*** hat einen Fehler entdeckt und muss geschlossen werden
 

Hallo,

vor einiger Zeit habe ich schon einmal hier Nächte verbracht und ich konnte mir Dank der alten Threads selber helfen. Danke! :applaus:

Jetzt habe ich aber wieder (immer noch?) etwas, was nicht auf meinen Rechner gehört.

Folgende Fehler treten auf:

1. Bei jedem Programm, wenn es geschlossen wird, taucht die Meldung auf: "*** hat einen Fehler entdeckt und muss geschlossen werden". Auch zu Beginn des Hochfahrens tauchen solche Meldungen auf, hauptsächlich "regmon.exe hat...".

2. Das Anzeigen von Internetseiten in Firefox 3.5.11 ist, insbesondere bei ebay-Seiten nicht vollständig, bzw. es wird gar nicht geladen. Auch bei Seiten, die vollständig geladen aussehen, sieht man im Reiter, dass er weiter lädt (z. B. diese Seite jetzt).

3. Aktualisierung von Antivir ist nicht mehr möglich.

4. IE 8 kann nicht gestartet werden

5. Firefox 3.6 kann nicht gestartet werden (3.5.11 geht)

6. Über Systemsteuerung können keine Programme deinstalliert werden

7. beim Editieren von Punkt 6. hängt sich Firefox auf



Malwarebytes (aktualisiert) ergibt folgenden LOG:

Fehler sind danach noch vorhanden.

OTL.Txt:

Extras.txt:

Ich hoffe, ich habe die Anleitungen alle richtig befolgt.

Antivir war deaktiviert.

Grüße

Holger

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten.

Hallo,

es gibt noch einige ältere von vor ein paar Monaten, nachfolgend der älteste zuerst:

Grüße

Holger

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,

hier der log-file nach dem Neustart:

Grüße

Holger

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

also CCleaner vor cofi.exe, richtig?

Das geht nicht. Bei der Installation von CCleaner kommt erst das Menü mit den 5 Haken, dann ein Feld, in dem nur oben steht:

"Kostenlos! Google Chrome, der schnelle Webbrowser"

Unten dann auf "Installieren", dann kommt gleich die Fehlermeldung, die im Threadtitel steht:

CCleaner Installer hat ein Problem festgestellt und muss beendet werden.


Grüße

Holger

Dann lass den CCleaner weg.

Hallo Arne,

dann hier das logfile vom combifix:

Grüße

Holger

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Arne,

zunächst ein Fehler meinerseits: Ich habe die online-Abfrage von Osam doch gemacht, das hatte ich vergessen. SORRY.

Hier der GMER-log:

Hier der OSAM-log:

Und der mbrcheck:

Grüße

Holger

Hast schon alles richtig gemacht ;)

Der MBR-Code wundert mich ein wenig, du hast ja XP und kein Win98 :D

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck nochmals aus und poste das neue Log.

Meinst Du:

"Verzeichnisdienstwiederherstellung (Windows-Dömanencontroller)?

Nein das meine ich nicht. Du sollst die beiden o.g. Befehle in der WHK ausführen.

???

Jetzt bitte für Langsamdenkende, irgendwas mache ich falsch. :wtf:

Ich habe neu gestartet und F8 gedrückt, in der (irrigen?) Annahme, das würdest Du mit Bootmenü meinen. Und da finde ich nichts, was nach WHK klingt (obwohl ich sicher bin, dass sie gestern installiert wurde, eben nur das von mir genannte. :balla:

Wohl nicht?

Holger

Nein, von CF wurde die Wiederherstellungskonsole installiert. Du bekommst ein Bootmenü beim Start des Rechners für ein paar Sekunden eingeblendet wo du eben Windows normal oder eben die WHK starten kannst. Also nichts mit F8 oder so machen.

Hmmm...

O.K., habe jetzt auf Windows normal starten gedrückt, dann kam ein neues Menü, das hat mir "Windows Recovery Console" angeboten, ausgewählt, gedrückt, und dann war sofort alles schwarz. :eek:

Holger

Alles schwarz? Keine Konsole (Eingabeaufforderung, sieht nach DOS aus, ist aber kein DOS)

Schwärzer geht nicht. Keine Eingabeaufforderung. Rechner läuft aber noch.

Holger

Hm, mach mal einen Reset und probier es nochmal.
Den schwarz-weißen Ladebalken hast du aber schon gesehen als du die WHK gestartet hast?

Nix Ladebalken.

Gedrückt, sofort schwarz.

Ich mache mal reset, vielleicht lag´s ja am F8?

Holger

Ohne F8 komme ich an keine WHK.

Ja du musst doch kurz ein Bootmenü sehen??
Schau mal in die C:\boot.ini (mit notepad öffnen) und den Inhalt dieser Datei mal posten.

