Antivir löschen mit hindernisse :(

Sooo leute..
Das ist mein erster Tag hier und sofort hab ich auch ein problem mit gebracht

Ich hatte ein virus auf meinem pc drauf und ich konnte mein antivir nicht mehr benutzen, es ging also garnix mehr damit....
Am anfang wollte ich nur den kleinen weißen regenschirm unden in der taskleiste wieder haben und dann hab ich gesehen das es garnicht mehr geht.

Ich glaub das liegt an einem virus oder so da der kleine regenschirm schon eine ganze zeit nicht mehr da war... ist mir aber leider erst später eingefallen :S

Jetzt hab ich ein neues program von einem kollegen bekommen aber dafür muss ich antivir löschen. Und jetzt kommen wir zu meinem problem....

Ich wollte es über "start"-"systemsteuerung"-"software" löschen nur da sagte er mir "setup konnte die dateilliste nicht fiden oder nicht auslesen"
Da dachte ich mir das ich das über C:/programme/usw.. (weiß nicht mehr genau wo das war)
Bin dann auf die setup datei gegangen um das so zu löschen und dann hat sich da nix getan.


Hab dann die ganzen dateien gelöscht da ich dachte dann ist das auch weg, war aber nicht so.

Wer kann mir jetzt weiterhelfen ?! solche probleme hatte ich noch nie mit meinem pc und das geht schon gut 2 monate so der der nur probleme macht.
*ist auch schon ein alter sack 5-6 jahr ist der schon alt*

ps: bitte im schnelle hilfe sonst seh ich bald so aus

Windows XP

lg

 

Bei Avira kannst du dir ein Programm zum vollständigen Entfernen der Avira Antivir Programme runterladen.

 

http://www.pcwelt.de/forum/free-shareware/351668-problem-antivir-9-a.html

 

Was denn für einen Virus? Kannst du dich noch an den Namen erinnern. Vielleicht kannst du dir die Deinstallation von AntiVir ersparen, weil es u. U. besser wäre, den PC neu aufzusetzen, sprich Festplatte formatieren und Betriebssystem neu installieren.

Gruß
Nevok

 

Ähhhh...ich dachte mir das es nur ein virus sein könnte... weil ein kollege hat auch das problem und der hat gesagt das er ein virus auf seinem pc hatte und das er das dann wirder benutzen konnte :S

Also kann ich dir leider nix genaues dazu sagen...sorry

Dann hab ich noch ein problem und zwar.
Wenn ich meine Webcam an machen will, geht mein pc so zu sagen aus...also nicht genau aus sonder dann kommt da eine weiße schrift mit blauem hintergrund und dann zahlt da eine uhr bis 100 und dann startet der sich neu... das hatte ich am anfang nur damit und als ich jetzt mein w-lan stick in den pc steckte ging das auf ein mal aus so,..

Ich weiß nicht wo ich das am besten hier hin schreiben kann oder kann mir ihr auch einer helfen... denn es muss ja schell gehen...

 

hallo,
wenn du magst, gehen wir deinem malware-verdacht mal nach.
bitte
http://download.bleepingcomputer.com/sUBs/dds.scr
auf den desktop herunterladen und ausführen.

es öffnen sich zwei logs, dds.txt und attach.txt.

im dds.txt-fenster drückst du strg+a, strg+c und hängst den bericht an.

erstelle ein rootrepeal-log und hänge es ebenso an.
http://forum.avira.com/wbb/index.php?page=Thread&threadID=105079

 

@BullzZzeye
Ob auf deinem PC noch Malware ist, kann in dem Thread geklärt werden. Das passt zu dem Problem mit Antivir.

Das mit der Webcam ist aber ein anderes Thema und dafür kannst du auch ein eigenes unter Hardware allgemein erstellen.
Dazu poste dann auch die erforderlichen Angaben zum PC (das oben angepinnte, wichtige Thema beachten!)

 

sorry aber ich wusste nicht wo ich das hin schreiben sollte deswegen hab ich erst mal gefragt
Mach ich hehe

Ich glaub du wolltest das so haben oder ?!


ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/02/13 21:35
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xEF18E000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF8A85000 Size: 8192 File Visible: No Signed: -
Status: -

Name: H8SRTndqgknankl.sys
Image Path: C:\WINDOWS\system32\drivers\H8SRTndqgknankl.sys
Address: 0xEF653000 Size: 114688 File Visible: - Signed: -
Status: Hidden from the Windows API!

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xEDAE5000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\WINDOWS\Temp\H8SRTaa6e.tmp
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\H8SRThlhfetydqo.dat
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\H8SRTidwqerftla.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\H8SRTiltqsinrer.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\H8SRTkoaisecmkq.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\H8SRTpgrmkbqhgf.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\h8srtshsyst.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\drivers\H8SRTndqgknankl.sys
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\h8srtkrl32mainweq.dll
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\h8srtmainqt.dll
Status: Invisible to the Windows API!

