Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Frage Windows Update Fehlercode 80072EFE

L

Leguan

Herzlich willkommen
Hallo zusammen,

ich habe in sehr sehr großes Problem mit meinem Vista und hoffe ihr könnt mir dabei helfen! Bitte verzeiht mir dass ich Google nicht im größeren Rahmen bemühen konnte, der Virus verhindert leider auch das, dazu jetz mehr:


Also zunächst bekomme ich beim Windows Update den Fehlercode 80072EFE und ich habe danach auch schon gegooglet aber nichts passte wirklich auf mein Problem. Unter anderem habe ich hier einen Beitrag gefunden, bei dem ein Virus zwar gelöscht wurde aber noch einen DNS-Eintrag angelegt hatte. Ich habe einen solchen Eintrag nicht finden können, mein DNS Eintrag steht auf der Router-IP wie immer.

Es gibt bei mir allerdings noch weitere Probleme, da ich scheinbar einen Virus habe, den Avira und Norten beide nicht finden konnten.

Z.B. kommt regelmäßig ein Avira Dialog:
In der Datei 'C:\Windows\Temp\qwgm.tmp\svchost.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.GX.361' gefunden.

Ich kann die Datei auch löschen, sowie auch den ganzen Temp Ordner leeren jedoch tauchen dort immer wieder neue Einträge auf mit ähnlichen Ordnernamen wie 'qwgm.tmp'.

Leider konnte ich danach auch nicht googlen, da ich weiterhin auch das Problem habe, das der Virus mein Google lahm legt. Erstens geht die Direktsuche oben rechts gar nicht mehr und zweitens wenn ich auf Google gehe und dort suche komme ich beim Anklicken der Suchergebnisse auf Seiten wie: 'http://coollook9.org/gosearch.php?q=....', 'http://www.safe-monitoring-2.in/sx1/' oder irgendwelche Erotik Seiten.

Was funktioniert ist den Link in die Adresszeile zu kopieren, aber leider sind die oft nur unvollständig angezeigt in Google und werden mit ... abgekürzt. Auch Rechtsklick Link-Adresse kopieren geht nicht, da die erst auf eine Google-Weiterleitung verweist. Macht mir das googlen also nur schwer möglich, deswegen tut mir leid, dass ich nicht vorher ausführlicher recherchieren konnte.

Letztes Phänomen, ich kann Windows jetzt gar nicht mehr richtig hochfahren, ich komme in eine Art abgesicherter Modus und habe auch nur die Hälfte an Desktop Icons. Auch neustart hilft nicht, gibt da scheinbar unterschiedliche Varianten dieser Modi, da ich mal mehr mal weniger Desktop Symbole angezeigt bekomme. Jetzt habe ich auch englisches Google und falscher Kodierung des Zeichensatzes so dass keine Umlaute mehr angezeigt werden also alles sehr misteriös!

Was ich gemacht habe ist mehrfach Vollständige Scans mit aktuallisierten Antivirus Programmen die aber nichts finden. Dann Ad-Aware drüber laufen lassen und alles bereinigen lassen.

