spyboot search&destroy findet immer folgende datei: windows security center

Hallo,

irgendetwas deaktiviert den “Windows Security Center“.
Ob das Gewollt ist zu bezweifeln, das ganze hört sich eher nach einer Malwareinfektion an!

Also überprüfe deinen PC erst mal mit den folgenden Freeware Online-Scanner.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bieten diese
Online-Scanner gute Dienste. Übrigens, alle laufen nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#

Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

Ewido Online Scanner
Zum Teil in Englisch und für Windows XP und 2000
http://www.ewido.net/de/onlinescan/
(Gut bei der Spyware / Adware Erkennung und Beseitigung)

Bei Rückfragen bitte die ausführlichen Scanergebnisse hier posten.

Auch der HijackThis-Log ist sehr nützlich.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Bitte erstelle mal ein HijackThis-Log.
Gehe dazu auf die Webseite
http://www.hijackthis.de/
und folge den Anweisungen und poste den Logfile hier.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

Die Schnellanleitung:
Öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neu starten

danke erstmal,

also ich nutze eigentlich die tools regelmäßig, außer den onlineScannern.
Virenscann habe ich nicht durchgeführt, da der AVGuard immer aktiv ist, und ich denke das er sowieso nix finden wird?? hijackThis liefert mir eigentlich nix besonderes, aber ich poste es mal...
ich hatte soeben das Tool StartDreck benutzt, und da sehe ich ein paar Einträge die mich schon etwas stutzig machen..

HijackThis:
-------------------------------------------------------------------------
 Logfile of HijackThis v1.99.1
Scan saved at 16:26:14, on 05.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\docciman\Desktop\SECUR\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C077D98-65EA-43E3-9E04-2414E692E5DA}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\GUGO\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 (file missing)
-------------------------------------------------------------------------

Hierzu: ich weiß allerings nicht wie ich die 023 Services löschen oder deaktivieren kann..

------------------------------------------------------------------------
Hier das Startdreck:
»File Associations (CR)
  +.bat
   *batfile="%1" %*
  +.com
   *comfile="%1" %*
  +.disabled
   *SpybotSD.DisabledFile="C:\Programme\Spybot - Search & Destroy\blindman.exe" "%1"
  +.exe
   *exefile="%1" %*
  +.hta
   *htafile=C:\WINDOWS\System32\mshta.exe "%1" %*
  +.htm
   *FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
  +.html
   *FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
  +.js
   *JSFile=%SystemRoot%\System32\WScript.exe "%1" %*
  +.jse
   *JSEFile=%SystemRoot%\System32\WScript.exe "%1" %*
  +.pif
   *piffile="%1" %*
  +.reg
   *regfile=regedit.exe "%1"
  +.scr
   *scrfile="%1" /S
  +.txt
   *txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1
  +.vbs
   *VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
  +.vbe
   *VBEFile=%SystemRoot%\System32\WScript.exe "%1" %*
  +.wsh
   *WSHFile=%SystemRoot%\System32\WScript.exe "%1" %*
  +.wsf
   *WSFFile=%SystemRoot%\System32\WScript.exe "%1" %*
  +.lnk
   `lnkfile= [key or value does not exist]
----------------------------------------------------------------------

Hier wollte ich wissen was den das

+.disabled
   *SpybotSD.DisabledFile="C:\Programme\Spybot - Search & Destroy\blindman.exe" "%1"   

+.vbs
   *VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*

zu bedeuten hat??

danke

Meiner Meinung handelt es sich bei dem Windows Proggi um das bekannte: Windows Echtheitsprüf Tool (KB905474).Kannst auch mal unter gucken: CompiHelp


Schmeiß Spybot runter und besorge dir Ad-Aware!
Lass Ad-Aware laufen und der löscht es Dir!
Ad-aware Download

Meiner Meinung handelt es sich bei dem Windows Proggi um das bekannte: Windows Echtheitsprüf Tool (KB905474).

Meiner Meinung handelt es sich bei dem Windows

Was hat das mit der Deaktivierung des “Windows Security Center“ zu tun?
Für mich sind das zwei verschiedene paar Schuhe, da gibt es keinen zusammenhang!

Bitte scanne deinen PC mit den 3 OnlineScanner und poste die Ergebnisse.
Warum dies?
Ganz einfach, die Freeversion von AntiVir erkennt nur einen kleinen Teil von Spyware.
Die Aktion soll auch Sicherstellen das keine andere Malware auf dem PC ist.

Führe Spybot auch im abgesicherten Modus von Windows aus.
Schalte aber zur unbedingt die Systemwiederherstellung aus!

Übrigens Spybot und Ad-Aware können problemlos parallel installiert sein.

Ok, vielleicht kann man Spybot & Ad-Aware zusammen laufen lassen!

