AVAST findet Bootkit?
 

Hallo liebes TB-Team,
Ich habe vor ca. 1 Stunde von AVAST folgende Meldung erhalten
http://img52.imageshack.us/img52/499...0307134005.png
Weitere Logs sind im Anhang!
Bisher habe ich noch nix gelöscht, weder von AVAST noch von MBAM.
LG
Edit:
Vor ca. einer Minute kam noch folgendes:
http://img69.imageshack.us/img69/389...0307145415.png

Hi,

die Funde von MBAM bitte alle löschen.
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

gut, gelöscht!
Weitere Logs:
und
Bin dann nach der Anleitung vorgegangen: http://www.trojaner-board.de/82597-s...entfernen.html
Hatte danach auch keine Probleme mehr.
Der Post war 3000 Zeichen zu lang, deswegen habe ich den 2. MBAM-Log ein bisschen gekürzt.

Aber seit 1-2 Tagen werde ich manchmal auf andere Webseiten umgeleitet, hier ein paar Beispiele:
hxxp://img508.imageshack.us/i/20110307181543.png/
hxxp://img42.imageshack.us/i/20110307181822.png/
hxxp://img850.imageshack.us/i/20110307182332.png/
hxxp://img18.imageshack.us/i/20110307191030.png/
Was soll ich mit der Meldung von AVAST machen?
Grüße,
Matthias

TuneUp zieht sich - warum auch immer - fast durchgängig durch alle Logs hier, warum weiß ich nicht, denn TuneUp ist eigentlich der letzte Schrott => TuneUp: Wundermittel oder Placebo Reloaded | DerFisch.de :stirn:


Wie ich auch sehe, hast du letztens, vor ca. 3 Wochen, combofix ausgeführt. Bitte das Log auch posten.

Anschließend:
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Kommt immer drauf an, was man damit macht ;)
ComboFix:
OTL wird auch gleich gemacht.
Jetzt habe ich aber immernoch dieses blöde Avast-fenster offen, was soll damit gemacht werden? -erstmal ignorieren?
Schonmal danke für deine Hilfe!
LG
EDIT:
OTL-Log

Wieso ist denn das von gestern wo du CF offensichtlich schon Mitte Februar ausgeührt hast?

wenn man CF ein weiteres ausführt überschreibt er den Log vom vorigen Scan.
Kann man den ersten Log noch irgendwo herbekomen?

oh ok seh grad im ordner qoobox sind noch logs.

16. februar
23. februar
So, das wars :)
hoffe konnte dir weiterhelfen.
LG

Wer hat dich eigentlich angewiesen combofix auszuführen? Auf eigene Faust solltest du das nicht tun, denn CF ist KEIN Spielzeug!

Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Ok, werde ich mir merken.

Das ist das Ergebnis vom Bootkit Remover :mad:

LG

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus MBRCheck nochmals aus und poste das neue Log.

Erledigt!
Meinst du Bootkit_Remover oder MBRCheck?
Hier bootkit_remover:
LG

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur einige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

OSAM:
OSAM Logfile:
OSAM Logfile:
OSAM Logfile:
--- --- ---
--- --- ---
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE]
Gmer stützt immer ab.
Danke für deine Hilfe!
MBRCheck findet Windows XP Boot Code!
LG

Bitte mit OSAM deaktivieren und löschen (delete from storage, siehe Anleitung zu OSAM).

Fertig!
was kommt als nöchstes?
LG

Werden die gefixten Einträge bei OSAM noch angezeigt?

Wenn nicht => Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Da wird nix mehr angezeigt...
Soll ich trotzdem nochmal drüberscannen?

