Seit gegrüßt,

ich habe seit einigen Tagen das Problem, dass bei jeklicher Nutzung von Mozilla Firefox nach ca 5-10 Minuten Antivir einen Schwall von etwa 8-10 Meldungen über Viren bringt. Nachdem ich sofort alle Angezeigten Dateien lösche kommt der Downloader für die besagte Software, welcher sich nicht deaktivieren lässt. Auch ein Neustart des Systems hat keine Wirkung da der Downloader dort weitermacht wo er vor dem Neustart aufgehört hat.
Nach dem Download wird eine Installationsdatei auf dem Desktop erstellt welche aber nach 5-10 Minuten automatisch verschwindet. Allerdings wird im Taskmanager ein Prozess namens avsys.exe angezeigt welcher ebenfalls nicht zu beenden ist.

Meine Daten:
System: WinXP ohne SP
AV Software: Avira AntiVir, Ad-Avare, Spybot search & destroy

Meine Suche bei Google hat mich auf folgenden link geführt:
h**p://w*w.entfernen-spyware.de/avsystemcare-entfernen.html
Da ich allerdings sehr misstrauisch in solchen Dingen bin, lasse ich das lieber von jemandem überprüfen der mehr Ahnung davon hat als ich.

Hoffe auf eure Unterstützung

MfG Lodi

Zitat:

System: WinXP ohne SP

Warum ist das so?

In erster Linie da ich mit einigen Anwendungen wie zum Beispiel meiner Plottersoftware probleme hatte. Hab ein etwas älteres Modell das eigentlich schon nicht XP kompatiebel war(musste eine Zeit basteln bis ich einen halbwegs passenden Treiber hatte). Im Falle dessen das SP2 mein Problem beheben könnte, würde ich dieses aber installieren.

Es ist noch anzufügen, dass Spybot search and destroy ständig folgende Systemeinträge blokiert:

Kategorie: System startup global entry
Eintrag: BMe3fed367
Neue Datei: Rundll32.exe"\WINDOWS\System32\... (leider nicht komplett einsehbar)

Kategorie: Browser helper object
Eintrag: {56255b93-a313-4c6e-90df-8aa1f1f60bd9}

Kategorie: Winlogon Notifiers
Eintrag: kmmmxjiy

Die Sache ist die, den Rechner wirst Du wohl nei installieren dürfen, hier wird es für eine Nachträgliche Installation zu spät sein.
Wenn das mit der Plottersoftware Probleme macht, würde ich einen weiteren Rechner nehmen, der nicht im Netz ist, ein Plotrechner sozusagen, denn ohne SP und Patches macht es wenig Sinn.

Wie auch immer, poste doch mal ein HJT Logfile.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
Beim umbenennen ist es wichtig, dass die Dateinamenerweiterungen angezeigt werden.
Wenn Du eine HiJackThis.exe siehst, passt das, falls da nur HijackThis steht, geh bitte wie folgt vor:
Im Explorer auf Extras Ordneroptionen, dann auf den Reiter Ansicht. Dort machst Du dann den Haken bei "Erweiterungen bei bekannten Dateitypen ausblenden" raus. Dann kannst Du die HiJackThis.exe umbenennen.

-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Also ich kann im Moment nicht an den Rechner da am Router noch andere PC´s sind die ich nicht auch noch verseuchen möchte aber sobald es mir möglich ist versuch ich eine log Datei zu erstellen.
Eine System-Wiederherstellungs-Datei wäre dann wohl nicht ratsam oder?
habe unter Anderem auch Spiele auf der zweiten Partition installiert und bin nicht scharf darauf alles neu up zu daten weil die systemeintragungen fehlen.
Gibts da eine lösung?

vielen Dank bis hier her schonmal.

Gruß Lodi

Zitat:

Gibts da eine lösung?

Warten wir das Log mal ab.

alles klar. ich kann jetzt alle anderen rechner abschalten und werds gleich mal versuchen

Hier also meine Logfile.
Auch wenn ich nicht wirklich genau weis was darin erkennbar sein soll hab ich schon einige dinge gesehen die meinen warnungen gleich kommen.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:59, on 27.02.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
E:\Games\Steam\Steam.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
E:\Downloads\This.com
E:\Downloads\This.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.spassclan.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {07636BC8-446A-4900-8414-764DF3C6A59E} - C:\WINDOWS\System32\pmkhh.dll
O2 - BHO: (no name) - {202290F3-6A09-4816-979A-AC00DEF0D665} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {95174142-DC29-4306-9F45-5CB4FBDD61DC} - (no file)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\System32\kmmmxjiy.dll (file missing)
O2 - BHO: (no name) - {ED120D76-BF31-412C-A99B-783C6676E128} - C:\WINDOWS\System32\byxyvwu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Daemon14] C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BMe3fed367] Rundll32.exe "C:\WINDOWS\System32\rmowaxex.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] E:\Games\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{31568760-7D6E-42A4-994D-C7B213A03D00}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{349585A7-2E0E-4756-A35F-7D1379D8DC49}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DA22AB0-0174-4D01-B0A2-5F21CCE18FCE}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{31568760-7D6E-42A4-994D-C7B213A03D00}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{31568760-7D6E-42A4-994D-C7B213A03D00}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: byxyvwu - C:\WINDOWS\SYSTEM32\byxyvwu.dll
O20 - Winlogon Notify: kmmmxjiy - kmmmxjiy.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\System32\windows
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe

--
End of file - 6843 bytes

Du willst den Zooo hier also loswerden?

Zitat:

O2 - BHO: (no name) - {07636BC8-446A-4900-8414-764DF3C6A59E} - C:\WINDOWS\System32\pmkhh.dll
O2 - BHO: (no name) - {202290F3-6A09-4816-979A-AC00DEF0D665} - (no file)
O2 - BHO: (no name) - {95174142-DC29-4306-9F45-5CB4FBDD61DC} - (no file)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\System32\kmmmxjiy.dll (file missing)
O2 - BHO: (no name) - {ED120D76-BF31-412C-A99B-783C6676E128} - C:\WINDOWS\System32\byxyvwu.dll
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [Daemon14] C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe
O4 - HKLM\..\Run: [BMe3fed367] Rundll32.exe "C:\WINDOWS\System32\rmowaxex.dll",s
O20 - Winlogon Notify: byxyvwu - C:\WINDOWS\SYSTEM32\byxyvwu.dll
O20 - Winlogon Notify: kmmmxjiy - kmmmxjiy.dll (file missing)
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\System32\windows

irgendwie hab ich mir gedacht dass sowas in der Richtung kommt^^

naja demnach ist was zutun?

Der beste Rat ist es den Rechner frisch zu installieren.
Eine Versuch der Bereinigung kann unternommen werden, muss aber nicht von finalem Erfolg gekrönt sein.
Deine Entscheidung, fürs Neuaufsetzen findest Du im FAQ Bereiche eine Anleitung.