Aber warum??
Eins Reicht doch!
Zudem findet Ad-Aware mehr Sachen als Spybot! (Ist zumindest meine Erfahrung) Deshalb habe ich nur noch ein Proggi, und zwa Ad-Aware.

Und zum Windows Security Center:
Bei mir ging es um das Echtheitsprüf-Tool, das sich mit Windows Security Center Bezeichnet hat!
Spybot hast es öfters gefunden nachdem ich es mit dem WGA deinstalliert habe. Aber Spybot hat es nicht gelöscht! Ad-Aware habe ich durch laufen lassen und er hat es entgültig gelöscht!

Ok, vielleicht kann man Spybot & Ad-Aware zusammen laufen lassen!

Aber warum??
Eins Reicht doch!
Zudem findet Ad-Aware mehr Sachen als Spybot! (Ist zumindest meine Erfahrung) Deshalb habe ich nur noch ein Proggi, und zwa Ad-Aware.

Nee, beide sind der Erkennung von Sypware noch nicht mal durchschnittlich!
Und wer da mehr erkennt, da scheiden sich die Geister, ist bei den Ergebnis schon fast egal.

Das die WGA den Windows Security Center deaktiviert soll, macht mich neugierig.
Bitte dazu mal eine Informationsquelle hier posten.
Das wäre ja für Microsoft ein Schuss der nach hinten losgeht, auch wenn es sich um eine illegale Windowskopie handelt!

Ich glaube da eher an eine Spyware Infektion.

Hallo,
 

Nee, beide sind der Erkennung von Sypware noch nicht mal durchschnittlich!
Und wer da mehr erkennt, da scheiden sich die Geister, ist bei den Ergebnis schon fast egal.

Sie konzentrieren sich auf unterschiedliche Ziele !


 

Das die WGA den Windows Security Center deaktiviert soll, macht mich neugierig

Das muß dich nicht neugierig machen..
Ist nämlich kompletter ** Netiquette! ** !

 

irgendetwas deaktiviert den “Windows Security Center“.

Richtig,
vermutlich hat er das selbst gemacht oder ein Script hat ihm das abgenommen.Vermutlich "Antispy" oder so ein ** Netiquette! **  

 

+.disabled
   *SpybotSD.DisabledFile="C:\Programme\Spybot - Search & Destroy\blindman.exe" "%1"  
 

Spybot S&D stellt fest das das Security Center abgeschaltet ist und von was das veranlasst wurde.

 

+.vbs
   *VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
 

Hier wird aufgezeigt von wem das veranlasst wurde.
Sir Reklov

als erstes : Hijackthis durchführen !!
HijackThis mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html

-------------------------------------------------------------------------------------------------------------

Danach:
Im abgesicherten Modus !
unter SYSTEM die Systemwiederherstellumg AUS ,
Virenscan
Systemwiederherst. wenn OK = wieder AN
Normalstart

-------------------------------------------------------------------------------------------------------------

abgesicherter Modus:
Beim Start des PC  mehrfach , spätestens beim 1. PIEP die F8 drücken ....

ODER :
Gehe auf Start , dann Ausführen .
Dort     msconfig     eintippen und auf OK .
Im aufgehenden Fenster Diagnosesystemstart einstellen + OK .
PC runterfahren lassen , startet dann im Abges. Modus .
Später wiederholen , "normaler Systemstart" wieder herstellen.

-------------------------------------------------------------------------------------------------------------

Zitat
„Nee, beide sind der Erkennung von Sypware noch nicht mal durchschnittlich!
Und wer da mehr erkennt, da scheiden sich die Geister, ist bei den Ergebnis schon fast egal.
Sie konzentrieren sich auf unterschiedliche Ziele !“

Beide haben die Bekämpfung von Spy/Adware als Hauptziel.

 
Zitat
„Das die WGA den Windows Security Center deaktiviert soll, macht mich neugierig
Das muß dich nicht neugierig machen..
Ist nämlich kompletter ** Netiquette! ** ! „

So deutlich wollte ich das nicht Ausdrücken.

 
Zitat
“+.disabled
   *SpybotSD.DisabledFile="C:\Programme\Spybot - Search & Destroy\blindman.exe" "%1"   
 Spybot S&D stellt fest das das Security Center abgeschaltet ist und von was das veranlasst wurde.
+.vbs
   *VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
Hier wird aufgezeigt von wem das veranlasst wurde.“

Das ist jetzt aber auch KÄSE!

ja ich nochmal,

ich hab eigentlich alles gemacht, also auch im abgesicherten Modus spyboot gescannt, der hat es auch gefunden und etnfernt. Doch beim starten ist es wieder da...
also das Ding sitzt hier in der Registry, nun wollte ich wissen ob ich das nun löschen kann??

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]

imagePath:
\SystemRoot\C:\WINDOWS\System32\svchost.exe -k netsvcs