Kann nicht booten - nur safe mode geht
 

Hallo, ich habe einen alten Notebook von einem Familienmitglied zum Reparieren bekommen. Enthält Windows 7 Professional und beim Starten gibt es nach dem automatischen Einloggen (kein Passwort gesetzt) einen Bluescreen (IRQL not less or equal oder sowas). Im Safe Mode funktioniert alles. Safe Mode mit Network geht auch nicht. Ich habe im Safe Mode in msconfig mal alles deaktiviert und nur Microsoft übrig gelassen. Auch das hat nichts geholfen. Via USB Stick habe ich mal Malwarebytes installiert und laufen lassen (Aktualisierung ging natürlich nicht) aber nichts wurde gefunden (nur ein paar PUP, jetzt entfernt). Ich habe auch einen neuen Benutzer angelegt und damit probiert; ohne Erfolg. Vielleicht ist ja auch was an der Hardware kaputt, aber wenn im Safe Mode alles läuft, scheint dies unwahrscheinlich. Was sollte ich tun um einen möglichst kompletten Check auf Malware durchzuführen? Es scheint eine Windows Installation vom Büro oder sowas vorzuliegen, d.h. alles neu Installieren ist wohl keine Option.

Ach ja, noch ein paar Zusatzinfos: Es ist Windows 32-bit. Farbar log FRST:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


Addition.txt:
[CODE]Additional
FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

:hallo:


Ich sehe keine Schadsoftware.

Neuinstallation ist das einzig richtige bei so etwas.

Natürlich kann es auch ein Treiberproblem oder sowas sein. Aber was macht dich so sicher, dass da keine Malware drauf ist? Nur weil im Safe Mode mit obigem Scan nichts gefunden wurde?

Servus,



wir machen mal folgendes:

Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hallo, also es gibt Neuigkeiten.
Beim Versuch das Logfile zu erstellen, habe ich vor dem Bluescreen noch die Meldung erhalten, dass Windows nicht lizenziert sei "activation required". Das kam bisher nicht. Sobald ich dann etwas geklickt hatte (oder auch einfach warten) kam dann der Bluescreen wie bisher. Weiterhin nur Safe Mode ging.
Nun das hat mich auf die Idee gebracht, dass vielleicht doch etwas mit den Treibern nicht stimmt, insbesondere auch dein Kommentar "neu aufsetzen".
Zuerst habe ich festgestellt, dass ich msconfig vergessen hatte zurückzustellen auf "normal boot" (es war beim ersten Scan im Modus nur das nötigste starten). Das ist nun zurück auf normal.
Bezüglich Treiber habe ich als erstes mal beide Netzwerk-Treiber deaktiviert (WLAN und Ethernet). Seit dann kann ich im Normalmodus wieder booten ohne Bluescreen.
Beim genaueren Untersuchen konnte ich auch den Ethernet-Adapter wieder aktivieren. Es scheint der WLAN Adapter das Problem zu verursachen.
Nun ist also nur noch WLAN deaktiviert und das Gerät via Kabel am Netzwerk angeschlossen.
Jetzt konnte ich auch Windows aktivieren (scheint also keine Raubkopie zu sein, sondern war einfach 3 Monate nicht mehr am Netz).
Als erstes habe ich PDF Reader aktualisiert und das alte installierte Java entfernt.
Ich kann aber weder den Treiber aktualisieren, noch funktioniert sonst etwas vom Windows Update.
Mein neues Problem ist also Windows Update funktioniert nicht. Soll ich dafür einen separaten Thread eröffnen? Ich vermute immer noch Malware als Grund dafür. Vielleicht hat die Malware sogar etwas mit dem Treiber zu tun.
Unten poste ich noch die verlangten Logs (inkl. den ersten zwei nochmal).
Was passiert? Windows Update sucht nach Updates und hört nicht auf. Ich bin zwar etwas verwöhnt von SSD Notebooks, aber ich habe Windows Update über Nacht laufen lassen und es wird nicht fertig (scannt weiter). Ich komme also nicht zum Installieren. Letzter Update oder Scan war von Juli 2015. Ein paar mal konnte ich Windows Update öffnen ohne einen neuen Scan zu starten und da hat er 5 optionale Updates angezeigt. Ich habe sie ausgewählt, aber nur einer konnte installiert werden, die anderen sind fehlgeschlagen. Aber eigentlich sollte ich erst mal einen vollständigen Scan machen können.
Ich habe mal das Microsoft Repair Tool für Windows Update laufen lassen. Zwei Punkte konnten nicht gefixt werden, aber nach Reboot und neuen Versuch war es nur noch ein Punkt, der nicht ok war: "Windows Update error 0x80070005 - not fixed". Der Code bedeutet "access denied" und mit googlen finde ich diesen Fehler im Zusammenhang von Windows Update nur beim Installieren von Updates (so weit komme ich ja gar nicht), oder im Zusammenhang mit Malware. Malwarebytes habe ich nochmal laufen lassen und online aktualisiert, aber nichts wurde gefunden.
Antivirus ist Microsoft Security Essentials. Windows Defender ist dekativiert. Es war noch eine (vermutlich Trial) Version von McAfee drauf, die liess sich aber nicht mal starten und die habe ich nun auch deinstalliert.
Das hosts File ist leer (nur Kommentare).
Internet-Verbindung ist unser Guest Netzwerk (limitiert auf http/https/dns/mail auf Hardware Firewall) im IP Range 192.168.112.x.


