Sicherheitscenter lässt sich nicht aktivieren/deaktiviert sich sofort wieder
 

Hallo erstmal, ich habe mich schon durch diverse Foren gelesen aber leider noch nichts wirklich hilfreiches gefunden, also....

Unten rechts in der Leiste von Windows 7 sagt mir das kleine Fähnchen mit einem Kreuz dran mit einem WICHTIG!, dass mein Windows-Sicherheitscenter deaktiviert ist. Möchte ich das ändern, erscheint allerdings eine Warnmeldung, dass sich das Sicherheitscenter nicht aktivieren lässt.

Ich habe versucht, bei Dienste/Sicherheitscenter/Eigenschaften von Deaktiviert auf "Manuell" oder "Automatisch" oder es Manuell zu starten. Das funktioniert für 20 Sekunden, dann allerdings stellt es sich von alleine wieder auf "Deaktiviert" und die Meldung mit dem Sicherheitscenter taucht wieder auf.

Ebenso deaktiviert ist der Windows Defender. Das selbe Spiel, eingestellt auf "Manuell" bzw. "Automatisch" stellt er sich nach ca. 20 sekunden wieder auf "Deaktiviert". Dort kommt allerdings beim Versuch ihn Manuell zu starten folgende Fehlermeldung:

"Der Dienst "Windows Defender" wurde auf "Lokaler Computer" gestartet und dann angehalten. Einige Dienste werden automatisch angehalten, wenn sie nicht von anderen Diensten oder Programmen verwendet werden."


Ich hab schon diverse Programme durchlaufen lassen:

Avira Antivir
Spybot Search & Destroy
Eset Smart Security
Ad-Aware


Es gab durchaus einige Funde die auch alle bereinigt wurden. Das Problem besteht jedoch weiterhin.

Das Windows eigene MRT.exe verweigert auch seinen Dienst. Nach Doppelklick passiert einfach garnichts.


Ich bin echt am verzweifeln

Und warum postest du nicht die Funde bzw. die Logs? :stirn:

Ganze ehrlich? Weil ich nicht daran gedacht habe die Log-Files aufzuheben.

Ich hab auch nur noch Spybot Search & Destroy drauf, wo ich nirgends im nachhinein ein Log-File finde und ESET was ich durch Avira ersetzt hab, hat ganz zum Schluss gescannt und keine Funde gehabt.

Da ich leider meinen Beitrag nicht editieren kann, jetzt hier noch nachträglich die logs von Spybot:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Zuerst malwarebytes:


Und OTL

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

Nein, das ist die einzige Log-Datei.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Soweit erledigt, Neustart war auch erforderlich. Allerdings gab es kein Logfile und OTL ist auch von meinem Desktop verschwunden.
Nach kurzer Suche nach der OTL.exe habe ich folgendes gefunden:



EDIT: Nach erneutem downloaden und starten von OTL kam sofort folgendes:


Übrigens vielen Dank für die flotten Antworten deinerseits zu dieser doch schon recht späten Stunde :)

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Entschuldige, dass es etwas länger gedauert hat, aber ich habe Probleme damit Meinen Virenscanner/Firewall ESET Small Security 4 zu beenden. Habe im Programm alle möglichen Aktivitäten deaktiviert und nach dem Start von ComboFix werde ich nocheinmal gefragt ob ich ESET wirklich beenden will.

Trotzdem sagt ComboFix es seien noch 2 RealTime Scanner aktiv (ESET Antivirus & ESET Antispy) . Ich bekomme den Prozess auch nicht im Taskmanager beendet. "Zugriff verweigert"

Ebenso hab ich unter msconfig versucht sämtliches ESET beim nächsten Start zu verhindern, jedoch, der Eintrag der sich auch im Taskmanager nicht killen lässt verschafft sich nach einem Neustart selbst ein Häckchen.

Gibt es die Möglichkeit ComboFix im abgesicherten Modus laufen zu lassen?



EDIT: So hab es jetzt hinbekommen den letzten Prozess von Eset auch noch zu killen bzw. seinen Start zu verhindern. Im Taskmanager scheint nach einem Reboot auch nichts mehr zu laufen, dennoch warnt mich ComboFix, dass noch die 2 RealTime Scanner aktiv sind. Ich blicks einfach nicht

Notfalls ESET einfach deinstallieren, wenn wir durch sind installierst du ihn wieder.

Eset komplett deinstalliert, Neustart, Registry gesäubert, Neustart und Cofi meckert immernoch über die laufenden Scanner....

Ich bekomm die Kriese :wtf:

Dann cofi einfach laufen lassen ;)

Soooo weiter gehts


Ich hoffe wir kommen der Sache näher, nun ist nichtmal mehr die weiße Fahne da...


EDIT: Ok, ich muss mich berichtigen. Nun ist die Fahne wieder da. Scheint alles in Ordnung zu sein, das Sicherheitscenter und der Defender Arbeiten wieder. Er meckert nur ein wenig über das noch fehlende Antivirenprogramm

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

So leider muss ich nun mit dem Notebook antworten, da nachdem die cofi.exe einen Neustart veranlasst hat, der Firefox mit folgender Meldung den Dienst versagt:

C:\Program Files\Mozilla Firefox\firefox.exe

Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum löschen markiert wurde.

EDIT: Ignoriere den oberen Teil, FF startet nun doch wieder

Hier aber erstmal das Log

Entschuldige mein übereiltes posten, nach einem weiterem Neustart verrichtet der Firefox wieder seinen Dienst

Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Datei: Qoobox.rar empfangen

Vorgang erfolgreich abgeschlossen.


Oh ich sehe gerade du verlangtest eine Zip Datei, ich hoffe eine .rar geht auch ok?

Ist schon ok. Ich hab sie bekommen und schau mal kurz rein.

Du kannst in der Zwischenzeiot weitermachen:

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Soooo....


Gmer


OSAM


MBRCheck


Nur so aus Neugier, sind wir denn bald durch? :)

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

So ich hoffe das war alles


Malwarebytes

[CODE]Malwarebytes


SASW

Sieht gut aus. Nur Überreste und Cookies.
Noch Probleme?

Nein, alles soweit in Ordnung. Das Wartungscenter meldet auch: Keine aktuellen Probleme erkannt.

Im Gegenteil, wie du dir sicher denken kannst läuft mein System gefühlt auch wieder wie frisch installiert. :)


Vielen Dank, ich werde auf jeden Fall das Board weiter empfehlen.

:dankeschoen:

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.