kann keien antivirenprogramme mehr installieren

funktioniert nicht sagt jedes mal das das system nicht wieder hergestellt werden kann

@tiimm
Es könnte sein das sich auf deinen Rechner eine neue Variante der Malware Bagle eingenistet hat.
Das passt zwar nicht mit der Aktion zuma pro4.0 zusammen,
aber trotzdem sollte der Verdacht überprüft werden.

Checke deinen PC mit dem kostenlosen Tool BlackLight von F-Secure auf Rootkit:
https://europe.f-secure.com/exclude/blacklight/index.shtml
Gefundene Objekte sollte über den Button “Renamed“ neutralisiert werden. Bei einen Fund poste bitte unbedingt den Bericht! 

hab das mal gemacht hier der report
09/08/07 15:53:39 [Info]: BlackLight Engine 1.0.64 initialized
09/08/07 15:53:39 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/08/07 15:53:40 [Note]: 7019 4
09/08/07 15:53:40 [Note]: 7005 0
09/08/07 15:53:42 [Note]: 7006 0
09/08/07 15:53:42 [Note]: 7011 404
09/08/07 15:53:42 [Note]: 7026 0
09/08/07 15:53:42 [Note]: 7026 0
09/08/07 15:53:44 [Note]: FSRAW library version 1.7.1022
09/08/07 15:53:56 [Info]: Hidden file: c:\Programme\EPSON\Smart Panel\Shared\EPCCNV00.DLL
09/08/07 15:53:56 [Note]: 10002 3
09/08/07 15:53:56 [Info]: Hidden file: c:\Programme\EPSON\Smart Panel\Shared\EPCCNV01.DLL
09/08/07 15:53:56 [Note]: 10002 3
09/08/07 15:53:56 [Info]: Hidden file: c:\Programme\EPSON\Smart Panel\Shared\epccnv02.dll
09/08/07 15:53:56 [Note]: 10002 3
09/08/07 15:53:56 [Note]: 10002 2
09/08/07 15:53:56 [Note]: 10002 2
09/08/07 15:54:17 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
09/08/07 15:54:17 [Note]: 10002 3
09/08/07 15:54:17 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
09/08/07 15:54:17 [Note]: 10002 3
09/08/07 15:54:17 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
09/08/07 15:54:17 [Note]: 10002 3
09/08/07 15:54:17 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
09/08/07 15:54:17 [Note]: 10002 3
09/08/07 15:54:17 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
09/08/07 15:54:17 [Note]: 10002 3
09/08/07 15:54:17 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
09/08/07 15:54:17 [Note]: 10002 3
09/08/07 15:54:17 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
09/08/07 15:54:17 [Note]: 10002 3
09/08/07 15:54:17 [Note]: 10002 2
09/08/07 15:54:17 [Note]: 10002 2
09/08/07 15:54:22 [Info]: Hidden file: c:\Programme\Skype\Toolbars\Shared\SPhoneParser.dll
09/08/07 15:54:22 [Note]: 10002 3
09/08/07 15:54:22 [Note]: 10002 2
09/08/07 15:54:22 [Note]: 10002 2
09/08/07 15:55:27 [Note]: 10002 2
09/08/07 15:55:27 [Note]: 10002 2
09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
09/08/07 15:56:01 [Note]: 10002 2
09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
09/08/07 15:56:01 [Note]: 10002 2
09/08/07 15:56:32 [Note]: 2000 1012
09/08/07 15:56:32 [Note]: 2000 1012
09/08/07 16:01:25 [Note]: 7007 0
 

It`s a Bagle Infektion !

@tiimm
09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe

09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys

Diese beiden Dateien mit BlackLight “Renamed“ !

Danach führe mit dem Tool “The Avenger“ das folgende Script aus und Berichte.
Eine gute Anleitung zum Tool und einen Downloadlink findet man hier:
http://virus-protect.org/artikel/tools/avenger.html


Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys

folders to delete:
%SystemDrive%\WINDOWS\exefnd

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

 

Setz die Kiste neu auf !!

Alles andere ist nur pure Frickelei mit der Sicherheit in Unsicherheit leben zu müssen.
Es gibt übrigens mehrere Varianten von Beagle....
Ohne die Feststellung derselben "files to delete" zu geben ist hirnrissig !!!
Die auslösende Datei bzw.Wurm ist auch nicht weg !!
Die Beagle Infektion wird also widerhergestellt werden !!
Blutiger nichtswissender Anfänger !!!
Sir Reklov

Ich setze bei jedem Wurm oder Trojaner neu auf.

Sicher ist Sicher

@tiimm
Gebe nichts auf die Beiträge von Sir Reklov, mit seinen Möchtegern Wissen, dass er sich in Google zusammen sucht und meist ohne Sinn anwendet, beleidigt er so ziemlich alles und jeden hier.

Selbstverständlich kannst du auch deinen PC neu Aufsetzen, wenn du das möchtest.
 

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jgmrgxhu

*******************

Script file located at: \??\C:\WINDOWS\system32\mukmrcig.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034



Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.

@tiimm
Was macht dein PC jetzt, kannst du AntiVir wieder installieren?

ja
jetzt kann ich alles wieder instalieren und ausführen
nur ein altes (avast antivir) antivirenprogramm lässt sich nicht deinstallieren auch nicht mit tune up oder manuell
danke dir für deine hilfe

@tiimm
Soweit OK,
führe einen Onlinescan mit ESET NOD32 aus und berichte:
http://www.eset.eu/threat-center/online-scanner

Deaktiviere vorübergehen die Systemwiederherstellung von Windows,
eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm

Nach einen Reboot kann die Systemwiederherstellung wieder aktiviert werden.

Prüfe auch ob die Updatefunktion von Windows und Antivir intakt sind.

Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Direkter Downloadlink zum Tool
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
(Version 2.02)
Die Quickanleitung für das Erstellen eines Logfiles:
Öffne das HijackThis-->> Drücke den Button "Do a system scan and save a logfile“ ->> kopiere den kompletten Text und poste ihn. 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:34:33, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\t!m\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\programme\adobe reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\programme\adobe reader\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - ?p=ZCfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF0A0583-B560-47E7-A2F6-6315449237AE}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: jupiw32 - C:\WINDOWS\SYSTEM32\jupiw32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 5883 bytes
 

[X] - O8 - Extra context menu item: &Search - ?p=ZCfox000
[?] - O20 - Winlogon Notify: jupiw32 - C:\WINDOWS\SYSTEM32\jupiw32.dll

Kopier dein Log mal da rein :
http://www.hijackthis.de/
und klick auf auswerten ...