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


[CODE]Additional
FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


und finally hier der neue Scan:

Ich weiss nicht wieso dort im Log steht "Google IP is unreachable" und "Yahoo.com is unreachable". Diese Seiten funktionieren einwandfrei.
Ohne Windows Update werde ich früher oder später sicher Malware haben, daher wäre ich froh um Ratschläge.
Ich habe auch mal WindowsUpdate.log angeschaut und dort sind noch mehr Fehlercodes und Warnungen vorhanden, aber irgendwie nix vernünftiges.
Die nächsten 5 Tage werde ich keinen Zugang zu besagtem Problem-Rechner haben, es kann daher etwas dauern, bis ich dann wieder antworte.

Servus,


vielen Dank für die Informationen und die Logdateien.


Was wir tun können bzw. wobei ich evtl. helfen kann:


Möglichkeit 1:
Da du immer noch von Malware als Ursache ausgehst, könnten wir zuerst noch ein paar Tools über den Rechner jagen und anschließend die Tools ausführen, die ich kenne, um Windows- bzw. Update-Probleme zu beheben.

Möglichkeit 2:
Wir führen gleich die Tools aus und versuchen so die Update-Probleme zu beheben.


Lass es mich einfach wissen.

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!

Hmm. Was ist genau der Unterschied zwischen den zwei Varianten? Ich meine, das Update Problem muss auf jeden Fall behoben werden. Wenn du dazu Ideen hast können wir das gerne machen. Im Fall 1 würden wir nur erst sicherstellen (mit weiteren Tools/Scans) dass keine Malware drauf ist, korrekt? Aber auch im Fall 2 müssten wir ja einen neuen Check machen, oder? Ist also eigentlich egal. Wir können also gut Variante 2 nehmen, da die schneller zu gehen scheint.

Und sorry für die späte Antwort - ich sagte ja ich habe keinen PC Zugriff für über eine Woche.

Servus,




bitte alle Tools vom Desktop ausführen.




Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hier ist der Scan:

Servus,




Schritt 1
Schließe alle offenen Programme.
Downloade dir WinUpdateFix auf den Desktop.
Starte das Tool, es öffnet sich ein Fenster.
Wähle unter Selection erst Tous und dann Executer aus.
Bestätige auftretende Meldungen mit Ok.
Dein Rechner wird neu gestartet.

Öffne nach dem Neustart WinUpdateFix nochmal und vergewissere dich, dass unter Services überall Demarre und Automatique steht.
Sollte dies nicht so sein, so drücke die entsprechenden Buttons.

Überprüfe nun, ob Windows Update wieder funktioniert.






Schritt 2
Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Schritt 1: Hat nicht funktioniert. Das Tool ist erfolgreich durchgelaufen (alle Optionen aktiviert wie beschrieben), hat rebooted und beim zweiten Start habe ich kontrolliert, ob "Automatisch" gesetzt ist (ist korrekt). Beim Öffnen von Windows Update erhalte ich ein rotes Kreuz mit der Meldung dass noch nie ein Scan gelaufen wäre. Wenn ich auf "Check for Updates" clicke sucht er mehrere Minuten, bis ich dann die Fehlermeldung mit Code 8007000E erhalte.

Schritt 2:
Hinweis: Der Rechner ist am Gäste-Netzwerk angeschlossen. Dort ist nur HTTP (Ports 80 und 443) sowie Email und DNS freigeschaltet. Braucht Windows Update vielleicht noch etwas anderes?

