Beim Start von Windows XP erscheint ein Fenster mit dem Hinweis: "Es wurde ein ActiveX Steuerelement blockiert..."
 

Hallo Zusammen,

ich brauche eure Hilfe. Folgendes Problem:

Mein Onkel hat mich um Hilfe gebeten, weil sich kein Virenscanner installieren liest bzw. der Echtzeitscanner gleich deaktiviert wurde und auch das Windows Update liest sich nicht mehr ausführen. Zum System vorab:

Windows XP Prof. SP3

Symptome Windowsupdate
Windowsupdate war in der Systemsteuerung auf Automatisch gestellt --> aber im Sicherheitcenter stand inaktiv
beim manuellen ausführen wurde die Seite blockiert --> "Fehler beim anzeigen..." usw.

Symptome Virenscanner:
MSE installiert --> Echtzeitscanner wurde deaktiviert
MES wieder deinstalliert
AntiVir installiert --> Echtzeitscanner wurde deaktiviert, nach Neustart bliebt der PC bei der Benutzeranmeldung hängen --> also im gesicherten Modus gestartet und Virenscanner wieder deinstalliert und neu gestartet --> so ist er wenigstens erstmal "normal" hochgefahren.

Spätestens jetzt kam bei mir die Vermutung eines Trojaners oder Virus auf :stirn:. Also bin ich wie folgt weiter vorgegangen:

1. Notfall CD von AVG und Bitdefender erstellt.
2. mit Nofall CD von AVG gestartet, Def.-Update heruntergeladen und Festplatte gescannt --> 39 Funde von Trojanern, Backdoor und Viren - oje.
3. Virenfunde (pfadmäßig geprüft und) gelöscht.
4. mit Nofall CD von Bitdefdender gestartet und gescannt --> keine Funde
5. Zugang Internet (RJ45) rausgezogen und neu gestartet.
6. Superantispyware installiert und Vollscan durchgeführt --> Funde gelöscht.
7. Neustart PC
8. AVAST Free installiert und Vollscan - nichts. auch das Fenster mit der o.g. Fehlermeldung war weg.
9. Internetverbindung wieder hergestellt.
10. Windows Update ausgeführt und neu gestartet.
11. Jetzt ist das Fenster mit dem Hinweis auf Blockierung des ActiveX Steuerelement wieder da.
12. Fehler beim Windows Update wie bei Symptome.
13. Windows Update geschlossen und neugestartet --> ging wieder. Er hat auch automatisch fehlende Updates heruntergeladen.
14. Superantispyware erneut ausgeführt (Vollscan) - keine Funde.

Wo könnte ich den noch suchen? Für eure Hilfe bedanke ich mich recht herzlich im Voraus.

Lieben Dank.

Ronny

Hallo und :hallo:

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Diese Angabe hilft so keinem
Bitte beachten => http://www.trojaner-board.de/125889-...tml#post941520

Hallo cosinus,

schon einmal vielen Dank für deine Hilfe. Ich werde mich am Montag um Logs kümmern eher komme ich leider nicht wieder zu meinem Onkel.

Ich wünsche dir vorab schon einmal ein schönes Wochenende.

Ronny

ja schönes WE :party: bis Montag dann :)

Defogger

GMER

OTL

Extra

SuperAntiSpyware

Soll ich die MSInfo32 noch anhängen? Ich hoffe ich habe nichts vergessen.

Schon mal vielen Dank für deine/eure Hilfe.

Ronny

Hast du meinen verlinkten Artikel vergessen? Es ging mir erstmal um die Logs mit den Funden der Virenscanner!

Hallo cosinus,

nein, ich habe das nicht vergessen. Ich hatten den PC mit der AVG Rescue CD gereinigt und dann mit SuperAntiSpyware die restlichen Trojanereinträge gelöscht.

Als dann dies im Fehler beschriebenen PopUp Fenster wieder aufging, habe ich mich erst im Forum angemeldet. Leider hatte ich die Logs nicht gespeichert. Bei nachträglichen Scannen mit der AVG Rescue CD, Bitfender Rescue CD, Avast Free und SuperAntiSpyware wurde leider (oder Gott sei dank) keinerlei Viren/Trojaner gefunden.

Ich weiß, dass war sicher kontraproduktiv, aber ich hoffe du kannst dennoch helfen? Sorry :headbang:

Ronny

1. aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.