Ja die Kontrollscans mit MBAM und SASW will ich sehen

MBAM:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5990

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.03.2011 19:01:23
mbam-log-2011-03-08 (19-01-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 201769
Laufzeit: 31 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10af03d2-2f08-f172-4e03-cc9ffd152314} (Adware.Adrotator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{10af03d2-2f08-f172-4e03-cc9ffd152314} (Adware.Adrotator) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{10AF03D2-2F08-F172-4E03-CC9FFD152314} (Adware.Adrotator) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Spyware.Passwords.XGen) -> Bad: (mltsihgy.dll) Good: () -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\mltsihgy.dll (Spyware.Passwords.XGen) -> No action taken.

superantispyware:

Hast du alle Funde entfernt? Mich wundert es etwas, dass da (wieder?) so viel drauf ist, oder liegt die letzte Entseuchung mit markusg schon wieder so lange zurück :confused:

Ja ich habe alle Funde entfernen lassen.
Das mit den Funden wundert mich auch, vorallem weil beim letzten MBAM-Scan von gestern diese noh nicht drauf waren.
Und ich hab erst mitte Februar formatiert.
LG

Dann solltest du mal dein Surfverhalten überdenken, sowie überlegen, ob die Wahl der Quellen für Software immer die richtige war :pfeiff:

icb weiss selbst nicht, wo die viren herkommen.
ich lade keine illegale software runter, surfe nicht auf unseriösen seiten!
wenn ich mir bei manchen downloads unsicher bin lade ich diese bei virustotal hoch. ich öffne keine email anhänge, lasse die dateierweiterungen anzeigen. windows update ist aktiviert, software ist auch alles die letzte version. und trotzdem kommt da was drauf :\
was ist als nächstes zu tun?
LG

mach nochmal frische Logs mit OTL. Wenn die sauber sind, sollten wir erstmal durch sein, oder hast du noch weitere Funde oder andere gravierende Probleme?

OTL im Anhang.
ich werde immernoch weitergeleitet, vorallem auf die seite für das übersetzungsprpgramm babylon!
werde weiter scans machen...
Danke für deine hilfe!
LG

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

LG

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

ich glaub die datei ist zu groß für den upload server.
hab es jetzt hier hochgeladen, wenn du es gedownloadest hast werde ich es auch wieder löschen...
hxxp://www.file-upload.net/download-3274110/_OTL.rar.html

LG

Führ nochmal CFaus mit einer neuen cofi.exe

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ComboFix:
Combofix Logfile:
--- --- ---

LG

Wizu zwei Virenscanner? Deinstalliere bitte Panda oder Avast!


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Panda habe ich nur installiert, um einen Scan zu starten...
aber meistens ist nur ein guard an.
gut, panda werde ich dann deinstallieren.
oder vielleicht beide und dann antivir drauf machen.
das mit cf werde ich gleich starten!
LG
edit:
laut virustotal sind die dateien sauber.
soll ich trotzdem die anleitung abarbeiten?
hxxp://www.virustotal.com/file-scan/report.html?id=ea29e49434585409272e7901af89771fe9d6e911a7dc44ab3c7020cff8a44552-1299842468
hxxp://www.virustotal.com/file-scan/report.html?id=19d5f8fb1898be1c2fc0ef7e3a57454fe20f3d714637d3c53fa69da16decf6e9-1299842354
hxxp://www.virustotal.com/file-scan/report.html?id=256218c8c842464020c97360ccc4200eaa6402dc17d80df448e6fae5bdca379b-1299842591

Ja bitte. Da sind Hinweise auf eine manipulierte tcpip.sys.

ok, wird gemacht!

So, das ist es:
Combofix Logfile:
--- --- ---

LG

Bitte führe mal dieses Tool von Kaspersky aus => http://www.trojaner-board.de/82358-t...entfernen.html

grad wo du es sagst.
wenn cf scannt, kommt nach ca. 5-10 minuten die meldung, dass rootkitaktivitäten festgestellt wurden und der pc jetzt neustarten wird.
LG
edit:
der tdss killer hat nix gefunden.

Hast du CF jetzt schon wieder ausgeführt? Oder nur das letzte mal bei unserem Fix?

hab antivir installiert und mal ein scan gestartet... scheint aber nix aktives gefunden worden zu sein

was ist das hier?
Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntmsdata\ntmsjrnl
c:\windows\system32\ntmsdata\ntmsjrnl
[HINWEIS] Die Datei ist nicht sichtbar.
LG

Starte den Rechner bitte neu und mach einen neuen durchgang mit combofix mit einer neuen cofi.exe - berichte ob immer noch Rootkitaktivitäten festgestellt werden.