Inzwischen habe ich mal nach dem Fehlercode gegoogelt.
Dabei bin ich auf diesen Artikel gestossen: Henk's blog: Some clients not updating, reporting 8007000E error in WindowsUpdate.log
Im Update zuunterst steht, dass KB3102810 (https://support.microsoft.com/en-us/kb/3102810) den Hotfix ersetzt.
In der Beschreibung zum KB steht, dass Windows Update sehr lange laufen kann oder 100% CPU braucht und dies ein optionales Update für Windows ist. Ich habe diese dann manuell installiert (d.h. nicht mit Windows Update, sondern als Einzel-Download). Installation war erfolgreich.
Nach dem Reboot habe ich nochmal probiert, aber keine Verbeserung - Windows Update habe ich nach vier Stunden "Checking for updates" dann abgebrochen, d.h. diesmal dann keine Fehlermeldung.
Ich habe gedacht, dass ich nach der Installation nochmal dein Repair-Tool laufen lasse und dann ist mir aufgefallen, dass (nach dem Reboot) im Tool die zweite Box nicht auf "automatisch" stand. Entweder habe ich das beim letzten Post nicht gesehen, oder ich hatte nur die linke Box angeschaut. Ich habe also nun das auch auf "automatisch" gestellt (zweite Box ist übrigens BITS, also der wichtige Service) und gerebootet. Nach dem Reboot habe als erstes nochmal WinUpdateFix laufen lassen (ohne Repair, nur Anzeige) und nun stehen alle drei auf grün und automatisch. Es wird also nicht immer wieder ausgeschaltet.
Aber immer noch gleiches Problem - Windows Update sucht ewigs nach Updates.
Im Eventlog sehe ich auch keine Fehler, die auf Probleme schliessen lassen (1 WMI Fehler und 2 Warnungen vom Druckertreiber über veraltetes Flash bei jedem Boot).

Servus,


ich weiß nicht, welche Ports Windows 7 für ein Update benötigt. Die Dienste scheinen aber an sich jetzt zu laufen. Hhmm...


Kannst du den Rechner nicht an einen Ort bringen, an dem es keinen Einschränkungen gibt?



Schon das hier probiert wegen der Fehlermeldung?
1)
Windows Update-Fehler 80070008 oder 8007000e

2)
Windows Update troubleshooter





Nochmal FRST bitte:

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Laut meiner Google-Recherche müsste Port 80 und 443 für Windows Update ausreichen. In Ergänzung zum Originalpost, ist auch noch NTP erlaubt. Einen anderen Internet-Anschluss habe ich gerade nicht zur Verfügung, aber ich habe mir mal die Firewall Logs angeschaut. Keine blockierten Zugriffe, ausser einen mit Port 67 (Zugriff auf Firewall) beim Reboot der Firewall mitten in der letzten Nacht, vermutlich DHCP oder sowas. Ich sehe da keinen Zusammenhang.

Das Tool 1 habe ich schon mehrfach laufen lassen. Bei jedem Run erhalte ich verschiedene Meldungen. Ich habe es gerade zwe Mal laufen lassen. Jedes Mal erscheinen 1-4 Meldungen mit "gefixed" und 1-2 Meldungen mit "not fixed". Beim zweiten Lauf zum Beispiel habe ich folgende drei Zeilen:
Windows Update error 0x8024402C(2016-02-14-T-04_51_21P) - not fixed
Problems installing recent updates - not fixed
Service registration is missing or corrupt - fixed
Wenn ich jedoch die "Details" aufrufe erhalte ich folgendes:
Service registration is missing or corrupt - fixed
Windows Update error 0x8024402C(...) - fixed
Problems installing recent updates - fixed
6x Potential issues - issue not present
Service registration is missing or corrupt - fixed
Windows Update error 0x8024402C(...) - fixed
Problems installing recent updates - fixed
Potential issues that were checked (6x issue not present)

Das Tool 2 habe ich erfolgreich durchlaufen lassen (kannte ich nicht, aber scheint nur für Installationen zu sein).

Beides hat nichts gebracht.

