Probier mal das hier.

Lg

EDIT: Sorry, steht ja schon einmal hier, tut mir leid, nicht gelesen. :(

Hab ich gerade laufen lassen, Default brachte nichts, Aggressive hat zumindest gebracht, dass ein erster Teil des SP2 über W-Update heruntergeladen wurde (bis 18%) und dann mit der Fehlermeldung abbrach; vorher blieb bei 0% stehen, ich meine beim allerersten Mal wurde aber auch teilweise was heruntergeladen.

In der Registry hab ich danach keine Einträge mehr zu KB969497 gefunden, wurden wohl vom Tool entfernt. Dateien über cmd erfolgreich gelöscht.

Lass grad nochmal das Vorbereitungstool laufen.

Die CheckSur.log sagt nun Folgendes:

Über W-Update wird nun das Update komplett runtergeladen aber bei der Installation bricht es mit Fehlercode 80070490 ab. :heulen: ;)

Fehlercode 80070490 ist wohl der Fehlercode, wenn MS selber nicht weiß, wo es hängt. Eine befriedigende Lösung gibt es bisher nicht soweit ich sehe. Ms empfiehlt, die vista setup-CD einzulegen. You receive a "0x80070490" error code when you use Windows Update or Microsoft Update Web sites to install updates

Deinstalliere mal den IE8 und sämliche Updates für den IE8, die zuletzt eingespielten Updates zuerst, zum Schluß den IE8 selbst. Irgendwas muss bei dir noch in der Registry hängen. Lade dir Bleeping Computer Downloads: RegSearch, gib in das Suchfeld kb969497 ein. Es öffnet sich eine Textdatei mit den Funden. Poste sie bitte im Anhang. Wenn du es dir zutraust, lösche die Einträge selbständig, siehe obiges Posting.

Da bei der ganzen Frickelei noch kein Ende abzusehen ist, solltest du über eine saubere Neuinstallation nachdenken. Vista -> Sp1 -> Sp2 und sonst erst mal keine andere Software, auch keinen Virenscanner oder IE8.

Das ist die RegSearch Logdatei. Ist wohl doch noch was vorhanden. Darf man das getrost löschen?

Das wird sich zeigen :D

Du kannst die Regeinträge manuell löschen, was aber in ziemlich viel Klickarbeit ausartet.

Es gibt ein Tool von MS, mit dem sich die Berechtigungen der Registry auf Kommandozeile ändern lassen. Download details: SubInACL (SubInACL.exe)

Lade dir das runter und installiere es in den Standardordner C:\Program Files\Windows Resource Kits\Tools

Speichere folgenden Text als sub-kb969497.bat auf dem Desktop und starte sie in der Eingabeaufforderung mit Adminrechten

%userprofile%\Desktop\sub-kb969497.bat

Damit solltest du Zugriff auf sämtliche Regwerte haben, die kb969497 enthalten.

Speichere folgenden Text als kb969497Un.reg auf dem Desktopund öffne -falls nicht mehr offen - cmd



Lasse regsearch nochmal laufen und schau, ob noch kb969497 noch gefunden wird. Falls ja:

Schlüssel sind in eckige Klammern gesetz zB [HKEY...kb969497...bla]. Enthält ein Schlüssel kb969497 ändere den Schlüssel in [-HKEY...kb969497...]

Werte beginnen mit "bla...kb969497...."=Daten.
Ändere diese in "bla...kb969497...."=- (hinter dem Minuszeichen folgt nichts mehr!)

Editiere so die regsearch.txt und speichere sie auf dem Desktop als blablubb.reg ab. -> die kb969497Un.reg habe ich schon für dich editiert, dort siehst du auch die Syntax


In der cmd gibst du ein reg import %userprofile%\Desktop\blablubb.reg

Starte regsearch erneut, wenn der Laden funktioniert, sollten keine Funde mehr erscheinen.

Ok, danke, wenn ich allerdings die reg-Datei über cmd ausführen will, kommt der Fehler: Es wurden nicht alle Daten in die Registrierung geschrieben. Einige Schlüssel sind von dem Sytsem oder einem anderen Prozess geöffnet.

