Hallo,
bin ein blutiger PC-Anfänger und habe hier das tolle Forum über Trojaner und solche Sachen entdeckt.
Und habe folgendes Problem:
Wenn ich mein Antivir starten will kommt die Fehlermeldung das die avcenter-Datei modifiziert oder zerstört wurde!
Hab dann auch gleich ein Logfile gemacht:


Logfile of HijackThis v1.99.1
Scan saved at 16:17:53, on 10.05.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\Programme\TCM\TCM Mouse Only\MouseDrv.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\SoftPerfect Personal Firewall\fw.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\FinePixViewerS\QuickDCF2.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Norma Fotobuch\Photobook.exe
C:\totalcmd\TOTALCMD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*********\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\3.tmp
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\TCM\TCM Mouse Only\MouseDrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SoftPerfect Personal Firewall] "C:\Programme\SoftPerfect Personal Firewall\fw.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Exif Launcher S.lnk = C:\Programme\FinePixViewerS\QuickDCF2.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141319440779
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = haiwo.selfip.biz
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0855042-C642-4A06-83B7-6DDBBBDFC43F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1E7910E-9E4B-4941-A361-4DFC7CDCF4CB}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = haiwo.selfip.biz
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = haiwo.selfip.biz
O20 - Winlogon Notify: efedc - C:\WINNT\system32\efedc.dll (file missing)
O20 - Winlogon Notify: iifff - iifff.dll (file missing)
O20 - Winlogon Notify: xtav3des - xtav3des.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINNT\system32\urdvxc.exe" /service (file missing)
O23 - Service: Windows Network Security Management Service (nsms) - Unknown owner - C:\WINNT\system32\3.tmp (file missing)
O23 - Service: NTSec(ntsec) (NTSec) - Unknown owner - C:\WINNT\system32\ntsec.exe (file missing)
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINNT\System32\SCardClnt.exe (file missing)
O23 - Service: sysmgr64 - Unknown owner - C:\WINNT\sysmgr64.exe (file missing)
O23 - Service: User Initialization (usrinit32) - Unknown owner - C:\WINNT\userinit.exe (file missing)



Was kann ich jetzt machen das mein PC wieder funktioniert,
wie kann ich gegen solche Sachen vorbeugen?

Danke schonmal :aplaus:
Gruss jasowasauch

Hi,
du hast ne Menge Scheiß aufm Rechner, ich würde sagen, die einzig sichere Lösung ist Neuaufsetzen.
(Der Link gibt auch gleich noch die wichtigsten Tips um nach dem Neuaufsetzen virenfrei zu bleiben)

Das sind die Einträge, die die Bösewichte verraten:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\s ystem32\3.tmp
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1E7910E-9E4B-4941-A361-4DFC7CDCF4CB}: NameServer = 195.50.140.178 195.50.140.114
O20 - Winlogon Notify: efedc - C:\WINNT\system32\efedc.dll (file missing)
O20 - Winlogon Notify: iifff - iifff.dll (file missing)
O23 - Service: sysmgr64 - Unknown owner - C:\WINNT\sysmgr64.exe (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINNT\system32\urdvxc.exe" /service (file missing)
O23 - Service: User Initialization (usrinit32) - Unknown owner - C:\WINNT\userinit.exe (file missing)O23 - Service: Windows Network Security Management Service (nsms) - Unknown owner - C:\WINNT\system32\3.tmp (file missing)

derhier:
O23 - Service: sysmgr64 - Unknown owner - C:\WINNT\sysmgr64.exe (file missing)

gehört zu der Gruppe der Sdbot und macht das Neuaufsetzen unausweichbar

EDIT: Es sind noch mehr Einträge, die ungutes erahnen lassen, aber für den Anfang reicht das ja schonmal.
EDIT: Ich mach das absichtlich.

Ok danke!
das ging aber schnell!
Kannst du mir vielleicht auch sagen ob ich einige Dateien wie Bilder
durch brennen noch retten kann oder ist der "Scheiss" da dann auch drauf!!

Danke
Gruss jasowasauch

Da hast Du aber ganz schön was gesammelt:

W32/Allaple-B - Wurm - Sophos Bedrohungsanalyse
SYSMGR64.EXE - Worm.Rbot Variant.Process
CastleCops® Mirrors NTSec(ntsec) (NTSec) ntsec.exe
W32/Codbot-K - Wurm - Sophos Bedrohungsanalyse
CastleCops® Mirrors User Initialization (usrinit32) userinit.exe

Das system dürfte hoffnungslos über den Jordan sein. In unserer FAQ-Sektion findest Du eine Anleitung zum Neuaufsetzen.

Gruß

Marc

Edit: jetzt war die schon wieder schneller

@jasowasauch

Du kannst grundsätzlich Bilder, Musik etc sichern nur keine Programmdateien (.exe, .com, .cab etc etc).

könnt ihr mir vielleicht sagen woher die ganzen sachen kommen?
weil ich hab den antivir personal und ne firewall installiert?

Zitat:

Zitat von jasowasauch

könnt ihr mir vielleicht sagen woher die ganzen sachen kommen?
weil ich hab den antivir personal und ne firewall installiert?

Der beste Schutz und die größte Gefahr für Deinen Rechner bist Du selbst. Weder Firewall noch Virenscanner schützen wirklich.
Mal ein obskure Daeti aus obskurer Quelle geladen, mal (durch Zufall oder auch nicht) auf einer obskuren manipulierten Webseite gelandet. Mal einen Emailanhang geöffnet, den man nicht öffnen sollte....

Du kannst Dich ja mal ein bisschen hier durchlesen:
http://www.cidres-security.de/

Gruß

Marc