FRST:

FRST Logfile:
--- --- ---


[CODE]Additional
FRST Logfile:
--- --- ---


Ich habe mir die beiden Files oben mal angesehen. Kommentare:
192.168.1.1 ist NICHT die IP Adresse des Routers, aber bei Tcpip\..\Interfaces aufgelistet
Chrome ist nicht installiert, aber es werden ein paar Sachen dazu aufgelistet
Keine Ahnung was C:\Qoobox ist
SteelWerX ist mir auch unbekannt
Die zwei Einträge im Eventlog mit wuaueng.dll scheinen interessant, sind aber schon vom 31. Januar.

Servus,


schade, dass die Programme nicht geholfen haben.



Das gehört alles zu ComboFix, haben wir schon ausgeführt.






Lade dir die Datei Analyse1.bat auf den Rechner.
Starte Sie als Admin und poste mir bitte die Logdatei.
Rechner neu starten.







Wenn ich das richtig lese, hat die wuaueng.dll keinen Zugriff auf den Ordner SoftwareDistribution.
Du könntest mal folgendes versuchen:
1. Windows Update Dienste beenden (net stop wuauserv, net stop cryptsvc, net stop bits, net stop msiserver)
2. Ordner C:\Windows\SoftwareDistribution in C:\Windows\SoftwareDistribution_old umbenennen.
3. Ordner C:\Windows\System32\catroot2 in C:\Windows\System32\catroot2_old umbenennen
4. Windows Update Dienste starten (net start wuauserv, net start cryptsvc, net start bits, net start msiserver)

Wenn es geholfen hat, die Ordner _old per Hand löschen.

Ist ja klar, das athr ist doch der WLAN driver, oder? Den habe ich absichtlich deaktiviert, weil der Treiber den Bluescreen beim booten verursacht. Den möchte ich ja per Windows Update aktualisieren.

Auf der Seite hxxp://www.updatexp.com/0x8024402c.html stehen noch ein paar Infos. Alles dort deutet irgendwie auf Proxy/Verbindungsprobleme hin. Das unter #FIVE (zuunterst) mit dem WinHttpSettings Eintrag löschen habe ich probiert - ohne Erfolg.

Das mit dem Zugriffsproblem ist während unseren Tests passiert - am 31. Jan waren wir ja schon am testen. Vermutlich Repair laufen lassen während Update check noch lief oder sowas.

Ich habe nach dem letzten Post bereits versucht die erwähnten Verzeichnisse zu löschen (gemäss Antwort von Carsoma in hxxp://superuser.com/questions/539411/pc-boots-then-writes-giant-datastore-edb-file-slowing-the-computer-down). Hat nichts gebracht. Ich hätte die Backups noch. Das sind aber nur zwei Subverzeichnisse von SoftwareDistribution gewesen. Ich werde mal deinen Vorschlag (den ganzen Ordner SoftwareDistribution und auch catroot2 zu löschen) noch probieren, bezweifle aber, dass ich damit mehr Erfolg habe. Ich poste nochmal, wenn das was ändert, sonst gehe mal davon aus, dass das auch nichts gebracht hat.

Mir fällt im Moment leider nichts mehr ein.

Evtl. hat noch jemand hier eine Idee.

Da es keine Probleme mit Malware gibt, sind wir hier fertig.




Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.




http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis:
DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.




http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:
Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.







Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.




Optional:
http://filepony.de/icon/adblock_firefox.pngAdblock Plus Kann Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren.
http://filepony.de/icon/noscript.png NoScript Verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.

Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .




Abschließend noch ein paar grundsätzliche Bemerkungen:

• Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
• Lade keine Software von Chip, Softonic oder SourceForge. Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software oder Adware installiert.
• Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Selbst Microsoft unterstützt sog. Registry-Cleaner nicht. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Ich bin froh, dass wir helfen konnten :abklatsch:

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank! :)

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Ich konnte inzwischen das Windows Update Problem beheben. Zur Info für allfällige zukünftige Hilfesuchenden, hier noch was bei mir geholfen hat:
1. Im Control Panel (Systemsteuerung), Power Options (weiss nicht wie das auf deutsch heisst) war der "Balanced" Plan eingestellt. Mit "change plan settings" die Option "put computer to sleep" mit "plugged in" auf "Never" stellen. Ansonsten geht der Computer einschlafen und nach dem wiederaufwecken fängt die Suche wieder von vorne an. Ich hatte zwar bisher schon mehrere Stunden suchen lassen (indem ich dabei sass und immer wieder die Maus bewegt hatte), aber die paar Stunden haben nicht gereicht. Weiter unten mehr dazu, aber eine vollständige Suche kann bis zu 4 Tagen dauern.