Ich habe gerade nochmal HijackThis laufen lassen:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:49:31, on 25.06.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Pro...\Common Files\Java\Java Update\jusched.exe
C:\Pro...\Avira\AntiVir Desktop\avgnt.exe
C:\Pro...\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe
C:\Pro...\pdf24\pdf24.exe
C:\PROGRA~1\Intuwave\Shared\MROUTE~1\MROUTE~2.EXE
C:\Pro...\Internet Explorer\iexplore.exe
C:\Pro...\Lavasoft\Ad-Aware\AAWTray.exe
C:\Pro...\Internet Explorer\iexplore.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\cmd.exe
C:\Windows\System32\wsqmcons.exe
C:\Pro...\Internet Explorer\iexplore.exe
C:\Pro...\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0W6DWW6Y\HiJackThis204[1].exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h_t_t_p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h_t_t_p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h_t_t_p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h_t_t_p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h_t_t_p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h_t_t_p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\system32\sdra64.exe,C:\Windows\system32\mstwju32.exe,
O1 - Hosts: ::1 localhost
O1 - Hosts: 74.208.10.249 gs.apple.com
O1 - Hosts: 89.149.225.59 www.google.com
O1 - Hosts: 89.149.225.59 www.google.de
O1 - Hosts: 89.149.225.59 www.google.fr
O1 - Hosts: 89.149.225.59 www.google.co.uk
O1 - Hosts: 89.149.225.59 www.google.com.br
O1 - Hosts: 89.149.225.59 www.google.it
O1 - Hosts: 89.149.225.59 www.google.es
O1 - Hosts: 89.149.225.59 www.google.co.jp
O1 - Hosts: 89.149.225.59 www.google.com.mx
O1 - Hosts: 89.149.225.59 www.google.ca
O1 - Hosts: 89.149.225.59 www.google.com.au
O1 - Hosts: 89.149.225.59 www.google.nl
O1 - Hosts: 89.149.225.59 www.google.co.za
O1 - Hosts: 89.149.225.59 www.google.be
O1 - Hosts: 89.149.225.59 www.google.gr
O1 - Hosts: 89.149.225.59 www.google.at
O1 - Hosts: 89.149.225.59 www.google.se
O1 - Hosts: 89.149.225.59 www.google.ch
O1 - Hosts: 89.149.225.59 www.google.pt
O1 - Hosts: 89.149.225.59 www.google.dk
O1 - Hosts: 89.149.225.59 www.google.fi
O1 - Hosts: 89.149.225.59 www.google.ie
O1 - Hosts: 89.149.225.59 www.google.no
O1 - Hosts: 89.149.225.59 www.google.ru
O1 - Hosts: 89.149.225.59 www.google.ua
O1 - Hosts: 89.149.225.59 www.google.pl
O1 - Hosts: 89.149.225.59 www.google.ro
O1 - Hosts: 89.149.225.59 www.google.co.nz
O1 - Hosts: 89.149.225.59 www.google.in
O1 - Hosts: 89.149.225.59 www.google.th
O1 - Hosts: 89.149.225.59 www.google.tr
O1 - Hosts: 89.149.225.59 www.google.hu
O1 - Hosts: 89.149.225.59 www.google.cr
O1 - Hosts: 89.149.225.59 www.google.lv
O1 - Hosts: 89.149.225.59 www.google.lt
O1 - Hosts: 89.149.225.59 www.google.bg
O1 - Hosts: 89.149.225.59 www.google.be
O1 - Hosts: 89.149.225.59 www.google.vn
O1 - Hosts: 89.149.225.59 www.google.ve
O1 - Hosts: 89.149.225.59 www.google.sw
O1 - Hosts: 89.149.225.59 search.yahoo.com
O1 - Hosts: 89.149.225.59 us.search.yahoo.com
O1 - Hosts: 89.149.225.59 uk.search.yahoo.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Pro...\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Pro...\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Pro...\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Pro...\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Pro...\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Pro...\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Pro...\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Pro...\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Pro...\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Pro...\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Pro...\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Pro...\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Pro...\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Pro...\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Google Sidewiki... - res://C:\Pro...\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Pro...\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Pro...\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Pro...\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Pro...\ICQ6.5\ICQ.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - h_t_t_p://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3FF83B9-A56A-41E9-BCF7-B95385544D39}: NameServer = 192.168.30.250
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Pro...\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: puinsd - puinsd.dll (file missing)
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Pro...\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Pro...\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\Pro...\Apache\bin\h_t_t_pd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Pro...\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Pro...\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Pro...\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Pro...\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Pro...\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Pro...\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Pro...\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Pro...\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Pro...\TeamViewer\Version5\TeamViewer_Service.exe
Zum Vergrößern anklicken....

Ich kann das leider nicht so interpretieren :/ aber diese Google einträge sind doch komisch!

Ich hoffe ich konnte alles so genau wie möglich erklären und jemand kann mir helfen, ich wäre euch sehr dankbar!

Viele Liebe Grüße

-----------------------------

Ich habe schonmal diese komischen Google Einträge entfernt!

