Antivirus - Programm weg, lässt sich nicht neu installieren

#1 Hallo habe seit gestern ein Problem.
Mein Virenschutzprogram "Avira AntiVir PersonalEdition Classic" ist verschwunden. Eine Neuinstallation ist nicht möglich, da sich im Ordner Programme kein exe dateien mehr anlegen lassen. Es lassen sich auch keine anderen Schutzprogramme installieren.

Kann mir jemand helfen???

#2 Schon mal ein Onlinescan versucht?
Nod32 Onlinescanner
http://www.eset.com/onlinescan/
__________
MfG Argus

#3 Ja hab ich jetzt gemacht. 8 Viren/Trojaner gefunden. Was kann ich jetzt machen?

#4 Download ATF cleaner


Download ComboFix zum Desktop
Doppelklick combofix.exe
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt).
Kopiere den Inhalt des Berichts C:/combofix.txt in dein folgender Bericht

Erstellen eines Hijackthis-Logfiles

Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin
Download: HijackThis202
Doppelklick HijackThis.exe und installiere das Tool in C:\Programme
Am Ende steht auf dein Desktop eine verknüpfung
Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#5 ComboFix 07-08-30.3 - "Thomas" 2007-09-01 6:57:13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.533 [GMT 2:00]
* Created a new restore point

ADS removed - C:\WINDOWS\system32\ntoskrnl.exe: Das System kann die angegebene Datei nicht finden.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\Thomas\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk
C:\DOKUME~1\Thomas\Desktop\internet.lnk
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_NWSAPAGENT
-------\NwSapAgent


((((((((((((((((((((((((( Files Created from 2007-08-01 to 2007-09-01 )))))))))))))))))))))))))))))))


2007-09-01 06:55 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-31 22:18 11,776 --a--c--- C:\WINDOWS\system32\dllcache\chkdsk.exe
2007-08-31 22:18 11,776 --a------ C:\WINDOWS\system32\chkdsk.exe
2007-08-31 21:13 <DIR> d-------- C:\Programme\EsetOnlineScanner
2007-08-31 20:38 <DIR> d--h----- C:\DOKUME~1\Thomas\ANWEND~1\m
2007-08-26 19:18 45,056 --a------ C:\WINDOWS\system32\hpspmins.dll
2007-08-26 19:18 299,008 --a------ C:\WINDOWS\system32\HPIpxMUI.dll
2007-08-26 19:18 176,128 --a------ C:\WINDOWS\system32\HPIpxMon.dll
2007-08-26 19:18 135,168 --a------ C:\WINDOWS\system32\HPIpxMib.dll
2007-08-26 19:18 <DIR> d-------- C:\Programme\Hewlett-Packard
2007-08-08 22:07 54,272 --a------ C:\WINDOWS\system32\KERNELH2.DLL
2007-08-08 22:06 <DIR> d-------- C:\Programme\Native Instruments
2007-08-08 16:30 19,456 --a------ C:\WINDOWS\system32\OnlineScannerLang.dll
2007-08-02 18:11 253,952 --a------ C:\WINDOWS\system32\OnlineScannerDLLA.dll
2007-08-02 18:11 241,664 --a------ C:\WINDOWS\system32\OnlineScannerDLLW.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-31 21:26 --------- d-------- C:\Programme\Launch Manager
2007-08-31 21:25 --------- d-------- C:\Programme\Hitbase 2005
2007-08-29 18:51 --------- d-------- C:\Programme\eMule
2007-08-28 20:37 --------- d-------- C:\Programme\Microsoft ActiveSync
2007-08-25 18:47 --------- d-------- C:\Programme\MP3-DJ
2007-08-18 08:26 --------- d-------- C:\Programme\Lx_cats
2007-08-13 19:51 --------- d-------- C:\Programme\freeCommander2006
2007-08-01 13:53 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-27 15:49 225355 --a------ C:\WINDOWS\system32\lnod32apiW.dll
2007-07-27 15:49 196683 --a------ C:\WINDOWS\system32\lnod32apiA.dll
2007-07-10 20:08 --------- d-------- C:\Programme\Boulder Match 2
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-06-13 11:10 77824 --a------ C:\WINDOWS\system32\OnlineScannerUninstaller.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-06-23 05:34]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-06-23 05:34]
"SoundMan"="SOUNDMAN.EXE" [2003-06-20 07:55 C:\WINDOWS\soundman.exe]
"URemote"="C:\Programme\NewSoft\Presto! PVR\URemote.exe" [2005-11-18 13:23]
"ChangeFilterMerit"="C:\Programme\NewSoft\Presto! PVR\ChangeFilterMerit.exe" [2005-05-17 09:54]
"LXCECATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-03-22 12:45]
"lxcemon.exe"="C:\Programme\Lexmark 4300 Series\lxcemon.exe" [2005-03-22 19:25]
"EzPrint"="C:\Programme\Lexmark 4300 Series\ezprint.exe" [2005-02-15 12:07]
"PRONoMgr.exe"="C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" [2003-09-02 01:28]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-03 08:16]
"mule_st_key"="C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\m\flec006.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll 2003-09-10 05:47 110592 C:\WINDOWS\system32\LgNotify.dll