2. SoftwareDistribution und catroot(*) und catroot2 Verzeichnisse löschen gemäss Anleitung von M-K-D-B:

---
1. Windows Update Dienste beenden (net stop wuauserv, net stop cryptsvc, net stop bits, net stop msiserver)
2. Ordner C:\Windows\SoftwareDistribution in C:\Windows\SoftwareDistribution_old umbenennen.
3. Ordner C:\Windows\System32\catroot2 in C:\Windows\System32\catroot2_old umbenennen
4. Windows Update Dienste starten (net start wuauserv, net start cryptsvc, net start bits, net start msiserver)
---

(*) catroot zu löschen war ein Fehler, weitere Infos siehe weiter unten, obwohl das auch mit Windows Update zusammenhängt, genau wie catroot2

3. Gemäss Antwort von Moab hier: hxxp://superuser.com/questions/951960/windows-7-sp1-windows-update-stuck-checking-for-updates
- Service Pack 1 installieren (war hier schon)
- Download (ohne installieren) KB3135445 von hier: https://support.microsoft.com/en-us/kb/3135445 und lokal speichern
- Download (ohne installieren) SUR Tool von hier: hxxp://windows.microsoft.com/en-us/windows7/what-is-the-system-update-readiness-tool und lokal speichern
- Internet-Verbindung trennen (war bei mir ganz einfach; Kabel ausziehen, da WLAN sowieso nicht geht)
- Reboot ohne Internet
- Install KB3135445 und reboot wenn am Schluss danach gefragt wird, immer noch ohne Internet-Verbindung
- SUR Tool installieren. (das kann viele Stunden dauern)
- Reboot und Internet wieder verbinden
- Windows Update starten und nach Updates suchen
- Wenn immer noch eine Fehlermeldung angezeigt wird (war bei mir der Fall), dann das Windows Update Fixit Tool laden von hier: hxxp://go.microsoft.com/?linkid=9665683 und ausführen. Bei Start "aggressive mode" aktivieren.
- Reboot

4. Windows Update erneut suchen lassen. Dies kann bis zu vier Tage dauern gemäss anderen Posts die ich gefunden habe. Bei mir hat es 1.5 Tage gedauert, bis die Liste erschien (104 Updates verfügbar).

5. Ich habe alle Updates installiert und rebootet. Danach hat der Rechner nicht mehr gestartet mit Fehlermeldung (Bluescreen) STOP: c000021a {Fatal System Error}, The verification of a KnownDLL failed. system termination unexpectedly with a status of 0xc0000428 (0x94334560 0x00000000)., The system has been shut down.

6. Windows startup repair mittels Rücksetzen auf Restore Point.

7. Erneut Windows Update laufen lassen (wieder einen Tag warten). Danach nur wenige Updates installieren und rebooten. Wenn boot erfolgreich ist, neu starten und nochmal Windows Update suchen lassen und wieder ein paar Updates installieren. Wenn nicht erfolgreich, wieder zurücksetzen mittels Restore Point.

8. Dies hat dann bereits etwa eine Woche gedauert, da ja jedesmal wieder Windows Update Suche laufen lassen mindestens einen Tag gedauert hat. Einmal hat dann das System erfolgreich gebootet, aber mit einem Update der zuvor fehlgeschlagen ist. Ich habe dann einige weitere Updates installiert und gerebootet. Das hat dann erneut zum Fehler mit "verification of KnownDLL failed" geführt und ein Zurücksetzen mittels Restore Point hat nichts mehr geholfen. Auch Last Known Good Configuration half nicht.

9. Ich habe herausgefunden, dass die Boot-Option "Disable Driver Signature Enforcement" das einzige ist was hilft, um das System überhaupt noch zu booten.

10. Da keine Change mehr bestand mittels Restore Point zu einem funktionierenden System zurückzukommen (Boot nur noch mittels der Boot-Option "disable driver signature enforcement" möglich), habe ich beschlossen erst mal alle Updates von Windows Update zu installieren, inklusive optionale Updates und Treiber-Aktualisierungen. Dies hat auch mein WLAN-Problem behoben.

11. Ich habe noch ein defrag auf der Harddisk laufen lassen, da dies ja auch zu langsamem Scannen beitragen kann. Ebenfalls ein chkdisk mit allen Repair-Optionen (/F /R).

12. Seither funktioniert Windows Update wieder vernünftig schnell und ein "Scan for Updates" läuft wieder in ein paar Minuten durch.

