Problem mit antivir

mhh vieleicht ein Virus ?


downloade dir Hijackthis führe das Pogramm aus und klick auf "Do a System scan and save Logfile"
Danach den log posten.

Download Link
Hijackthis

schon möglich.ich habe antivir deinstalliert.dannach habe wollte ich es neu installieren-der zeigt mir an das es nicht geht weil die datei verändert wurde und es ein virus gewesen sein kann

ich probier hijack aus

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:58, on 21.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\CcEvtSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\inf\rundll33.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Dokumente und Einstellungen\Administrator\svchost.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\rs32net.exe
C:\Dokumente und Einstellungen\Administrator\reader_s.exe
C:\Programme\DNA\btdna.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Dokumente und Einstellungen\Administrator\svchost.exe
C:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\swmos.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\klickTel\klickTel OEM 2007\KSTART32.EXE
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\userinit.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Safari\Safari.exe
C:\WINDOWS\TEMP\zxdD.tmp
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\7z.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\TEMP\371.tmp
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.imesh.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\TEMP\init.exe
O1 - Hosts: 193.125.23.12 updates.sald.com
O2 - BHO: C:\WINDOWS\system32\uisaj387dd.dll - {d5bf4552-94f1-42bd-f434-3604812c807d} - C:\WINDOWS\system32\uisaj387dd.dll
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Dokumente und Einstellungen\Administrator\svchost.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [tkbellexe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [sunjavaupdatesched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [sispower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [rthdcpl] RTHDCPL.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [torrent] C:\WINDOWS\torrent.exe
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\Administrator\reader_s.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [administrator] C:\Dokumente und Einstellungen\Administrator\Administrator.exe /i
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Dokumente und Einstellungen\Administrator\svchost.exe
O4 - HKCU\..\Run: [swmos] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\swmos.exe" swmos
O4 - HKLM\..\Policies\Explorer\Run: [xccinit] C:\WINDOWS\system32\inf\rundll33.exe C:\WINDOWS\xccdf16_090131a.dll xccd16
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Dokumente und Einstellungen\Administrator\reader_s.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [winlogon] C:\Dokumente und Einstellungen\LocalService\svchost.exe (User 'Default user')
O4 - Startup: klickTel OEM 2007 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2007\KSTART32.EXE
O4 - Startup: userinit.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: Bonjour - {7f9db11c-e358-4ca6-a83d-acc663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [java_sun] Java (Sun)
O17 - HKLM\System\CCS\Services\Tcpip\..\{346F0A44-123F-46AF-8636-A863AA4FF99C}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CCS\Services\Tcpip\..\{952B8BA9-85F3-453C-AB23-998EDC0E7CEC}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
O20 - Winlogon Notify: rncsdph - C:\WINDOWS\SYSTEM32\rncsdph32.dll
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hsfd83jfdg.dll
O22 - SharedTaskScheduler: erajhsf8743kjrngjnf - {D5BF4552-94F1-42BD-F434-3604812C807D} - C:\WINDOWS\system32\uisaj387dd.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (antivirscheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (antivirservice) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (avwupsrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour-Dienst (bonjour service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CcEvtSvc (ccevtsvc) - Unknown owner - C:\WINDOWS\System32\CcEvtSvc.exe
O23 - Service: Kompatibilität für schnelle Benutzerumschaltung FastUserSwitchingCompatibilitymsupdate (fastuserswitchingcompatibilitymsupdate) - Unknown owner - C:\WINDOWS\system32\105D.tmp.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICF (icf) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: Java Quick Starter (javaquickstarterservice) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Dienst für Seriennummern der tragbaren Medien WmdmPmSNSwPrv (wmdmpmsnswprv) - Unknown owner - C:\WINDOWS\system32\30.tmp.exe (file missing)

--
End of file - 8765 bytes

 

habs gemacht kannst da mit was anfangen ?
ICH KENN MICH DA NICHT SO RICHTIG AUS

Hast Du noch andere "Schutzprogramme" installiert ?
 

ich habe vorhin eine demo von norton antivirus 2009 installiert.
ich wollt nach vieren suchen da antivir nicht funktioniert.ich habe dann mit norton eine komplette systemüberprüfung gemacht - hat nichts gefunden.habs auch wieder deinnstaliert.ccleaner benutzt und den temp ordner gelöscht.dannach konnte ich den antivir wieder installieren.aber als ich es aktivieren wollte kam diese meldung wieder.hab auch kurz kaspersky demo installiert aber es hat sich noch nicht mal geöffnet.

zur zeit habe ich avira antivir 6 drauf von einer cd -ich weis es ist zwar alt aber war das einzige jetzt was ging.