Path: c:\dokumente und einstellungen\michél\lokale einstellungen\temp\~dfb7bc.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: c:\dokumente und einstellungen\michél\lokale einstellungen\temp\~dfb7c5.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: c:\dokumente und einstellungen\michél\lokale einstellungen\temp\~df8b82.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: c:\dokumente und einstellungen\michél\lokale einstellungen\temp\~df55e6.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: C:\Dokumente und Einstellungen\Michél\Lokale Einstellungen\Temp\H8SRT8fb8.tmp
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\Michél\Lokale Einstellungen\Temp\H8SRTfbb1.tmp
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\Michél\Lokale Einstellungen\Temp\h8srtmainqt.dll
Status: Invisible to the Windows API!

Path: c:\programme\logitech\desktop messenger\8876480\users\michél\data\d0000000.fcs
Status: Allocation size mismatch (API: 512, Raw: 0)

Path: C:\Dokumente und Einstellungen\Michél\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\didiStealth Objects
-------------------
Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: services.exe (PID: 596) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: lsass.exe (PID: 608) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTidwqerftla.dll]
Process: svchost.exe (PID: 788) Address: 0x008b0000 Size: 167936

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: svchost.exe (PID: 788) Address: 0x009b0000 Size: 36864

Object: Hidden Module [Name: H8SRTkoaisecmkq.dll]
Process: svchost.exe (PID: 788) Address: 0x00a50000 Size: 73728

Object: Hidden Module [Name: H8SRTpgrmkbqhgf.dll]
Process: svchost.exe (PID: 788) Address: 0x02ad0000 Size: 94208

Object: Hidden Module [Name: H8SRTpgrmkbqhgf.dll]
Process: svchost.exe (PID: 788) Address: 0x10000000 Size: 94208

Object: Hidden Module [Name: H8SRTidwqerftla.dll]
Process: svchost.exe (PID: 788) Address: 0x02bc0000 Size: 167936

Object: Hidden Module [Name: H8SRTidwqerftla.dll]
Process: svchost.exe (PID: 884) Address: 0x00870000 Size: 167936

Object: Hidden Module [Name: H8SRTpgrmkbqhgf.dll]
Process: svchost.exe (PID: 884) Address: 0x10000000 Size: 94208

Object: Hidden Module [Name: H8SRTidwqerftla.dll]
Process: svchost.exe (PID: 924) Address: 0x00870000 Size: 167936

Object: Hidden Module [Name: H8SRTpgrmkbqhgf.dll]
Process: svchost.exe (PID: 924) Address: 0x10000000 Size: 94208

Object: Hidden Module [Name: H8SRTidwqerftla.dll]
Process: svchost.exe (PID: 992) Address: 0x00870000 Size: 167936

Object: Hidden Module [Name: H8SRTpgrmkbqhgf.dll]
Process: svchost.exe (PID: 992) Address: 0x10000000 Size: 94208

Object: Hidden Module [Name: H8SRTidwqerftla.dll]
Process: svchost.exe (PID: 1076) Address: 0x00870000 Size: 167936

Object: Hidden Module [Name: H8SRTpgrmkbqhgf.dll]
Process: svchost.exe (PID: 1076) Address: 0x10000000 Size: 94208

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: Explorer.EXE (PID: 1356) Address: 0x011a0000 Size: 36864

Object: Hidden Module [Name: H8SRTpgrmkbqhgf.dll]
Process: Explorer.EXE (PID: 1356) Address: 0x012e0000 Size: 94208

Object: Hidden Module [Name: H8SRTpgrmkbqhgf.dll]
Process: Explorer.EXE (PID: 1356) Address: 0x10000000 Size: 94208

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: spoolsv.exe (PID: 1396) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTidwqerftla.dll]
Process: svchost.exe (PID: 1668) Address: 0x00870000 Size: 167936

Object: Hidden Module [Name: H8SRTpgrmkbqhgf.dll]
Process: svchost.exe (PID: 1668) Address: 0x10000000 Size: 94208

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: mDNSResponder.exe (PID: 1700) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: ICQ Service.exe (PID: 1760) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: LVPrcSrv.exe (PID: 1812) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: NBService.exe (PID: 1876) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: SeaPort.exe (PID: 1908) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTidwqerftla.dll]
Process: svchost.exe (PID: 2020) Address: 0x00a50000 Size: 167936

Object: Hidden Module [Name: H8SRTpgrmkbqhgf.dll]
Process: svchost.exe (PID: 2020) Address: 0x10000000 Size: 94208

