Trojaner-Board - Sicherheitscenter /Dienst unter Windows XP nicht verfügbar!

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- - Sicherheitscenter /Dienst unter Windows XP nicht verfügbar! (https://www.trojaner-board.de/32362-sicherheitscenter-dienst-windows-xp-verfuegbar.html)

Was genau hat ihm denn jetzt geholfen??
Ich habe nämlich exakt das gleiche Problem - das Sicherheitscenter lässt sich nicht mehr starten, auch nicht manuell über die Dienste, und ich habe auch bei HijackThis den gleichen Log-Eintrag:
O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

Ich suche schon seit 24 Stunden fast pausenlos :-) im Internet nach einer Lösung, aber ohne Erfolg. Alle Scanner für Spy- und Malware, deren ich habhaft werden konnte, habe ich laufen lassen, sie finden nichts (ob online oder von Festplatte, Adaware und Spybot auch nicht); ebenso findet mein Antivirusprogramm nichts (Eset NOD32).

Würdet ihr mir auch noch mal helfen, nach einer Lösung zu suchen?

Gruß
Veri

Schau dir die Pfadangabe mal an:

C:\WINDOWS\C:\WINDOWS\System32\svchost.exe

Die ist unzulässig! Ein legitimer Windows-Dienst dürfte das m.E. also nicht sein - scan Dein System mal mit Blacklight.

Hallo, Cosinus,

danke für die schnelle Antwort. Ich hab das Tool laufen lassen, aber:
Scan complete. No hidden items found.

Veri

Poste mal das komplette Hijackthis-Logfile.
(Eigentlich finde ich es besser wenn Du einen eigenen Thread eröffnest, aber ich hoffe es stört die anderen hier jetzt so nicht...)

Ob ich mal versuchen soll, den Eintrag bei HijackThis mit "Delete an Windows NT service" zu löschen? Auf normalem Weg lässt sich der Eintrag nämlich nicht löschen, das habe ich schon versucht.

Veri

Zitat:

Zitat von Beatrice Kiddo

Ja das kannste mal versuchen. Denk aber auch ans Hijackthis-Logfile.

Hier kommt das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:38:31, on 23.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2006\memoptimizer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Für Notebook\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\ion_install.exe" /c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\memoptimizer.exe" autostart
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161477524992
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

Kannst du da irgendwas Verdächtiges draus erkennen?

Gruß
Veri

Hallo,
ich möchte wetten,daß dieses "Verschlimmbesserprogrämchen" daran Schuld hat...:)

Zitat:

C:\Programme\TuneUp Utilities 2006\

:rolleyes:
Irrlicht

Cosinus: Der Schlüssel kann nicht mit HijackThis gelöscht werden, da er in der Registry nicht gefunden wird. Ich habe ihn auch manuell gesucht, aber ebenfalls nicht gefunden. Scheint nicht vorhanden zu sein - aber das Sicherheitscenter lässt sich trotzdem nicht aktivieren.

Irrlicht: Oje, inwiefern kann TuneUp dafür verantwortlich sein? Eigentlich mag ich dieses Programm sehr, ich verwende es schon seit Jahren (seit es TuneUp 95 hieß) und eigentlich immer ohne Probleme (zumindest ist es mir nicht bewusst, dass es Probleme verursacht hätte).

Gruß
Veri

Irgendetwas muss dort den Pfad umgebogen haben. Ob es nun Tuneup oder ein Schädling war, kann ich nicht sagen.
Eine Idee hätte ich noch. Dazu müsstest Du in die Registrierung von Windows, dort musst Du besonders vorsichtig sein, denn versehentliche Änderungen können fatale Auswirkungen haben!
Führe mal regedit mit Adminrechten aus und navigiere nach

Zitat:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\

Dort sind die Dienste nämlich eingetragen. Schau mal ob es dort den Eintrag (Ordner) wscsvc - wenn ja, dann geh auch da hinein und schau Dir darin die Zeichenfolge ImagePath genauer an. Steht dort

C:\WINDOWS\C:\WINDOWS\System32\svchost.exe

solltest Du es ändern in C:\WINDOWS\System32\svchost.exe. Starte die Kiste neu und berobachte, ob sich das Sicherheitscenter nun starten lässt.

Nein, in dem Ordner ist alles okay, da steht: \SystemRoot\C:\WINDOWS\System32\svchost.exe -k netsvcs

(seufz)

Gruß
Veri

Zitat:

\SystemRoot\C:\WINDOWS\System32\svchost.exe -k netsvcs

Nee ist m.E. nicht richtig. Richtig müsste es heißen:
C:\WINDOWS\System32\svchost.exe -k netsvcs

Für die ganz pingeligen heißt es so:
%systemroot%\System32\svchost.exe -k netsvcs

(%systemroot% ist eine Variable, die für den Windows-Ordner steht.)

Heißt das (bitte ganz für Doofe), dass ich das Wort Systemroot aus dem Schlüssel löschen muss? Und wenn ja, auch den Backslash vor dem C:\?

Ist schon i.O., dass Du nochmal nachfragst! :party: Ist ja keine alltägliche Angelegenheit sowas. ;)
Am besten Du ersetzt den jetzigen Eintrag durch das hier:

%systemroot%\System32\svchost.exe -k netsvcs

Es funktioniert wieder!
Cosinus, du bist ein Schatz!! Danke!

Soll ich denn jetzt davon ausgehen, dass - wie auch immer das kommt - alles wieder in Ordnung ist?

Veri