Nein, ich fragte, weil da schon mal das eine am anderen ein bißchen rumbastelt... so´ne Art Stutenbissigkeit zwischen den Herstellern.

Du hast besucher im  System (3 oder 4 sowas habe ich noch nie gesehen^^)
Und dein System ist auch komplett versucht,hab ja schon vieles gesehen aber sowas noch nie^^

Da hilft wirklich nurnoch Formatieren Anleitung für eine Neuaufsetzung

 

nein nur das anivir sonst nichts

: NameServer = 85.255.112.39,85.255.112.40

Gefundener whois-Eintrag von 85.255.112.39 :



organisation:   ORG-UL25-RIPE
org-name:       UkrTeleGroup Ltd.
org-type:       LIR
address:        UkrTeleGroup Ltd.
                Mechnikova 58/5
                65029 Odessa
                Ukraine
phone:          +380487311011
fax-no:         +380487502499

person:         Andrew Sotov
address:        Mechnikova 58/5 65029 Odessa


 WAS willst Du DA noch retten ??

System und IE veraltet , und gehört dir nicht mehr !!

http://www.hijackthis.de/   LOG da mal auswerten !!

Sichere deine DATEN mit einer Bootbaren CD und formatiere ... 

Malwarebytes runterladen, Update, Scan machen, Funde löschen, report posten.


Außerdem combofix runterladen und anwenden: Logfile posten
http://virus-protect.org/artikel/tools/combofix.html

Evtl. neue Malware bei, die wir melden können. 

alles klar hab mal auswerten lassen.zeigt einige schädliche sachen an.werd mal xp neu installieren

Wundere dich nicht , wenn die Polizei kommt ...der PC wurde
über die Ukraine fernbenutzt.....
ALLE Partitionen müssen weg und neu gemacht werden.... 

was heist über die ukraine ?

HAB KEIN PLAN

Der rechner gehört meiner freundin

hat sie sch...e gebaut ?

Lies Antwort #10 !!
Dein / ihr DNS steht in der Ukraine !!!

Alle Daten wurden darüber umgeleitet ,und ggf der PC für kriminelles / Spam missbraucht !

hallo, kannst du mal bitte, um evtl. neue malware zu sichern combofix ausfüren?
log posten dann kannst den rechner formatiern, falls nichts neues drauf ist.
packe schon mal folgende dateien als zip und sende sie an die mailadresse in meiner signatur:

C:\WINDOWS\torrent.exe
C:\WINDOWS\System32\rs32net.exe
C:\Dokumente und Einstellungen\Administrator\Administrator.exe
c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\swmos.exe
C:\WINDOWS\xccdf16_090131a.dll

ich möchte die an antivirenhersteller weiterleiten so das sie für dich und andre erkannt werden. passwort
sollte infected lauten!

ganz schön heftig.
hier sind drei partitionen.also wäre es besser wenn ich dann alle formatiere.hab sie gerade gefragt ist nichts wichtiges drauf.aufjedenfall muss irgendwas schiefgelaufen sein.sie und ich kennen uns nicht mit pc kriminalität aus usw..macht auch nichts illegales

Da lässt sich nix mehr retten. Schlimm genug, dass du immer noch online bist mit der Kiste...

Sofort Netzwerkstecker raus und komplett formatieren!

alles klar

danke

hi

ich bin durch google hier gelandet...

nach jedem windows-start bekomme ich die meldung:

Fehler beim Laden von C:\Windows\xccdf16_090131a.dll

C:\Windows\xccdf16_090131a.dll ist keine zulässige Win32-Anwendung


weiß jemand, was das ist?
und wie ich diesen fehler beheben kann?

Du postest hier in nen bestehenden Thread, der nix mit deinem Problem zu tun hat.

Klick bitte links auf "Windows Hilfe" und erstell nen neuen Thread

Evtl. hat da malware seine finger im Spiel!

1. Hijackthis runterladen und Logfile hier posten.
2. Malwarebytes download -> installieren -> Updaten -> komplett Scan -> Funde Löschen und report hier posten.

Also xccdf16_090131a.dll scheint laut HijackThis (log aus nem anderen thread) auf jeden Fall schädlich zu sein, bedeutet, du hast nen Virus/Trojaner/wasauchimmer auf deinem System.

für erstmal die Schritte aus, die ersguterjunge dir empfohlen hat. Und schliess bitte auch alle Wechseldatenträger (Externe Festplatten, USB-Sticks etc.) an und mach nen Quickscan mit Malwarebytes' Anti-Malware (zusätzlich zum Full-Scan), damit der auch eventuelle autostart-Viren erkennt.

http://www.threatexpert.com/report.aspx?md5=35d28ca47256b48e0448cf066e9f2f84

Kann mal jemand den Thread teilen bitte?