dieses Dialogfelds finden Sie am Ende dieser Meldung.
 

************** Ausnahmetext **************

System.ArgumentException: Der Versionszeichenfolgeteil war entweder zu kurz oder zu lang.

   bei System.Version..ctor(String version)

   bei FILSHtray.Program.checkForUpdates(Object sender, EventArgs e)

   bei System.Windows.Forms.Timer.OnTick(EventArgs e)

   bei System.Windows.Forms.Timer.TimerNativeWindow.WndProc(Message& m)

   bei System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)
 
 

************** Geladene Assemblys **************

mscorlib

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5477 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll.

----------------------------------------

FILSHtray

    Assembly-Version: 0.1.0.0.

    Win32-Version: 0.1.0.0.

    CodeBase: file:///C:/Program%20Files%20(x86)/FILSHtray/FILSHtray.exe.

----------------------------------------

System.Windows.Forms

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5468 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms/2.0.0.0__b77a5c561934e089/System.Windows.Forms.dll.

----------------------------------------

System

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5467 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System/2.0.0.0__b77a5c561934e089/System.dll.

----------------------------------------

System.Drawing

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5467 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Drawing/2.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll.

----------------------------------------

System.Configuration

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5476 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Configuration/2.0.0.0__b03f5f7f11d50a3a/System.Configuration.dll.

----------------------------------------

System.Xml

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5476 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Xml/2.0.0.0__b77a5c561934e089/System.Xml.dll.

----------------------------------------

FILSHtray.resources

    Assembly-Version: 0.1.0.0.

    Win32-Version: 0.1.0.0.

    CodeBase: file:///C:/Program%20Files%20(x86)/FILSHtray/de-DE/FILSHtray.resources.DLL.

----------------------------------------

mscorlib.resources

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5477 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll.

----------------------------------------

System.resources

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5420 (Win7SP1.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.resources/2.0.0.0_de_b77a5c561934e089/System.resources.dll.

----------------------------------------

System.Windows.Forms.resources

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5420 (Win7SP1.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms.resources/2.0.0.0_de_b77a5c561934e089/System.Windows.Forms.resources.dll.

----------------------------------------
 

************** JIT-Debuggen **************

Um das JIT-Debuggen (Just-In-Time) zu aktivieren, muss in der

Konfigurationsdatei der Anwendung oder des Computers

(machine.config) der jitDebugging-Wert im Abschnitt system.windows.forms festgelegt werden.

Die Anwendung muss mit aktiviertem Debuggen kompiliert werden.
 

Zum Beispiel:
 

<configuration>

    <system.windows.forms jitDebugging="true" />

</configuration>
 

Wenn das JIT-Debuggen aktiviert ist, werden alle nicht behandelten

Ausnahmen an den JIT-Debugger gesendet, der auf dem

Computer registriert ist, und nicht in diesem Dialogfeld behandelt.

OK, aufgrund der 2 korrupten Manifest Files, die unauffindbar sind, und weil Du einen hartnäckigen RootKit hattest, rate ich Dir dringend zur Neuinstallation. Um es zu konkretisieren, Du könntest Fehlermeldungen bei zukünftigen Updates bekommen.

Falls Du Dich gegen eine Neuinstallation entscheidest, würde ich noch gerne ein OTL Log sehen.

------

CustomScan mit OTL (ausführlich)

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

Starte bitte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Standard-Ausgabe
Scanne alle User anhaken
Stelle alle Unterpunkte ein, wie auf folgenden Bild zu sehen:

http://forum.botfrei.de/petra/otl_custom4.jpg
Kopiere nun den Inhalt aus der folgenden Codebox in die Textbox von OTL:

Code:

BASESERVICES

%SYSTEMDRIVE%\*.exe

/md5start

services.*

explorer.exe

winlogon.exe

Userinit.exe

svchost.exe

qmgr.dll

mpsvc.dll  

winsock.*

/md5stop

dir "%systemdrive%\*" /S /A:L /C

CREATERESTOREPOINT

Schließe alle Programme. (Wichtig)
Klicke auf den Scan Button.
Füge die Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Ich kann die beiden Dateien nicht wie angefordert in den Anhang laden, da die maximale Dateigröße für den Typ überschritten ist.

Habe es als zip angehängt

Ein Thema im Virenforum eröffnen, ein Service ist noch korrupt (slsvc). Sag dem Helfer dann, dass Du hier geholfen wurdest (verweise ihn auf den Thread hier) und sag ihm, der Service namens slsvc ist korrupt. Er muss diesen fixen. Dazu gibt es einige fragwürdige Entries wie PokerStars etc.

Hab ich soeben gemacht.
PokerStars ist ein Online-Pokerraum, relativ bekannt bzw. groß.

OK ich werde dann mal doch helfen müssen. Wir werden hier nur den Service fixen, keine Malware.

Downloade Dir das: hxxp://download.bleepingcomputer.com/win-services/vista/slsvc.reg und speichere es auf Deinen Desktop. Führe es aus.

Danach mache das:

Please download Farbar Service Scanner and run it on the computer with the issue. (if you have Windows Vista / Windows 7 / Windows 8: Please do a Right click on the FSS icon and select Run as Administrator)

Make sure the following options are checked:
- Internet Services
- Windows Firewall
- System Restore
- Security Center
- Windows Update
Press "Scan".
It will create a log (FSS.txt) in the same directory the tool is run.
Please copy and paste the log to your reply.

Sorry, Link zum Farbar Service Scanner: hxxp://download.bleepingcomputer.com/farbar/FSS.exe

Code:

Farbar Service Scanner Version: 25-02-2014

Ran by \XXX (administrator) on 21-03-2014 at 17:18:13

Running from "C:\Users\XXX \Desktop"

Microsoft Windows 7 Ultimate  Service Pack 1 (X64)

Boot Mode: Normal

****************************************************************
 

Internet Services:

============
 

Connection Status:

==============

Localhost is accessible.

LAN connected.

Google IP is accessible.

Google.com is accessible.

Yahoo.com is accessible.
 
 

Windows Firewall:

=============
 

Firewall Disabled Policy: 

==================
 
 

System Restore:

============
 

System Restore Disabled Policy: 

========================
 
 

Action Center:

============
 
 

Windows Update:

============
 

Windows Autoupdate Disabled Policy: 

============================
 
 

Other Services:

==============
 
 

File Check:

========

C:\Windows\System32\nsisvc.dll => MD5 is legit

C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit

C:\Windows\System32\dhcpcore.dll => MD5 is legit

C:\Windows\System32\drivers\afd.sys => MD5 is legit

C:\Windows\System32\drivers\tdx.sys => MD5 is legit

C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit

C:\Windows\System32\dnsrslvr.dll => MD5 is legit

C:\Windows\System32\mpssvc.dll => MD5 is legit

C:\Windows\System32\bfe.dll => MD5 is legit

C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit

C:\Windows\System32\SDRSVC.dll => MD5 is legit

C:\Windows\System32\vssvc.exe => MD5 is legit

C:\Windows\System32\wscsvc.dll => MD5 is legit

C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit

C:\Windows\System32\wuaueng.dll => MD5 is legit

C:\Windows\System32\qmgr.dll => MD5 is legit

C:\Windows\System32\es.dll => MD5 is legit

C:\Windows\System32\cryptsvc.dll => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\System32\rpcss.dll => MD5 is legit
 
 

**** End of log ****

Du bist entlassen. :)

das heisst ?! alles paletti ?

Laut Farbar Service Scanner ja.

Okay, dann glauben wir dem einfach mal - special thanx! :)