Ich traue mich das jetzt kaum zu schreiben, aber ich finde keine boot.ini. :wtf:

Nur eine boot.bak

Holger

Du musst dir alle Dateien anzeigen lassen. versteckte Dateien und geschützte Systemdateien.

Bin da nicht so bewandert,

habe jetzt eine Anleitung gefunden, hoffe das war ziehlführend, über Arbeitsplatz, Rechtsklick...

Grüße

Holger

Veränder mal das timeout von 2 auf 30 also

und speicher ab. Ggf. das schreibgeschützt-Attribut der boot.ini vorher entfernen über Rechtsklick, Eigenschaften

Wenn du dann Windows neustartest sollte 30 Sekunden das Bootmenü eingeblendet werden, also das ob du Windows oder die WHL starten möchtest :rolleyes:

Hallo Arne,

timeout=30 habe ich über einen Menüpunkt gemacht, da konnte man das einstellen.

WHK habe ich gesehen, ausgewählt, return-----> schwarz, schwärzer geht nicht, kein Ladebalken :heulen:

Holger

Ok dann gehts nicht.
hast du eine normale WindowsXP-CD zur Hand?

Habe nur eine Wiederherstellungs CD, die beim (medion) Rechner dabei war.

Holger

Du musst eine normale Setup-CD haben. Boote von der, bei manchen WinXP-Recovery-Geschichten hat man auch die Möglichkeit eine ganz normale Installation durchzuführen. Wenn das bei deiner CD nicht möglich ist, bitte eine ganz normale XP-Setup-CD besorgen.

Mit der Recovery CD geht das nicht.

Habe jetzt eine andere CD besorgt und habe von der gestartet.

Soll ich jetzt XP neu installieren, also EINGABETASTE oder R (oder F3)?

Holger

R!

(zehnzeichenregel)

Bei welcher Windows-Installation möchten Sie sich anmelden?

Sollen da jetzt die Befehle hin?

Holger

Ja bei welcher wohl?! Da wird dir ne Ziffer angezeigt" :wtf:

Hmmm, also eine Ziffer würde ich erkennen, wenn da eine wäre. :balla:

Der linke und obere Textrand ist abgeschnitten, den Text muss ich sinngemäß ergänzen.

In der Zeile oberhalb des von mir geschriebenen Textes steht C:\Windows

Da ist links davon noch ein Zeichen, aber davon sehe ich nur noch 2 Pixel. :heulen:

(Ich bin ja nicht ganz blöd, menno) :pfeiff:

Doch in bin blöd, jaja :stirn:

So, Blödheit erfolgreich überwunden, hier jetzt der neue mbrcheck-log

Grüße

Holger

Hey Holgi,

zum Glück haste deine Unwissenheit (nicht Blödheit!) mit meiner Hilfe überwinden können! :abklatsch:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

O.K., das wird erst morgen etwas.

Zunächst einmal ein ganz großes :dankeschoen:

Werde mich jetzt erst einmal dem blauen Link in Deiner Signatur widmen.

Grüße

HolgER :aufsmaul:

Du bist jetzte aber nich mein Vaddi (der heißt auch Holgi :D)

Wieso auch? :nono:

O.K., die Spende ist raus, ich kann nur sagen: Professionell, schnell, gut

HolgER (auch wenn der Kurze meiner Freundin immer den Namen Deines Vaters verwendet)

:dankeschoen:

Hallo Arne,

Malwarebytes findet nichts:

Superantspyware läuft noch, aber AntiVir hat sich plötzlich gemeldet (aktualisieren konnte ich es zwischenzeitlich wieder), hier das logfile:

Grüße

Holger

So, und auch Superantispyware hat noch etwas gefunden:

Holger

Dasist ok. Nur Überreste und ein paar Cookies.
AntiVir hat gefixte Dateien gefunden, ist schon ok, die sind im Backupordner von OTL, die sind dort isoliert und harmlos.

Rechner wieder paletti? ;)

Ahh!

Und ich dachte schon, das ginge wieder von vorne los!

Bis jetzt keine Probleme. Habe allerdings noch nicht alles ausprobiert.


Nochmal :dankeschoen:


Eine letzte Frage: Warum das hier:

Wie sieht das mit den anderen Programmen aus? Löschen, deaktivieren, belassen?

Grüße

Holger

Holgi, das ist deine Entscheidung, wirklich stören tun die Programme echt nicht.

Ansonsten wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

jetzt bin ich´s doch noch mal.

Antivir meldete sich gerade mit:


Ist das auch unbedenklich?

Windows habe ich aktualisiert.


Grüße

Holger

Wenn überhaupt nur ein Überrest in einem Wiederherstellungspunkt.
Deakivier mal die Systemwiederherstellung, damit alle Punkte gelöscht werden, sonst könntest du versehentlich auf die Idee kommen, das System zurückzusetzen, als es noch (aktive) infizierte Dateien hatte.

O.K., werde ich machen.

Danke

Holger