2. TDSS-Killer

Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Hallo cosinus,

anbei die Logs:

aswMBR

TDSSKiller Teil 1

TDSSKiller Teil 2

Schon einmal lieben Danke für deine weitere Hilfe. :daumenhoc

Ronny

Ist alles recht unauffällig

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Hallo cosinus,

hier der Log vom adwCleaner

Danke Ronny

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.

Hallo cosinus,

anbei der Log von adwlCleaner

Als ich bei Systemsteuerung/Verwaltung/Dienste rein wollte, kam wieder dieses Fenster. Ich habe ein Screenshot gemacht. Ich hänge es mal an. Vielleicht hilft es dir weiter. OTL läuft gerade. Log kommt dann gleich.

Danke Ronny :abklatsch:

Extras.txt

Warum nur die Extras.txt?
Bzzgl: ActiveX, versuch mal den IE komplett zu resetten, damit die ActiveX-Einstellungen wieder default Werte haben => http://windows.microsoft.com/de-DE/w...rer-8-settings

OTL.txt (mit Option Datei-Alter 30 Tage) --> Option Alles als Anhang da zu groß für Code-Tag

Gleichfalls hänge ich noch ein Bild, von der Systemsteuerung/System/Gerätemanager --> Fehler ist jetzt neu. Ich weiß nicht, ob es jetzt damit zusammenhängt. Wenn nicht, bitte ignorieren - ich finde den Fehler dann schon.

Danke Ronny:daumenhoc

Diese unbekannte Gerät (LEGACY_SASKUTIL) scheint von sasw zu stammen, einfach das Programm mal wieder komplett deinstallieren, beachte die Deinstallationshinweise im SASW Artikel (ganz unten)

Hallo cosinus,

habe die Einstellung resetet. Ohne Erfolg. Was auffällt: Wenn ich Dienst starte und im Reiter "Standard" bin kommt nichts. Sobald ich zum Reiter "Erweitert" wechsle kommt die Fehlermeldung. :headbang: Kannst du damit was anfangen?

Danke Ronny

Probier mal:
1.) Deinstallation von IE8
2.) obligatorischer Windows-Reboot
3.) IE8 neu installieren

Punkt 3 aber bitte erstmal noch nicht machen nur 1+2

Hallo cosinus,

ich möchte bloß noch einmal nachfragen um sicher zu gehen, dass ich nichts falsch mache:

1. Deinstallation über Systemsteuerung/Software/Windowskomponenten entfernen und Haken bei IE wegmachen, richtig??? Braucht man da die Install-CD? Oder gibt es eine andere Möglichkeit?
2. Neustart
3. Wieder bei die melden.

Habe ich alles soweit richtig verstanden?

Ronny

IE8 sollte bei WindowsXP direkt in der Liste der installierten Software erscheinen ggf. "Updates einblenden" (Haken oben setzen)

Hallo cosinus,

ich bin heute Abend wieder bei meinem Onkel. Ich werde den IE8 wie beschrieben deinstallieren und melde mich dann schnellstens.

Schon mal lieben Dank.

Ronny

Hallo cosinus,

ich wollte heute den IE8 deinstallieren, aber in der Systemsteuerung/Software fehlt der Button "Entfernen". Habe alle Updates des IE8 deinstalliert, aber der Button zum Deinstallieren des Hauptprogrammes (IE8) ist dennoch nicht da.

Habe bei mir zu Hause geschaut; bei mir ist er vorhanden. Das Fenster kommt jetzt wieder beim Anmelden des Windowsbenutzers.

Danke weiterhin für deine Hilfe.

Ronny

Hallo cosinus,

kann es evtl. am SP3 hängen? Soll ich mal

%Windir%\ie8\spuninst\spuninst.exe

versuchen? :glaskugel:

Wünsche dir einen schönen Tag.

Ronny

Hallo cosinus,

nochmal die Frage, falls es untergegangen ist:

Mit "%Windir%\ie8\spuninst\spuninst.exe" versuchen den IE8 zu entfernen?

Danke für deine Rückantwort und ein schönes Wochenende.

Ja, "C:\WINDOWS\ie8\spuninst\spuninst.exe" müsste richtig sein

Hallo cosinus,

so IE8 ist runter. Wenn ich in Systemsteuerung/Verwaltung/Dienste reingehe, bleibt bei Erweitert alles leer, wenn ich zu Standard wechsle kommt Fehlermeldung:

"Die aktuellen Sicherheitseinstellungen erlauben keinen Download dieser Datei"

Screeshot habe ich erstellt und könnte dir diesen bei Bedarf zukommen lassen.