Wenn ich dann RegSearch laufen lasse, werden wieder alle Einträge gefunden (oder fast alle, hab nicht genau nachgezählt).

Mann ist das Ding hartnäckig. :rolleyes: Hast du vorher subinacl installiert und die batch ausgeführt? Sonst wird das nichts.

Also: IE8+Updates deinstallieren.

Dann öffne die cmd mit Adminrechten und führe aus
Die sub-kb...bat sollte noch auf dem Desktop liegen
Poste bitte den Inhalt von del-files.log+regkeys-error.log (beide Desktop)

Wenn die batch funktioniert hat, müßten die Besitzrechte stimmen. Du kannst den regeditor öffnen und mit F3 nach kb969479 suchen und die Funde löschen, oder mittels regsearch und dem angepaßten log -> siehe obiges Posting.

Du kannst die Dateien/Schlüssel auch komplett manuell löschen, siehe http://www.trojaner-board.de/75631-p...tml#post452513 (die Suche im Regeditor nach KB969497 ohne ""; das war wohl etwas missverständlich von mir)

Ich versuch das jetzt mal alles genau zu dokumentieren.

Ja, siehe:
http://img5.imagebanana.com/img/roqct65d/thumb/3.jpg

Hier übrigens der Fehlercode nach Ausführen der bat:
http://img5.imagebanana.com/img/wavwsbbe/thumb/4.jpg

Hab ich laut MS Seite http://support.microsoft.com/kb/957700/de gemacht. Unter Systemsteuerung -> Installierte Updates anzeigen ist nichts mehr zu sehen, seit ich das Update-Reset Tool (vorherige Seite) im aggressiven Zustand ausgeführt habe; deshalb alternative Schritte von der Seite:
http://img5.imagebanana.com/img/7v9dtyw4/thumb/1.jpg

Nach Neustart sieht der Explorer dann so aus:
http://img5.imagebanana.com/img/lgv8y1i0/thumb/2.jpg

Keine Schaltflächen etc vorhanden, aber Seiten lassen sich ansurfen.

http://img5.imagebanana.com/img/5acinxix/thumb/5.jpg

del-files.log:
regkeys-error.log:
http://img5.imagebanana.com/img/jcq5aves/thumb/6.jpg

Ich hatte das schon ohne die Anführungszeichen geschrieben, allerdings wird komischerweise auch weiterhin nichts in regedit gefunden.

Registry Search 2.0 findet aber:
...gerade komischerweise auch nix mehr !? Ich hoffe einfach mal, das ist gut. Bin grad selbst ein bissl überrascht.

SP2 Update bricht aber weiterhin mit Fehlercode 80070490 ab.

Systemupdate-Vorbereitungstool (KB947821) bzw. CheckSUR.log sagt nun Folgendes:
http://www.wuerziworld.de/Smilies/wirr/wirr2.gif

An dieser Stelle nochmal ein großes Danke für dein tolles Engagement!

Das funktioniert nur, wenn die sub-kb969497.bat auf dem desktop liegt Wenn aber regsearch nichts mehr findet, scheint nichts mehr vorhanden zu sein, probiers dennoch. Die sub-kb969497.bat startest du bitte in der Eingabeaufforderung mit:
edit: :D selbst ins Knie geschossen, durch Aufruf der for-Schleife wird natürlich die kb969...bat auch gelöscht -> Führe also erst die for-Schleife zum Löschen der Dateien aus (sollte eigentlich nichts mehr gefunden werden) und danach speichere die sub-kb969497.bat auf dem Desktop und führe sie aus

Sie dient nur dazu, die Besitzrechte zu übernehmen und löscht noch nichts. Poste bitte den Inhalt von sub-batch-error.log.

Danach führe regsearch aus und poste den Inhalt, falls vorhanden. Ich editiere dir dann die Funde. Erst wenn die Werte gelöscht sind, kannst du eine Neuinstallation des SP2 versuchen, also abwarten und Bier trinken.regedit mit Adminrechten aufgerufen?

nochn edit: bei der Suche im Regeditor Haken raus bei "ganze Zeichenfolge vergleichen"

und weiter gehts - ich sollte Postings genau lesen :rolleyes:: ->kb969497

Grüße

Alles klar, hier erstmal die sub-batch-error.log:
Ja, regedit hatte ich als Admin ausgeführt, aber wenn ich jetzt Ganze Zeichenfolge vergleichen rausnehme, werden Werte gefunden.

