Trojaner-Board - WMI hat ein Problem festgestellt und muss beendet werden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - WMI hat ein Problem festgestellt und muss beendet werden (https://www.trojaner-board.de/135692-wmi-hat-problem-festgestellt-beendet.html)

Die WMI Meldung erscheint wieder öfters, auch im abgesicherten Modus kann ich das Programm nicht starten

also, malware scheint s icht zu sein, wmi ist aber ein wichtiger Windows bestandteil. wir könnten halt das System einmal komplett neu machen, falls die CD noch vorhanden ist
bzw könnten wir auch ne reperatur instalation versuchenaber auch dazu is ne Windows cd nötig

Das mit der CD ist kein Problem. Da hab ich die Originale. Aber das hab ich schon sehr oft gemacht und der PC macht immer wieder die selben Probleme. Wenn du möchtest kannst du dir ja meinen anderen Beitrag mal durchlesen.
Ansonsten führ ich mal die Windows Reperatur durch und schaue ob und wie lange es gut geht :)

ja, versuch mal ob die reperatur klappt und ob wir dann evtl. die festplattendiagnose laufen lassen können.
dein windows is aberschon legal oder?

Ja, hab die Original CD damals beim Kauf meines PC´s mitbekommen. Also lass ich mal die Rep-Funktion durchlaufen und schaue ob und wie lange es beesser ist :)

Vielen Dank für deine Hilfe. Werd mich nach der Reperatur nochmal melden

ne rep. und dann festplattentest probieren.

Soo, die Rep. hab ich ausgeführt. Die wmi Fehlermeldung kommt aktuell nicht mehr. Kann das diagnosetool immer noch nicht installieren da die Installation abbricht.
Hab auch Probleme manche Internetseiten zu öffnen (unter anderem auch diese). Sehe nur einen weißen Bildschirm.

Besteht das Problem in allen Browsern?

In Chrome und Firefox. Bei IE klappt es

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

https://support.mozilla.org/de/kb/Le...ederherstellen
lesezeichen bitte sichern.
https://support.google.com/chrome/answer/111899
chrome sauber deinstalieren. da reicht das Löschen der ordner.
vorher den deinstalationsservice über software nutzen
firefox sauber deinstalieren:
https://support.mozilla.org/de/kb/Fi...deinstallieren
ganz normal über software deinstalieren, und über gebliebene Ordner löschen.
dann beide instalieren und testen obs geht

So, hier das Ergebnis. Zwischendrin kam viermal die Meldung das Explorer.exe einen Fehler festgestellt hat und beendet werden muss.

Code:

ComboFix 13-06-02.02 - Thomas 02.06.2013  20:39:42.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1439 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Thomas\Eigene Dateien\Downloads\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-05-02 bis 2013-06-02  ))))))))))))))))))))))))))))))

.

.

2013-06-01 15:28 . 2013-06-01 16:49        --------        d-----w-        C:\ANSTOSS 3

2013-06-01 13:32 . 2013-06-01 13:32        --------        d-----w-        C:\Temp

2013-05-31 20:43 . 2013-05-31 20:43        --------        d-----w-        C:\AMD

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-04-16 22:16 . 2004-08-04 12:00        920064        ----a-w-        c:\windows\system32\wininet.dll

2013-04-16 22:16 . 2004-08-04 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2013-04-16 22:16 . 2004-08-04 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl

2013-04-12 23:28 . 2004-08-04 12:00        385024        ----a-w-        c:\windows\system32\html.iec

2013-04-12 14:00 . 2004-08-04 12:00        1876480        ----a-w-        c:\windows\system32\win32k.sys

2013-03-08 08:36 . 2004-08-04 12:00        293888        ----a-w-        c:\windows\system32\winsrv.dll

2013-03-07 15:56 . 2004-08-04 12:00        2195712        ----a-w-        c:\windows\system32\ntoskrnl.exe

2013-03-07 15:56 . 2004-08-04 00:50        2072320        ----a-w-        c:\windows\system32\ntkrnlpa.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-05-31 345312]

"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2013-04-11 98304]

"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-06-01 33624064]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-05-11 958576]

"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2009-08-15 614400]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

TraXEx 4.0.lnk - c:\programme\TraXEx\TraXEx.exe [2013-6-1 3933304]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [31.05.2013 21:45 37352]

R2 AntiVirMailService;Avira Email Schutz;c:\programme\Avira\AntiVir Desktop\avmailc.exe [31.05.2013 21:45 371768]

R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [31.05.2013 21:45 86752]

R2 AntiVirWebService;Avira Browser-Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [31.05.2013 21:45 562744]

R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [31.05.2013 22:46 103040]

R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [01.06.2013 06:43 1358720]

S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]

2013-06-01 04:37        1165776        ----a-w-        c:\programme\Google\Chrome\Application\27.0.1453.94\Installer\chrmstp.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-06-02 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-06-01 05:06]

.

2013-06-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2013-06-01 04:36]

.

2013-06-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2013-06-01 04:36]

.

.

------- Zusätzlicher Suchlauf -------

.

IE: {{6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - c:\programme\TraXEx\Integration\TraXEx Internet Explorer.lnk

IE: {{8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - c:\programme\TraXEx\Integration\TraXEx Löschautomat.lnk

LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll

TCP: DhcpNameServer = 192.168.2.1 192.168.2.1

FF - ProfilePath - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\nieqdc5r.default-1370063072109\

FF - ExtSQL: 2013-06-01 06:56; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-06-02 20:42

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1???????????????????????????????????????????? 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(628)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\atiadlxx.dll

.

- - - - - - - > 'lsass.exe'(684)

c:\programme\Avira\AntiVir Desktop\avsda.dll

.

- - - - - - - > 'explorer.exe'(3332)

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Zeit der Fertigstellung: 2013-06-02  20:44:20

ComboFix-quarantined-files.txt  2013-06-02 18:44

.

Vor Suchlauf: 7 Verzeichnis(se), 246.709.874.688 Bytes frei

Nach Suchlauf: 9 Verzeichnis(se), 246.969.835.520 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptOut

.

- - End Of File - - 9F5CB3CFE87D6342A29C954D5C96191A

konntest du den browser reinstalieren?

Habe beide Browser neu installiert aber das Problem bleibt das gleiche...

dann setzen wir doch neu auf.
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
recovery cd oder recovery partition.
falls dies ein fertig pc ist, nenne hersteller + typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.