Jetzt läuft Google zumindest schonmal wieder aber leider noch kein Windows Update!

Also irgendein Programm legt dauernd neue Ordner in
C:\Windows\Temp an

in den letzten 10 minuten 5 oder 6

cboy.tmp
ytvx.tmp
uptk.tmp
wpxr.tmp

die sind allerdings leer, bzw nach Avira wohl vorher mit svchost.exe bestückt.

Wie finde ich raus woher das kommt?

hier hatte jemand genau das gleiche Problem, leider steht dort keine Lösung
http://www.trojaner-board.de/85143-antimalware-doctor-c-windows-temp-xxx-tmp-svchost-exe.html

(sorry für die vielen Posts, nutze Grade mein Google, das endlich wieder geht)
 
Zuletzt bearbeitet von einem Moderator:
Anzeige
hallo und herzlich willkommen in unserem Forum, Leguan :)
nutz den Tipp von Rudolf

grundsätzlich wenn ich mir deinen LOG anschaue, kannich aber wirklich nur ne neuinstallation empfehlen
geht schneller als das "rumbasteln"
ich hab das Gefühl, dass du dir da schon länger was "eingefangen" hast, was nicht richtig entfernt wurde und im Hintergrund schon einiges modifiziert hat
 
Da gebe ich dem Don absolut recht.
Daten sichern, Festplatte formatieren, Windows neu installieren.
Eine Reparatur ist nur Flickwerk und du weißt nie, ob da nicht noch im HJintergrund etwas Ärger macht.
Das hier:
O20 - Winlogon Notify: puinsd - puinsd.dll (file missing)
z.B. ist recht übel.
Und das lässt sich auf Dauer auch nicht entfernen.
 
Hallo,

ja das es übel ist habe ich befürchtet, da mein PC ja extrem rumspinnt.

Ich will nur so unendlich ungerne neuinstallieren, da ich eine TV-Karte von Haupauge habe die zwar damals sehr teuer war, aber dennoch die Treiber für neuere Windows-Versionen wie Vista oder Windows7 nicht bereitgestellt werden, trotz sehr wütender Kunden in diversen Foren. Ich habe tagelang rumgefummelt bis ich das ganze als Software Emulieren konnte ... daher war Neuinstallieren bisher immer nur die allerletzte Option für mich, aber so wie das hier aussieht geht's wohl nicht anders :(

Ich habe nochmal gegooglet und zu 'TR/Agent.GX.361' der immer svchost.exe Dateien in Windows/Temp erzeugt gefunden, dass es ein sehr übles Rootkit ist das fast alle bekannten Virenscanner nicht finden. Meine finden ja auch nichts, von Karperski über Norten und AVira etc. Angeblich hilft Microsoft Security Essentials das auch etwas gefunden hat.

Ich konnte den PC zumindest wieder in einem normalen Modus hochfahren, so dass Windows zunächst wieder normal aussieht. Trotzdem existiert der Virus noch und legt ständig neue Dateien in Windows/Temp an! Und Windows Update geht auch nicht, weiterhin mit Fehlercode 8007EFE.

Ich lasse gerade nochmal alle Scanner Vollscans machen, dauert also noch! Werde danach nochmal hier Posten!

Vielen Dank schonmal
 
Ok habe ich mal gemacht:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Database version: 4244

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

26.06.2010 22:37:16
mbam-log-2010-06-26 (22-37-16).txt

Scan type: Quick scan
Objects scanned: 128971
Time elapsed: 8 minute(s), 21 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 0
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\Windows\system32\userinit.exe,C:\Windows\system32\sdra64.exe,C:\Windows\system32\mstwju32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Der Eintrag HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\Windows\system32\userinit.exe,C:\Windows\system32\sdra64.exe,C:\Windows\syst em32\mstwju32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully. kam mir schon im HijackThis Log komisch vor
 
Jetzt neustarten, Malwarebytes neuerlich drüberlaufen lassen. Wenn noch was drauf ist von den "Lästigen", hast du die gleiche oder ähnliche Fundmeldung. Wenn nicht, bist du einen Schritt weiter....
 