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: wdfmgr.exe (PID: 140) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: SOUNDMAN.EXE (PID: 556) Address: 0x00150000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: BJMyPrt.exe (PID: 572) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: jusched.exe (PID: 832) Address: 0x01320000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: winampa.exe (PID: 1012) Address: 0x008c0000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: Communications_Helper.exe (PID: 1504) Address: 0x00160000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: LVComSX.exe (PID: 1724) Address: 0x01a30000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: GrooveMonitor.exe (PID: 1940) Address: 0x00160000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: avgnt.exe (PID: 1976) Address: 0x00aa0000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: LWS.exe (PID: 2064) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: ctfmon.exe (PID: 2076) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: TeaTimer.exe (PID: 2088) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: OrbTray.exe (PID: 2104) Address: 0x01370000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: msnmsgr.exe (PID: 2144) Address: 0x01950000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: Vid.exe (PID: 2160) Address: 0x01540000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: LogitechDesktopMessenger.exe (PID: 2284) Address: 0x01190000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: SetPoint.exe (PID: 2332) Address: 0x01b30000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: RtWLan.exe (PID: 2352) Address: 0x00160000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: KHALMNPR.EXE (PID: 3700) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: COCIManager.exe (PID: 1004) Address: 0x00c70000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: ctfmon.exe (PID: 2892) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: alg.exe (PID: 1028) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: Orb.exe (PID: 2804) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: wltuser.exe (PID: 2124) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTidwqerftla.dll]
Process: svchost.exe (PID: 5180) Address: 0x00a50000 Size: 167936

Object: Hidden Module [Name: H8SRTpgrmkbqhgf.dll]
Process: svchost.exe (PID: 5180) Address: 0x10000000 Size: 94208

Object: Hidden Module [Name: H8SRTpgrmkbqhgf.dll]
Process: firefox.exe (PID: 5684) Address: 0x00160000 Size: 94208

Object: Hidden Module [Name: H8SRTidwqerftla.dll]
Process: firefox.exe (PID: 5684) Address: 0x01490000 Size: 167936

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: avcenter.exe (PID: 4564) Address: 0x00030000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: wlcomm.exe (PID: 4980) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: ICQ.exe (PID: 2208) Address: 0x10000000 Size: 36864

Object: Hidden Module [Name: H8SRTiltqsinrer.dll]
Process: RootRepeal.exe (PID: 6132) Address: 0x00160000 Size: 36864

Object: Hidden Module [Name: H8SRTidwqerftla.dll]
Process: iexplore.exe (PID: 5984) Address: 0x00dd0000 Size: 167936

Object: Hidden Module [Name: H8SRTpgrmkbqhgf.dll]
Process: iexplore.exe (PID: 5984) Address: 0x10000000 Size: 94208

Hidden Services
-------------------
Service Name: H8SRTd.sys
Image Path: C:\WINDOWS\system32\drivers\H8SRTndqgknankl.sys

==EOF==

 

hallo,
du hast das dds-log vergessen.
ist aber auch nicht mehr so wichtig, da die informationen, die rootrepeal ausgespuckt hat, ausreichen, um zu beurteilen, daß malware für die antivir-probleme verantwortlich ist.

in diesem fall haben wir es mit tdss, einer backdoor, zu tun.
das gedöhns knipst reihenweise sicherheitsspielzeug aus.

wenn dir kein finanzieller schaden(online-banking etc.) entstanden ist, kannst du folgendes

datensicherung mit einer live-cd wie z.b. knoppix
http://www.pcwelt.de/forum/sicherhe...r-rootkits/377896-datensicherung-knoppix.html,
neuaufsetzen
http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html,
alle passwörter ändern.

in angriff nehmen.

 

sag blos ich muss die ganzen datein auf meine externe fetsplatte machen und windows neu machen ?!
Sag mir bitte das ich das nicht machen muss ?!
Kann denn die externe platte nicht den virus bekommen und wenn ich wondows neu aufspiele dann auch bekommen ?!

Weißte was ich meine ?!

 

doch. daran führt kein weg vorbei, wenn du wieder ein vertrauenswürdiges system haben möchtest.
http://virus-protect.org/kompsystem.html

das ist möglich, sollte neben tdss noch eine autorun-wurm-infektion vorliegen.
datensicherung bitte, wie erwähnt, unabhängig vom infizierten system mithilfe einer live-cd vornehmen.
mit dieser live-cd, also z.b. knoppix oder ubuntu, alle wechseldatenträger, die mit dem system in kontakt gekommen sind, auf autorun.inf und eigentliche malware, wie hier http://forum.chip.de/viren-trojaner...fizierten-datentraegern-rechnern-1133907.html beschrieben, untersuchen.

für die zukunft:
wenn noch nicht geschehen, schau dir auch das
http://www.pcwelt.de/forum/sicherhe...orial-vollst-ndige-deaktivierung-autorun.html
mal an.
imo ist es auch eine gute idee, system und wechseldatenträger zu "immunisieren".
wenn man so etwas nicht manuell machen möchte, bietet sich z.b. das
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe(option 3) an.

und ganz wichtig:
überdenke dein sicherheitskonzept. tips findest du z.b. hier:
http://forum.chip.de/viren-trojaner-wuermer/leitfaden-pc-sicherheit-968736.html

ist vielleicht auf den ersten blick viel lesestoff, aber es ist in deinem interesse, dich ein wenig mit der materie auseinanderzusetzen.
wenn du fragen hast, werden diese gerne beantwortet.