|
Plagegeister aller Art und deren Bekämpfung: AV SystemCareWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.02.2008, 22:58 | #1 |
| AV SystemCare Seit gegrüßt, ich habe seit einigen Tagen das Problem, dass bei jeklicher Nutzung von Mozilla Firefox nach ca 5-10 Minuten Antivir einen Schwall von etwa 8-10 Meldungen über Viren bringt. Nachdem ich sofort alle Angezeigten Dateien lösche kommt der Downloader für die besagte Software, welcher sich nicht deaktivieren lässt. Auch ein Neustart des Systems hat keine Wirkung da der Downloader dort weitermacht wo er vor dem Neustart aufgehört hat. Nach dem Download wird eine Installationsdatei auf dem Desktop erstellt welche aber nach 5-10 Minuten automatisch verschwindet. Allerdings wird im Taskmanager ein Prozess namens avsys.exe angezeigt welcher ebenfalls nicht zu beenden ist. Meine Daten: System: WinXP ohne SP AV Software: Avira AntiVir, Ad-Avare, Spybot search & destroy Meine Suche bei Google hat mich auf folgenden link geführt: h**p://w*w.entfernen-spyware.de/avsystemcare-entfernen.html Da ich allerdings sehr misstrauisch in solchen Dingen bin, lasse ich das lieber von jemandem überprüfen der mehr Ahnung davon hat als ich. Hoffe auf eure Unterstützung MfG Lodi |
27.02.2008, 00:06 | #2 | |
> MalwareDB | AV SystemCareZitat:
|
27.02.2008, 14:06 | #3 |
| AV SystemCare In erster Linie da ich mit einigen Anwendungen wie zum Beispiel meiner Plottersoftware probleme hatte. Hab ein etwas älteres Modell das eigentlich schon nicht XP kompatiebel war(musste eine Zeit basteln bis ich einen halbwegs passenden Treiber hatte). Im Falle dessen das SP2 mein Problem beheben könnte, würde ich dieses aber installieren.
__________________Es ist noch anzufügen, dass Spybot search and destroy ständig folgende Systemeinträge blokiert: Kategorie: System startup global entry Eintrag: BMe3fed367 Neue Datei: Rundll32.exe"\WINDOWS\System32\... (leider nicht komplett einsehbar) Kategorie: Browser helper object Eintrag: {56255b93-a313-4c6e-90df-8aa1f1f60bd9} Kategorie: Winlogon Notifiers Eintrag: kmmmxjiy |
27.02.2008, 14:45 | #4 |
> MalwareDB | AV SystemCare Die Sache ist die, den Rechner wirst Du wohl nei installieren dürfen, hier wird es für eine Nachträgliche Installation zu spät sein. Wenn das mit der Plottersoftware Probleme macht, würde ich einen weiteren Rechner nehmen, der nicht im Netz ist, ein Plotrechner sozusagen, denn ohne SP und Patches macht es wenig Sinn. Wie auch immer, poste doch mal ein HJT Logfile. Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Suche die Datei HiJackThis.exe und benenne sie um in 'This.com' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.com Beim umbenennen ist es wichtig, dass die Dateinamenerweiterungen angezeigt werden. Wenn Du eine HiJackThis.exe siehst, passt das, falls da nur HijackThis steht, geh bitte wie folgt vor: Im Explorer auf Extras Ordneroptionen, dann auf den Reiter Ansicht. Dort machst Du dann den Haken bei "Erweiterungen bei bekannten Dateitypen ausblenden" raus. Dann kannst Du die HiJackThis.exe umbenennen. -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) - Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest. - Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken. |
27.02.2008, 21:58 | #5 |
| AV SystemCare Also ich kann im Moment nicht an den Rechner da am Router noch andere PC´s sind die ich nicht auch noch verseuchen möchte aber sobald es mir möglich ist versuch ich eine log Datei zu erstellen. Eine System-Wiederherstellungs-Datei wäre dann wohl nicht ratsam oder? habe unter Anderem auch Spiele auf der zweiten Partition installiert und bin nicht scharf darauf alles neu up zu daten weil die systemeintragungen fehlen. Gibts da eine lösung? vielen Dank bis hier her schonmal. Gruß Lodi |
27.02.2008, 22:02 | #6 | |
> MalwareDB | AV SystemCareZitat:
|
27.02.2008, 22:15 | #7 |
| AV SystemCare alles klar. ich kann jetzt alle anderen rechner abschalten und werds gleich mal versuchen |
27.02.2008, 22:27 | #8 |
| AV SystemCare Hier also meine Logfile. Auch wenn ich nicht wirklich genau weis was darin erkennbar sein soll hab ich schon einige dinge gesehen die meinen warnungen gleich kommen. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:24:59, on 27.02.2008 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\ATKKBService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\PnkBstrA.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe E:\Games\Steam\Steam.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe E:\Downloads\This.com E:\Downloads\This.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.spassclan.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {07636BC8-446A-4900-8414-764DF3C6A59E} - C:\WINDOWS\System32\pmkhh.dll O2 - BHO: (no name) - {202290F3-6A09-4816-979A-AC00DEF0D665} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {95174142-DC29-4306-9F45-5CB4FBDD61DC} - (no file) O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\System32\kmmmxjiy.dll (file missing) O2 - BHO: (no name) - {ED120D76-BF31-412C-A99B-783C6676E128} - C:\WINDOWS\System32\byxyvwu.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Daemon14] C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BMe3fed367] Rundll32.exe "C:\WINDOWS\System32\rmowaxex.dll",s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Steam] E:\Games\Steam\Steam.exe -silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{31568760-7D6E-42A4-994D-C7B213A03D00}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{349585A7-2E0E-4756-A35F-7D1379D8DC49}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{5DA22AB0-0174-4D01-B0A2-5F21CCE18FCE}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{31568760-7D6E-42A4-994D-C7B213A03D00}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{31568760-7D6E-42A4-994D-C7B213A03D00}: NameServer = 192.168.0.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: byxyvwu - C:\WINDOWS\SYSTEM32\byxyvwu.dll O20 - Winlogon Notify: kmmmxjiy - kmmmxjiy.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\System32\windows O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe -- End of file - 6843 bytes |
27.02.2008, 22:44 | #9 | |
> MalwareDB | AV SystemCare Du willst den Zooo hier also loswerden? Zitat:
|
28.02.2008, 16:11 | #10 |
| AV SystemCare irgendwie hab ich mir gedacht dass sowas in der Richtung kommt^^ naja demnach ist was zutun? |
28.02.2008, 16:15 | #11 |
> MalwareDB | AV SystemCare Der beste Rat ist es den Rechner frisch zu installieren. Eine Versuch der Bereinigung kann unternommen werden, muss aber nicht von finalem Erfolg gekrönt sein. Deine Entscheidung, fürs Neuaufsetzen findest Du im FAQ Bereiche eine Anleitung. |
Themen zu AV SystemCare |
antivir, automatisch, avira, avira antivir, beenden, dateien, desktop, downloader, erstellt, firefox, folge, google, link, meldungen, mozilla, mozilla firefox, neustart, problem, prozess, software, spybot, suche, systemcare, taskmanager, viren, winxp |