seh grad deinen letzten post, das war beim letzten fix.
dann werde ich cf wieder ausführen.
was soll ich machen wenn wieder rootkitaktivitäten gefunden werden?
muss ich wieder scannen?
das dauert keine 10 minuten wie angegeben sondern min. eine dreiviertel stunde...
LG

Die 45 Minuten werden wir haben müssen ;)

na gut, da muss ich wohl durch :D

und schon wieder rootkitaktivitäten :o
der scan wird noch dauern.

das ging ja mal richtig schnell dieses mal :wtf:
Combofix Logfile:
--- --- ---

Mach mal bitte neue Logs mit GMER, OSAM und MBRCheck.

wie lange dauert denn ungefähr ein scan mit gmer?
würde ich gerne wissen um die zeit besser einteilen zu können.
LG

Kann u.U. schon eine Stunde dauern.

OSAM:
OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE]
MBRCheck:
Der 2te eintrag gehört zu meiner ext. FP.
Wenns nur eine Stunde dauert kann ich damit leben, hab hier schon öfters beitröge gelesen, wo gmer 5 stunden lang gesucht hat und kurz davor gecrasht ist. ;)

LG

Gmer:
GMER Logfile:
--- --- ---

.......

im Ordner
war eine Datei "tmp70.tmp" mit der größe von ca. 9 mb gespeichert.
diese kam mir verdächtig vor, ich habe versucht, mit dem virustotal uploader diese datei zu vt hochzuladen, es kam die meldung, das das hochladen fehlgeschlagen ist (oder so ähnlich), dann habe ich versucht, die datei auf den desktop zu kopieren, zugriff verweigert!
danach hat sich die datei von selbst gelöscht.

Was hat das denn jetzt zu bedeuten?:dummguck:
LG

Mich dünkt, dass das angebliche Bootkit irgendwas mit TuneUp zu tun haben könnte,
mach bitte alle Einstellungen mit TuneUp mal rückgängig und deinstalliere es.

wie kommst du da drauf, dass tuneup damit was zu tun haben könnte?
ich glaub ich lass mbam nochmal scannen.
LG

jetzt liegt im temp ordner eine datei "fla10d.tmp" die jede sekunde um ca. 200kb größer wird.
ich versuch das mal mit nem live system zu virustotal hochzuladen.
LG

ok, ich glaube das war falscher alarm.
ich hab ein youtube video geguckt und als ich firefoc geschlossen habe war die datei auch weg.
mit tuneup hab ich alles rückgängig gemacht und deinstalliert.
aber vor kurzen kam trotzdem noch die werbung für dieses babylon.
was könnte man denn noch machen?
LG

Mach bitte nochmal frische OTL-Logs:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

OTL im Anhang!
LG

ich hab noch mal einen scan mit antivir gestartet.
nur ein trojaner in der system volume information.

Ich hab den Namen des Trojaners mal bei Google eingegeben und hab rausgefunden, dass er erst ca. 1. Woche alt ist.

Lg

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

systemwiederherstellung ist deaktiviert.

OTL-Log:

Wie ist es mittlerweile um deinen Rechner bestellt? Mach der noch Zikcen? :wtf:

im moment merk ich nix, gestern kam aber noch werbung von diesem übersetzungsprogramm. ich werd mich melden wenns wieder zicken gibt ;)

Du könntest nochmal mal dieser Kaspersky Rescue Disk das System scannen => http://www.trojaner-board.de/83997-k...scue-disk.html
Vorteil: Das System wird über ein anderes Betriebssystem gescannt, damit wird sichergestellt, dass kein evtl. aktiver Schädling die Scanergebnisse beeinflussen kann.

da klappt das updaten nicht.
ich drücke auf update, nach 5 minuten kommt die meldung
"update finished, not all components were updated" oder so ähnlich.
und die signaturen sind immernoch die vom 16. oktober 2010.
das internet klappt aber.
woran könnte das wieder liegen?
naja, so wichtig ist der scan aber auch nicht glaub ich.
ich versuch das damm mal mit der live-cd von nem anderen hersteller :)
Lg

Kannst du die Boot-CD von GDATA empfehlen?
(https://www.gdata.de/es/support/top-themen/upgradeservice/download.html)
Danke für deine Hilfe
Gruß

Ja probier damit dein Glück.
Evtl. klappt aber das Update von Kaspersky zu einem späteren Zeitpunkt.

das kam bei GData raus:

LG

Das ist nicht weiter schlimm. Bis auf einem Funde, der im FF-Cache war, wurde alles im Quarantäneordner von AntiVir gefunden, kannste ignorieren.