13. Ich habe sfc /SCANNOW versucht, aber es konnte das unsigned Treiber-Problem nicht reparieren. Im erzeugten Logfile standen zwar viele Warnungen, aber nach langer Recherche scheinen diese Warnungen normal zu sein.

14. Ich habe einen exzellenten Artikel zum Thema unsigned Treiber gefunden: https://blogs.technet.microsoft.com/askcore/2012/04/15/troubleshooting-boot-issues-due-to-missing-driver-signature-x64/
Dort wird empfohlen Sigcheck zu installieren (von https://technet.microsoft.com/en-us/sysinternals/bb897441.aspx); ich habe das exe ins system32 kopiert. Mit dem Kommando sigcheck.exe -i c:\windows\system32\drivers\srv.sys kann dann die Signatur überprüft werden. Die hiess bei mir "unsigned", was also den Fehler bestätigt hat. Als Reparatur wird empfohlen von einem funktionierenden PC sowohl den Treiber als auch das Catalog-File zu kopieren. Ich habe also erst mittels Eventlog die Liste der Problem-Treiber ermittelt (z.B. war srv.sys und srv2.sys in der Liste, also Microsoft System-Treiber, die nicht unsigned sein sollten). Ich habe dann auf einem funktionierenden PC sigcheck ausgeführt für srv.sys und als dann als Pfad für das Catalog-File C:\windows\system32\catroot\... aufgeführt war, ging mir ein Licht auf. Das war ja das Verzeichnis, das ich im Schritt 2 gelöscht hatte.

15. Ich habe das Verzeichnis catroot vom noch vorhandenen backup zurückgespielt (also gemerged mit den neueren Einträgen im neuen catroot Verzeichnis). Seither kann ich auch wieder normal booten.

16. Da Windows Update wieder funktioniert und auch booten wieder ohne Spezial-Optionen möglich ist, ist das Problem gelöst. Ich musste nur noch mühsam wieder einen Bluetooth Treiber suchen, den ich im laufe dieser Experimente auch gelöscht hatte, aber auch das war erfolgreich.


17. Im Windows Application Eventlog erschien noch ein Fehler, dass Flash zu alt wäre ("version <8") mit Herkunft von einem Druckertreiber. Das ist ja richtig, da ich Flash deinstalliert hatte. Da der Druckertreiber das aber vielleicht braucht, habe ich noch Flash in der neuesten Version installiert. Ist mir nicht ganz wohl dabei, aber wenn der User das braucht...

18. Ein neuer Lauf mit sfc /SCANNOW findet keine Fehler mehr.

19. Im Windows Security Eventlog erhalte ich aber beim Booten immer noch etwa 10 Meldungen mit unsignierten Treibern, z.B. für srv.sys:
"Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error."
File Name: \Device\HarddiskVolume2\Windows\System32\drivers\srv.sys
Wenn ich jedoch sigcheck -i filename mache, dann erhalte ich "signed" und noch mehr Informationen. Bei diesen "mehr Informationen" steht, dass eines der Zertifikate abgelaufen ist (Thumbprint 5C616DC011E309DFCD15C0EA32494186654A2CDC und 7CB0244C7CEC5283E7EFDADF5CCC58772DD67F42, "This certificate or one of the certificates in the certificate chain is not time valid.") Es ist tatsächlich abgelaufen. Auf einem anderen Rechner (Windows 8.1 64-bit) erhalte ich jedoch die gleiche Meldung, ohne jedoch Fehler im Eventlog. Also entweder dies ist eine erwartete Meldung im Security Eventlog durch ein abgelaufenes Zertifikat, oder es ist immer noch etwas kaputt, das ich jedoch nicht beheben kann ohne noch mehr Zeit aufzuwenden. Da aus Benutzer-Sicht wieder alles funktioniert geht der Rechner nun wieder so zurück an den Besitzer (Family).

Der Vollständigkeit halber noch die Ausgabe von sigcheck -i path\srv.sys (ein Treiber, der im Eventlog als invalid hash angezeigt wird, siehe oben):
Hier weiss ich auch nicht weiter ohne noch enorm viel Zeit aufzuwenden. Für den Benutzer sollte dies aber keine Probleme verursachen, da Booten ja jetzt wieder normal geht.

20. Ich werde noch die Cleanup-Tools laufen lassen die du gepostet hast (und hoffe, die machen mir jetzt nichts mehr kaputt).

Danke für deine Hilfe.