[color=red]SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"

R2 atjsgt;atjsgt;C:\WINDOWS\system32\DRIVERS\atjsgt.sys
R2 linsgt;linsgt;C:\WINDOWS\system32\DRIVERS\linsgt.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 w70n51;Intel(R) PRO/Wireless 2100 Adapter-Treiber;C:\WINDOWS\system32\DRIVERS\w70n51.sys
S1 M9207;Digital TV USB Mini Receiver;C:\WINDOWS\system32\DRIVERS\M9207BDA.sys
S1 srosa;Megadrv3;\??\C:\WINDOWS\system32\drivers\srosa.sys
S3 DKbFltr;Dritek HotKey Keyboard Filter Driver;C:\WINDOWS\system32\Drivers\DKbFltr.sys
S3 DTT200U;DTT200U DVB-T USB receiver Driver;C:\WINDOWS\system32\Drivers\DTT200U.sys
S3 DTT200ULD;DTT200U DVB-T USB receiver firmware loader;C:\WINDOWS\system32\Drivers\DTT200ULD.sys
S3 DTV_Capture_2X0;Digital TV Receiver;C:\WINDOWS\system32\Drivers\DTV_Capture_2X0.sys
S3 DTV_Loader_2X1;DVB-T Loader;C:\WINDOWS\system32\Drivers\DTV_Loader_2X1.sys
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe
S3 gkmixern;gkmixern;\??\C:\DOKUME~1\Thomas\LOKALE~1\Temp\gkmixern.sys
S3 MSIRCOMM;Microsoft IR Communications Driver;C:\WINDOWS\system32\DRIVERS\MSIRCOMM.sys
S3 UDTTUSB;Twinhan - USB2 DVB-T adapter Driver;C:\WINDOWS\system32\Drivers\UDTT2DRV.sys
S3 Usblink;Usblink Driver;C:\WINDOWS\system32\Drivers\ulink.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


Contents of the 'Scheduled Tasks' folder
2007-08-24 15:15:46 C:\WINDOWS\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-01 07:01:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-09-01 7:03:19 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-01 07:03

--- E O F ---

#6 Entferne auf C:\Qoobox-->Papierkorb leeren

Du hast den Bagle auf dein rechner
Scanne Online mit Panda http://board.protecus.de/t8642.htm
und berichte
__________
MfG Argus

#7 siehe bericht

Incident Status Location

Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@adtech[2].txt
Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@counter1.sextracker[1].txt
Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@counter2.sextracker[1].txt
Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@counter4.sextracker[1].txt
Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@counter6.sextracker[1].txt
Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@counter9.sextracker[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@doubleclick[2].txt
Spyware:Cookie/SexList Not disinfected C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@sexlist[1].txt
Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@sextracker[2].txt
Spyware:Cookie/XXXCounter Not disinfected C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@xxxcounter[1].txt
Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\Dokumente und Einstellungen\Thomas\Desktop\ComboFix.exe[nircmd.exe]
Security Risk:HackTool/Gendel.A Not disinfected C:\gendel32.exe
Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\WINDOWS\nircmd.exe
eigenartig!!!???

mein schutzprogram ist wieder aktiv

#8 Download OTMoveIt zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\gendel32.exe

im linken Fenster ,wo steht "Paste List of Files/Folders to be moved"

Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Kannst du im Abgesicherte Modus?
__________
MfG Argus