Stört Babylon immer noch? Wenn ja, fixen wir mal die Einträge von babylon mit OTL. Sag ja! :)

im moment merk ich zwar grad keine werbung, aber wenn du dort einträge zu babylon findest, kann es ja nicht schaden diese zu fixen :)
LG

Hm, im letzten Log seh ich nichts mehr von Babylon :D
Rechner nun wieder ok?

ja, soweit alles ok. wenns probleme gibt melde ich mich wieder :)
Danke für deine Hilfe. :daumenhoc
LG

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink (Mozilla und andere Browser) => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Es kommt jetzt leider wieder Werbung von Babylon :heulen:
OTL:
Extras:
Bitte um Hilfe!
LG

Ich seh da kein babylon :crazy:
Kannst du die Werbung mal bitte genauer definieren? Wann genau tritt sie auf?

ganz unterschiedlich.
manchmal kommt sie, wenn ich eine seite aufrufe, schon nach 5 sekunden, manchmal nach 30 sekunden, meistens aber gar nicht.
also sehr unregelmäßig.
wenn die werbung auftacht, bleibt die URL im browser aber gleich.
dann gibt es unten rechts auf der seite einen link, wo man wieder zurück auf die eigentliche seite kommt.
LG

Besorg dir mal NoScript und Adblock+ für den Firefox.

AdBlock+ hab ich schon.
Mit NoScript wird doch alles animierte und sowas geblockt, oder?
Kein Flash? :(
LG

Nicht alles! Das was du erlaubst wird nicht geblockt! :D

Das Problem mit Babylon hat sich erledigt :dankeschoen:
Aber jetzt hab ich seit ca. 2 Wochen das Problem, dass meine automatischen Updates deaktiviert sind und sich auch nicht mehr aktivieren lassen.
Wenn ich im Sicherheitscenter die Updates aktivieren will kommt die Meldung
http://img821.imageshack.us/img821/2...0412184935.png
Wenn ich manuell die Updates über den Startmenüeintrag einspielen will kommt die Meldung
http://img847.imageshack.us/img847/9...0412185021.png
Und besonders merkwürdig ist, dass sich die Meldungen von Sicherheitscenter und Systemsteuerung widersprechen.
http://img543.imageshack.us/img543/3315/14643265.jpg
OTL:
Hoffentlich gibst du mich nicht auf:balla:
LG Matthias

Seit 2 Wochen? Und natürlich weiß du nicht, was zuvor geändert wurde?
Du hast ein WinXP? Warum sieht das aus wie Vista/7? Beachte dass solche Desktopveränderer tief ins System eingreifen und massive Probleme verursachen können. Bevor man solche installiert, sollte man VORHER ein Vollbackup machen.

Immer mit der Ruhe ;)
Ich hab mein XP schon kurz nach der Installation (ca. 1 Woche danach) gemodded.
Das war auch, bevor ich diesen Thread hier erstellt habe.
Ausserdem habe ich auch vorher ein vollimage mit DriveImageXML erstellt.
Wollte es auch schonmal zurückspielen, aber DriveImageXML meldete mir, dass es nicht auf die Windows-Partition zurückgespielt werden kann.
Vollscan mit MBAM (vorher natürlich geupdatet) läuft seit fast 60 Minuten, bisher kein Fund.
Wär nett, wenn du dir mal den OTL-Log angucken könntest.
LG
Edit:
MBAM ist durch:

Hab den Fehler jetzt selbst behoben. Naja, trotzdem danke...

Ja und was war jetzt der Fehler?

Der Windows-Dienst "Windows Update" existierte nicht.
ich hab dann Folgendes Batch-Skript ausgeführt und danach hat es wieder funktioniert.
Naja, hoffentlich sehen wir uns nicht so schnell wieder ;)
LG

Ok, danke für das Poste der Lösung ;)