Hat leider alles nichts geholfen, nachwievor hat hier das RootKit alles unter Kontrolle.

Werde jetzt eurem Rat folgen und neuinstallieren! Wenn man es überhaupt entfernen kann, dann sicher nicht vollständig. Danke für eure Tipps!
 
Hallo nochmal!

Das Rootkit wurde doch von Microsoft Security Essentials im abgesicherten Modus entfernt!

Jetzt habe ich ein Problem:
Ich hatte schon angefangen meine Daten zu sichern und alles in einem Ordner auf dem Desktop zusammengelegt! Dabei ist der PC abgestürzt und wieder im normalen Windows hochgefahren, keine Virenmeldungen mehr, Windows Updates gehen wieder und der "normale" Desktop ist wieder da = großes Problem, denn dort ist nicht mehr mein Sicherungsordner!

Habt ihr eine Idee wie daran komme? Meine Festplatte ist zu 150GB belegt (sagt Windows), wenn ich auf C:\ aber alles makiere und Eigenschaften anklicke, kommt nur eine Größe von 100 GB raus! Die fehlenden 50GB sind meine Sicherung mit genau den wichtigen Dingen :(
 
schau doch mal ob du ne Vorgängerversion des Desktop findest
Normalerweise C:\Users\DEIN NUTZERNAME
dort findest du den Ordner Desktop
R-Klick drauf-> Eigenschaften und dann auf Reiter "Vorgängerversion"
wenn du Glück hast stellt er ihn wieder her

und danach die sicherung deiner wichtigen daten NIEMALS auf den Desktop legen
das belastet das system zu stark
 
Leider gibt es nur eine 4 Stunden alte Version, die mir leider nicht weiterhilft! Sonst gibts keine Sicherungen von dem Ordner!
 
HUI das könnte böse ausgehen, um himmels willen nicht mehr viel mit dem PC machen, auch nicht hoch und runter fahren, denn damit überschreibt der PC immer wieder alte dateien, die möglicherweise noch da sind
les dir mal das hier durch
http://www.drwindows.de/programme-und-tools/22238-geloeschte-daten-wiederherstellen.html

oder 2. alternative
das was ich dir zu dem desktop geschrieben habe, noch mal mit dem ursprünglichen Speicherordner der dateien versuchen
 
Danke, werde mich morgen nochmal damit beschäftigen! Recuva hatte nichts gefunden!

Werde mich wohl daran gewöhnen müssen, dass alles weg ist! Ich hatte im RootKit Modus in meinem User Ordner jeweils 2x Desktop 2xDokumente etc.
 
Hallo ich bins nochmal,

ich habe meine Daten wieder gefunden! Das Rootkit hat sie unter

C:\Windows\System32\config\systemprofile\Desktop

abgelegt, vllt hilft es ja mal jemanden weiter!

Zusammenfassung:

Das Rootkit hat sich bei mir wiefolgt ausgewirkt: Anderer Desktop, Keine Windows Updates: Fehlercode 80072EFE, ständig neue Trojaner ('TR/Agent.GX.361') unter 'C:\Windows\Temp\xxxx.tmp\svchost.exe', ab und an Popups mit Werbung unabhängig von der besuchten Seite, kaputte Googlelinks und Google Toolbar.

So habe ich das Rootkit entfernen können:

1. Microsoft Windows Essentials runterladen und updaten
2. Im Abgesichtern Modus starten (F8 beim Start drücken)
3. Vollständiger Systemscan mit Windows Essentials
4. Neustarten
5. Windows Updates sollten wieder gehen
6. WICHTIG: Das ist keine Garantie das alles bereinigt ist, aber der "normale" Windowsbetrieb konnte somit wiederhergestellt werden, ich werde trotzdem neuinstallieren!

Und wie oben steht, Daten die man im Rootkit Benutzeraccount abgelegt hat (wird im Rootkit als normaler User Ordner angezeigt) findet ihr unter 'C:\Windows\System32\config\systemprofile\'

Danke für eure Hilfe! Super Forum, seid alle sehr nett und hilfsbereit hier!
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben