Hartnäckiges Problem mit Windows Installer + msconfig

Problem mit dem Windows Installer

Guten Tag,

bekomme seit geraumer Zeit diese Fehlermeldung, wenn ich .msi-Dateien öffnen will. (z.B.: Steam oder diverse Spiele installieren etc.)
Fehler trat sowohl mit SP2 auf als auch jetzt unter SP3.

Folgendes habe ich schon ausprobiert:
- http://beqiraj.com/windows/installer/tipps/index.asp
- http://www.wintotal.de/Tipps/index.php?id=859
- System mit Original WinXP-Home CD repariert (Lustigerweise kann ich seit dem nicht mehr den Befehl "msconfig" ausführen)

Habe dann die Standard-Datei von der XP-CD kopiert, wie es mir Google ausgespuckt hat, klappte aber nicht.

Über Hilfestellungen würde ich mich tierisch freuen, weil ich echt schon so viel rumgemacht hab und wirklich nix hilft.

Greets

 

Lade bitte beide Logdateien von RSIT im Anhang hoch.
http://virus-protect.org/artikel/tools/random.html

 

Jup sind im Anhang^^

 

Der RAM-Verbrauch ist schon beachtlich.

Der Prozess ist schädlich:
C:\windows\svchost.exe
Im Taskmanager beenden.
Bei www.virustotal.com/de untersuchen lassen und den Link zur Auswertung posten.

Das auch noch mit Hijackthis fixen:
O2 - BHO: (no name) - {DD68A40E-48AD-473A-B69E-5086B5B3025E} - C:\WINDOWS\system32\ncxpnt32.dll
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O22 - SharedTaskScheduler: ficklety - {e31f5c72-8e0d-4921-8375-9573746c170c} - (no file)

Ist der Treiber von ZoneAlarm oder von Kaspersky:
R1 KLIF;KLIF; C:\windows\system32\DRIVERS\klif.sys [2007-07-19 127768]
Die beiden Programme sind nicht kompatibel zueinander.

 

Die Auswertung:
http://www.virustotal.com/de/analisis/1e8cb0228a66c49d36c2772c0f9ecbb9

Und was kann ich gegen den hohen RAM-Verbrauch machen bzw. is das ne Folge des Virus in svchost.exe?

Ahja..wie seh ich welchen Prozess ich genau beenden muss, weil werden ja mehrere svchost.exe im Taskmanager angezeigt?!

 

Im Taskmanager müsste der RAM-Verbrauch angezeigt werden.
Das erledigt sich aber, wenn der Trojaner deinstalliert ist.

 

Na wenn ich FF mit etlichen Tabs geöffnet hab, foobar und evtl. Steam bin ich immer so um die 50% Ram-Auslastung, sprich 500MB - normal?

Soll ich nu klif.sys einfach so löschen? (Kaspersky verwende ich nicht mehr im Gegensatz zu ZoneAlarm)

Greets

 

Löschen kannst du klif.sys nicht einfach so, da der Treiber automatisch beim Booten geladen wird. Das führt zu einer Fehlermeldung.
Der Treiber lässt sich im Gerätemanager unter "Nicht-PnP-Treiber" beenden und deinstallieren->PC Neustarten.
Dazu unter Ansicht-Ausgeblendete Einträge anzeigen.
Fixe aber auch mal den anderen Kram und wenn sich der Trojaner C:\windows\svchost.exe nicht entfernen lässt, kannst du das mit Mawarebytes' Antimaleware im abgesicherten Modus machen.

 

Was soll ich da genau löschen...



?

 

Als ich noch Kaspersky hatte, gab es die klif.sys im Gerätemanager.
Ich habe aber nochmal gegoogelt nach der Datei und es sieht so aus, dass sie auch von ZoneAlarm benutzt wird. Dann lasse das mal so, wobei ich eher zur kompletten Deinstallation von ZoneAlarm tendiere.

Was ist jetzt mit C:\windows\svchost.exe?
Das ist ein ganz übler Bursche, der den PC im höchsten Grade unsicher macht.
Mit Malwarebytes Anti-Malware sollte er beseitigt werden können.
http://www.pcwelt.de/forum/1875357-post2.html

 

C:\windows\svchost.exe habe ich gelöscht bekommen. (Was hat der btw so alles angerichtet?)

Die anderen Einträge habe ich ebenfalls mit Hijack entfernt.

Was soll ich nun machen?

(Werde jetzt auch mal ZoneAlarm deinstallieren)

 

Hast du die Systemwiederherstellung vorher deaktiviert?

 

Hier hast du Informationen zu dem Schädling:
http://www.sophos.com/security/analyses/viruses-and-spyware/w32jeefoa.html
Es gibt da auch ein Entfernungstool:
http://www.sophos.com/support/disinfection/jeefoa.html
Möglicherweise kann auch das Microsoft Windows Malicious Software Removal Tool (KB890830) vom 13.01.2009 den Schädling entfernen. Es befindet sich unter c:\windows\system32\MRT.exe und kann durch Doppelklick auf die Datei ausgeführt werden.
Vorausgesetzt, es sind die neusten Sicherheitsupdates von Microsoft installiert.

 

Habe "jeefogui.com" ausgeführt und er hat auch einiges gefunden. Scheint so als würde Jeefo komplett gelöscht worden sein. Er hat auch einiges auf meiner externen Festplatte gefunden.

Aber wenn ich "jeefogui.com" starte, meint er, dass ich nicht als Admin angemeldet wäre. Obwohl es nur einen Benutzer für diesen PC gibt (Ja ich surfe mit Admin-Rechten im Inet - sry, werd ich wohl ändern müssen^^)

Wat als nächstes?

btw..

em ja, is mehr oder weniger schon immer deaktiviert gewesen.

Greets

 

Wenn auch etwas auf der USB-Platte gefunden wurde, kann es sich um einen Virus handeln, der sich per Autorun-Funktion verbreitet.
Allerdings fehlen mir dazu konkrete Anhaltspunkte.
Das mit dem Deinstallationstool war auch schon ein Schuss ins Blaue.
Ich schlage vor, du lädst eine aktuelle Notfall-CD von Avira als ISO-Datei runter, brennst das Image auf CD, bootest damit und lässt die Festplatte und die angeschlossene USB-Platte untersuchen.
Avira AntiVir Rescue System
http://1303.at/deref/redir.php?id=http://www.avira.com/de/support/support_downloads.html

 

Warum?

"jeefogui.com" hat ja die diverse Files gefunden und repariert/gelöscht, u.a. svchost.exe in ..\Windows - halt zusätzlich noch einiges auf meiner externen Festplatte.

Warum also nen Schuss ins Blaue?^^

Soll ich noch ma irgendwelche Log-Files posten?

 

Höchstens das Scanlog von der Notfall-CD. Logdateien, die im laufenden System angefertigt werden, würde ich nicht mehr trauen.

 

Hab von der Avira AntiVir Rescure CD gebootet und durchlaufen lassen. Aber wo speichert er das Logfile?

 

Dateien, die Viren enthalten, werden einerseits auf dem Bildschirm angezeigt, andererseits aber wird die Bildschirmausgabe auch in eine Logdatei geschrieben.

11. Nach Beendigung des Scanvorgangs wird die Logdatei noch einmal angezeigt. dann durch Bestätigen der Schaltfläche [Schliessen] zum Hauptmenü zurückkehren.

http://virus-protect.org/artikel/tools/avirarescue.html

 

Soll ich dann gleich das Häckchen bei "infizierte Dateien reparieren/löschen" machen oder solls bei "nur protokollieren" bleiben?