Sicherheitscenter deaktiviert

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von AnaConda, 18. April 2010 .

  1. 18. April 2010
    hey leute, meine eltern haben ein problem mit ihrem rechner:

    die haben ein bild von ihrem email account runtergeladen und dabei hat sich dann eine ms dos datei gestartet. daraufhin hat sich das sicherheitscenter deaktiviert und lässt sich nicht mehr aktivieren, ebenfalls windows defender und antivir. immer wenn ich auf antivir starten gedrückt hab, kam sofort der hilfe button. i hab dann antivir deinstalliert und neu installiert, also das klappt wenigstens.

    aber dazu kommen dann noch fehlermeldungen:
    svchost-po.exe fehler in anwendung 0xc0000142 etc...
    windows defender fehler bei anwendungsinitialisierung 0x800106ba
    und dann kommt noch die meldung uclient funktioniert nicht mehr.

    hier mal der highjackthisreport:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:56:17, on 18.04.2010
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18444)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Windows\RtHDVCpl.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\System32\mobsync.exe
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Windows Media Player\WMPNSCFG.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
    C:\Windows\system32\wuauclt.exe
    C:\Windows\System32\wsqmcons.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Windows\system32\SearchFilterHost.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [UpData] "C:\Users\Sköries\AppData\Local\Temp\svchost-p0.exe" -hide
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

    --
    End of file - 4566 bytes

    ich hoffe ihr könnt helfen, für jeden is ne bw drin!
     
  2. 18. April 2010
    AW: Sicherheitscenter deaktiviert

    O4 - HKCU\..\Run: [UpData] "C:\Users\Sköries\AppData\Local\Temp\svchost-p0.exe" -hide

    stinkt nach dem übeltäter. wenn du die datei aus ner email aufgemacht hast, wurde sie ins temporäre verzeichnis kopiert (und genau da isse etz auch) und von da aus, hat se sich in die registriy gehackt.
    du kannst davon ausgehen, dass das ding noch im hintergrund läuft (das -hide spricht mich da so an ).

    du würdes gut daran tun die UAC zu aktivieren, dann kann sowas nicht passieren.
     
  3. 18. April 2010
    AW: Sicherheitscenter deaktiviert

    woa danke, also i hab die datei jetzt gelöscht und den papierkorb geleert, soll ich noch irgendwas machen?
     
  4. 18. April 2010
    AW: Sicherheitscenter deaktiviert

    okay, also uac is aktiviert, neustart, kann aber immernoch nicht das sicherheitscenter anmachen udn windows defender bedienen
    nu wollte ich grad nen highjack this amchen und bekomme die meldung:
    for some reason your system denied write access to the host file. if any highjacked domains are in this file, high jack this may not be able to fix this.
    if that happens, you need to edit the file yourself. to do this click start, run and type:

    notepad C:\windows\systems32\drivers\etc\hosts
    and press enter. find the line(S) highjackthis reports and delete them.
    save the file as 'hosts'. (write quotes), and reboot.
    for vista: simply, exit highjackthis, right click on the highjackthis icon choose 'run as administrator".
    ich hab dann einfach auf ok geklickt und dabei kam dann das raus:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:56:17, on 18.04.2010
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18444)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Windows\RtHDVCpl.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\System32\mobsync.exe
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Windows Media Player\WMPNSCFG.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
    C:\Windows\system32\wuauclt.exe
    C:\Windows\System32\wsqmcons.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Windows\system32\SearchFilterHost.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [UpData] "C:\Users\Sköries\AppData\Local\Temp\svchost-p0.exe" -hide
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

    --
    End of file - 4566 bytes
     
  5. 18. April 2010
    AW: Sicherheitscenter deaktiviert

    das mit der hosts datei ist normal. da kann hijackthis nur lesen, aber nix schreibe.
    der unbekannte eintrag, der bemängelt wurde war ::1, aber der ist ungefährlich. is das gleiche wie 127.0.0.1, nur auf ipv6.

    04 - HKCU\..\Run: [UpData] "C:\Users\Sköries\AppData\Local\Temp\svchost-p0.exe" -hide

    eigentlich klar. der hat sich wohl in speicher geladen, deswegen hatter sich löschen lassen. wie du neustarten wolltest, hatter sich wieder in die registry geschrieben und neu runtergeladen.

    mit der expliziten entfernung von solchen trojanern hab ich etz ned so die erfahrung und so die mördermäßig blindfischtipps wie "lass spybot drüberlaufen" möcht ich etz ned geben, wenns am ende eh nix bringt.
    schau dich mal weng bei google und im board um, bis jemand antwortet, der mehr ahnung hat
     
  6. 19. April 2010
    AW: Sicherheitscenter deaktiviert

    gruß
     
  7. 19. April 2010
    AW: Sicherheitscenter deaktiviert

    Durchsuche die registry nach Einträgen mit dem Namen der gelöschten .exe

    Dann durchsuche nochmal den Pc mit der Windows-Suche und stelle ein das alle Dateien durchsucht werden...


    Dann nochmal HijackThis scannen lassen


    Wenn das alles net helfen sollte, mal Systemwiederherstellung versuchen
     
  8. 19. April 2010
    AW: Sicherheitscenter deaktiviert

    Ehrlich? Wenn es nicht zu viel Aufwand ist macht, setz dein System neu auf. Es ist immer schwer ein Virus oder Trojaner komplett aus dem PC zu entfernen. Und Sicher fühlt man sich auch oft nicht mehr. Gerade wenn man Onlinebanking macht oder ähnliches.


    Wenn du natürlich denkst du hast alles runter und es läuft wieder dann ist ja gut.

    Und für das nächste mal, Anhänge oder Dateien wo man sich nicht sicher ist am besten in einer Virtuellen-Umgebung starten.
     
  9. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.