Vielen Dank für deine weitere Hilfe.

Ronny

:party:

Eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Hallo cosinus,

ich finde leider nur die OTL.txt

Sagmal, ist das ein Firmenrechner?! :wtf:

Nein, es WAR mal ein Firmenrechner. Mein Onkel hat sich zur Ruhe gesetzt, aber den Rechner mit nach Hause genommen. Ich konnte den PC leider nicht neu aufsetzen, da die Windows CD fehlt.

Es haben 3 "Administratoren" "gewütet". Ich glaube einer hat mehr Mist gebaut als der Vorgänger. :headbang:

Kannst du trotzdem helfen? Hast du etwas gefunden?

Danke für deine Hilfe.

Ronny

Mir ist das nur jetzt erst aufgefallen :stirn:
Warum hat man sinngerweise das Teil nicht mal geplättet und neu installiert? Warum will man in den Altlasten der Vornutzer rumwühlen? :wtf:

Hallo cosinus,

im Grunde hast du Recht. Aber auf dem Rechner ist auch ein Office Paket von MS, wo leider auch die CD und somit der Lizenzschlüssel fehlt - oder kann man den Lizenzschlüssel irgendwo finden?. (Sauordnung - Handwerker halt) Und es sind noch Programme drauf, welche wir aufheben müssen, zwecks Finanzamt. Komplett platt machen ist leider nicht so einfach.

Wenn keine Hilfe mehr möglich ist, muss ich halt sehen, dass ich eine Festplatte finde und wir kaufen uns Windows XP Pro. Oder hilft ein Upgrade zu Win8??? Mit vorheriger Sicherung der Eigenen Dateien?

Danke Ronny

Dann stimmt die Aussage aber nicht, dass es mal ein Firmenrechner war wenn der immer noch bestimmte firmenrelevante Programme und Daten vorhält
...aber so ist das doch keine reine Privatkiste! :nixda:

Wenn die Programme und Daten so wichtig sind wird man sich ja bestimmt auch mal um ein Backup der wichtigen Daten die ihr aufbewahren müsst gekümmert haben?
Oder macht ihr dicke Backen wenn zB jetzt die Festplatte von diesem Rechner das zeitliche segnet? :dummguck:

Hallo cosinus,

mein Onkel hat voriges Jahr im Sommer sein Geschäft aufgeben. Wie schon einmal gesagt: Es herrscht ein relativ großes Durcheinander, was Backups, Installations-/Treiber-CD betrifft. Das was ich jetzt bei meiner Hilfestellung gesehen habe, habe ich erstmal auf einem USB Stick gesichert. Das Hauptprogramm ansich ist dann schon wieder das nächste Problem.

Nichts destotrotz möchte er das Office Paket auch privat weiternutzen und nicht noch einmal Geld ausgeben. Da ich mich jetzt noch nicht mit der Wiederbeschaffung der vorhandenen Lizenz (Datenträger mit Lizenz nicht mehr vorhanden) beschäftigt habe, rühre ich die Festplatte erstmal nicht an.

Trotzdem Danke Ronny

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Hallo cosinus,

ich möchte es nicht versäumen dir ein gesundes neues Jahr zu wünschen. Ich bin heute wieder bei meinem Onkel.

Probiere dann den Fix.

Wünsche dir eine angenehme Woche :daumenhoc.

Ronny

Moin und danke! :)
Hast den Fix schon hinbekommen?

Hallo cosinus,

anscheinend habe ich etwas falsch gemacht? :wtf: OTL ist beim Script abgestürzt und auch der Taskmanager lies sich nicht mehr aufrufen. Es half nur noch ein Kaltstart.

Ich habe das Script so übernommen, wie im Code-Tag ersichtlich. War das falsch?

Danke Ronny

Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

Hallo Cosinus,

ich konnte mich aufgrund einer längeren Krankheit nicht melden. Im abgesicherten Modus hat es geklappt.

Vielen Dank nochmals für deine.

Wenn wieder ein Ausbildungsplatz frei wird, wäre ich gern dabei :-)

Mein Interesse an der Bekämpfung von Viren, Tronjanern und Co. ist geweckt.

Wo ist das Log dazu?!