#1 18. April 2010 hey leute, meine eltern haben ein problem mit ihrem rechner: die haben ein bild von ihrem email account runtergeladen und dabei hat sich dann eine ms dos datei gestartet. daraufhin hat sich das sicherheitscenter deaktiviert und lässt sich nicht mehr aktivieren, ebenfalls windows defender und antivir. immer wenn ich auf antivir starten gedrückt hab, kam sofort der hilfe button. i hab dann antivir deinstalliert und neu installiert, also das klappt wenigstens. aber dazu kommen dann noch fehlermeldungen: svchost-po.exe fehler in anwendung 0xc0000142 etc... windows defender fehler bei anwendungsinitialisierung 0x800106ba und dann kommt noch die meldung uclient funktioniert nicht mehr. hier mal der highjackthisreport: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:56:17, on 18.04.2010 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18444) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Windows\RtHDVCpl.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\mobsync.exe C:\Program Files\Windows Media Player\wmplayer.exe C:\Windows\System32\rundll32.exe C:\Program Files\Windows Media Player\WMPNSCFG.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Microsoft Office\Office12\WINWORD.EXE C:\Windows\system32\wuauclt.exe C:\Windows\System32\wsqmcons.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\system32\SearchFilterHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer! R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer! R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [UpData] "C:\Users\Sköries\AppData\Local\Temp\svchost-p0.exe" -hide O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) -- End of file - 4566 bytes ich hoffe ihr könnt helfen, für jeden is ne bw drin! + Multi-Zitat Zitieren
#2 18. April 2010 AW: Sicherheitscenter deaktiviert O4 - HKCU\..\Run: [UpData] "C:\Users\Sköries\AppData\Local\Temp\svchost-p0.exe" -hide stinkt nach dem übeltäter. wenn du die datei aus ner email aufgemacht hast, wurde sie ins temporäre verzeichnis kopiert (und genau da isse etz auch) und von da aus, hat se sich in die registriy gehackt. du kannst davon ausgehen, dass das ding noch im hintergrund läuft (das -hide spricht mich da so an ). du würdes gut daran tun die UAC zu aktivieren, dann kann sowas nicht passieren. + Multi-Zitat Zitieren
#3 18. April 2010 AW: Sicherheitscenter deaktiviert woa danke, also i hab die datei jetzt gelöscht und den papierkorb geleert, soll ich noch irgendwas machen? + Multi-Zitat Zitieren
#4 18. April 2010 AW: Sicherheitscenter deaktiviert neu starten und schaun, ob alles wieder geht + Multi-Zitat Zitieren
#5 18. April 2010 AW: Sicherheitscenter deaktiviert okay, also uac is aktiviert, neustart, kann aber immernoch nicht das sicherheitscenter anmachen udn windows defender bedienen nu wollte ich grad nen highjack this amchen und bekomme die meldung: for some reason your system denied write access to the host file. if any highjacked domains are in this file, high jack this may not be able to fix this. if that happens, you need to edit the file yourself. to do this click start, run and type: notepad C:\windows\systems32\drivers\etc\hosts and press enter. find the line(S) highjackthis reports and delete them. save the file as 'hosts'. (write quotes), and reboot. for vista: simply, exit highjackthis, right click on the highjackthis icon choose 'run as administrator". ich hab dann einfach auf ok geklickt und dabei kam dann das raus: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:56:17, on 18.04.2010 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18444) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Windows\RtHDVCpl.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\mobsync.exe C:\Program Files\Windows Media Player\wmplayer.exe C:\Windows\System32\rundll32.exe C:\Program Files\Windows Media Player\WMPNSCFG.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Microsoft Office\Office12\WINWORD.EXE C:\Windows\system32\wuauclt.exe C:\Windows\System32\wsqmcons.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\system32\SearchFilterHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer! R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer! R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [UpData] "C:\Users\Sköries\AppData\Local\Temp\svchost-p0.exe" -hide O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) -- End of file - 4566 bytes + Multi-Zitat Zitieren
#6 18. April 2010 AW: Sicherheitscenter deaktiviert das mit der hosts datei ist normal. da kann hijackthis nur lesen, aber nix schreibe. der unbekannte eintrag, der bemängelt wurde war ::1, aber der ist ungefährlich. is das gleiche wie 127.0.0.1, nur auf ipv6. 04 - HKCU\..\Run: [UpData] "C:\Users\Sköries\AppData\Local\Temp\svchost-p0.exe" -hide eigentlich klar. der hat sich wohl in speicher geladen, deswegen hatter sich löschen lassen. wie du neustarten wolltest, hatter sich wieder in die registry geschrieben und neu runtergeladen. mit der expliziten entfernung von solchen trojanern hab ich etz ned so die erfahrung und so die mördermäßig blindfischtipps wie "lass spybot drüberlaufen" möcht ich etz ned geben, wenns am ende eh nix bringt. schau dich mal weng bei google und im board um, bis jemand antwortet, der mehr ahnung hat + Multi-Zitat Zitieren
#9 19. April 2010 AW: Sicherheitscenter deaktiviert Durchsuche die registry nach Einträgen mit dem Namen der gelöschten .exe Dann durchsuche nochmal den Pc mit der Windows-Suche und stelle ein das alle Dateien durchsucht werden... Dann nochmal HijackThis scannen lassen Wenn das alles net helfen sollte, mal Systemwiederherstellung versuchen + Multi-Zitat Zitieren
#10 19. April 2010 AW: Sicherheitscenter deaktiviert Ehrlich? Wenn es nicht zu viel Aufwand ist macht, setz dein System neu auf. Es ist immer schwer ein Virus oder Trojaner komplett aus dem PC zu entfernen. Und Sicher fühlt man sich auch oft nicht mehr. Gerade wenn man Onlinebanking macht oder ähnliches. Wenn du natürlich denkst du hast alles runter und es läuft wieder dann ist ja gut. Und für das nächste mal, Anhänge oder Dateien wo man sich nicht sicher ist am besten in einer Virtuellen-Umgebung starten. + Multi-Zitat Zitieren