Und Registry Search findet ohne den Tippfehler:

Ich hatte schon bessere Ideen.

Ich melde mich heute Abend wieder. Empfehlen würde ich dir die manuelle Löschung, ansonsten folgt heute abend der Angriff per batch.

Speichere den text als delreg.reg auf dem Desktopöffne die cmd als admin und gib ein:
cd %userprofile%\desktop
reg import delreg.reg

Durchsuche die Registry nach verbleibenden kb969497-Einträgen und entferne sie manuell, Anleitung ein paar postings weiter oben

Solange, bis nichts mehr gefunden wird.

Dann schau mal bitte in der Registry bei folgenden Schlüsseln, ob dort noch Daten (rechte Spalte) eingetragen sind, wenn nicht, kannst du auch die Schlüssel löschen

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ComponentDetect\x86_microsoft-windows-ie-iecompat_31bf3856ad364e35_0.0.0.0_none_c4c97e237914600f]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\PackageDetect\Microsoft-Windows-InternetExplorer-8-Package~31bf3856ad364e35~x86~~0.0.0.0]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\PackageDetect\Microsoft-Windows-InternetExplorer-8-RTM-Update~31bf3856ad364e35~x86~~0.0.0.0]

Danach starte das Vorbereitungstool, bitte noch nicht das SP2 -> schaun mer mal, mit was vista uns diesmal beglückt...

Das Ausführen der reg-Datei hat nix gebracht, die Werte sind nach wie vor da.

Manuell löschen ging nach dem Leitfaden. Die ersten Einträge hab ich gelöscht:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ComponentDetect\x86_microsoft-windows-ie-iecompat_31bf3856ad364e35_0.0.0.0_none_c4c97e237914600f]
YY"Package_1_for_KB969497~31bf3856ad364e35~x86~~8.0.1.1.969497-1_neutral_LDR"="8.0.6001.22867@2"
YY"Package_1_for_KB969497~31bf3856ad364e35~x86~~8.0.1.1.969497-2_neutral_GDR"="8.0.6001.18777@2"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\PackageDetect\Microsoft-Windows-InternetExplorer-8-Package~31bf3856ad364e35~x86~~0.0.0.0]
YY"Package_for_KB969497_ie8~31bf3856ad364e35~x86~~8.0.1.1"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\PackageDetect\Microsoft-Windows-InternetExplorer-8-RTM-Update~31bf3856ad364e35~x86~~0.0.0.0]
YY"Package_for_KB969497~31bf3856ad364e35~x86~~8.0.1.1"=dword:00000002
YY"Package_for_KB969497_ie8_0~31bf3856ad364e35~x86~~8.0.1.1"=dword:00000002
YY"Package_1_for_KB969497~31bf3856ad364e35~x86~~8.0.1.1"=dword:00000002

Bei dem nächsten hat allerdings der Schlüssel das KB969497 im Namen:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\Package_1_for_KB969497~31bf3856ad364e35~x86~~8.0.1.1]

Da den ganzen Schlüssel löschen? Oder erst die Werte dann den Schlüssel oder wie am besten? Ich frag lieber vorher nochmal nach :)

Und wie verfahre ich wenn ein \Owner dahinter ist?

Yep, den gesamten Schlüssel, wenn kb969497 im Namen auftaucht. Und bei /owner genauso wie bei allen anderen.

Wenn nach dem Löschen in der rechten Spalte keine weiteren Daten/Werte mehr vorhanden sind, lösche auch den gesamten Schlüssel.

Mal aus Interesse: Mußt du die Berechtigungen zum Löschen der Schlüssel ändern oder funktioniert das sofort?

So die Schlüssel/Werte sind gelöscht, auch Reg Search 2.0 findet nichts mehr.

Ja, musste bei jedem Schlüssel unter Erweitert -> Besitzer -> Admins die Berechtigung geben und dann noch den Vollzugriff für Admins für den Schlüssel geben.

CheckSUR findet nun "nur" noch zwei Sachen: