PC extrem langsam, Spyware? Virus?

Daniel-b2 · 24.05.2008, 13:34

Hey Leute, ich hab ein Problem#

Also, mein PC ist seit einigen tagen sehr langsam. Des weiteren geht ständig, wenn ich im inet bin, neue Mozilla Fenster mit Werbung auf, was ziemlich nervig ist.

Hab leider nich so viel Ahnung von PC's.

Hab nur gelesen, dass wohl ein HijackThis Logfile gut zum überprüfen ist, deshalb hab ich das mal gemacht. Hoffe, ihr könnt mir helfen.

Danke im Voraus

HiJackThis LogFile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:16:34, on 24.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\zyfiuopi.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Dokumente und Einstellungen\Ralf und Kerstin\Desktop\Daniel\Eigene Dateien\Eigene Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [zyfiuopi] c:\dokumente und einstellungen\ralf und kerstin\lokale einstellungen\anwendungsdaten\zyfiuopi.exe zyfiuopi
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Dokumente und Einstellungen\Ralf und Kerstin\Desktop\Daniel\Eigene Dateien\Eigene Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Dokumente und Einstellungen\Ralf und Kerstin\Desktop\Daniel\Eigene Dateien\Eigene Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Dokumente und Einstellungen\Ralf und Kerstin\Desktop\Daniel\Eigene Dateien\Eigene Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?dbf8940013134be1aaebc30192d4cfcd
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?dbf8940013134be1aaebc30192d4cfcd
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Dokumente und Einstellungen\Ralf und Kerstin\Desktop\Daniel\Eigene Dateien\Eigene Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\Eigene Programme\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\Eigene Programme\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166917312625
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1165962099734
O17 - HKLM\System\CCS\Services\Tcpip\..\{794A7CE3-5BB7-4555-9CD1-B8EF91BEEAB3}: NameServer = 10.0.0.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{C69D0407-D701-4794-9349-E1AAC04D9445}: NameServer = 192.168.0.1
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - https://www.kabelmail.de/img/kdg/bg_toolpanel.gif

--
End of file - 11425 bytes

myrtille · 24.05.2008, 17:19

Hi,
lad mal bitte folgende Datei bei virustotal hoch und poste die kompletten Ergebnisse hier.
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.).

Zitat:

c:\dokumente und einstellungen\ralf und kerstin\lokale einstellungen\anwendungsdaten\zyfiuopi.exe

Arbeite bitte außerdem folgendes ab:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig

lg myrtille

Daniel-b2 · 25.05.2008, 14:28

Danke für deine antwort.

Also, hier habe ich erstmal diese Datei bei Virustotal hochgeladen:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.24 -
Authentium 5.1.0.4 2008.05.23 -
Avast 4.8.1195.0 2008.05.24 Win32:InMorph
AVG 7.5.0.516 2008.05.24 -
BitDefender 7.2 2008.05.24 -
CAT-QuickHeal 9.50 2008.05.24 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.05.24 -
DrWeb 4.44.0.09170 2008.05.24 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5817 2008.05.23 -
Ewido 4.0 2008.05.24 -
F-Prot 4.4.4.56 2008.05.23 -
F-Secure 6.70.13260.0 2008.05.23 -
Fortinet 3.14.0.0 2008.05.24 -
GData 2.0.7306.1023 2008.05.23 Win32:InMorph
Ikarus T3.1.1.26.0 2008.05.24 -
Kaspersky 7.0.0.125 2008.05.24 -
McAfee 5302 2008.05.23 -
Microsoft 1.3520 2008.05.24 Trojan:Win32/Skintrim.gen!A
NOD32v2 3128 2008.05.23 -
Norman 5.80.02 2008.05.23 -
Panda 9.0.0.4 2008.05.24 -
Prevx1 V2 2008.05.24 Malicious Software
Rising 20.45.42.00 2008.05.23 -
Sophos 4.29.0 2008.05.24 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.24 -
TheHacker 6.2.92.318 2008.05.23 -
VBA32 3.12.6.6 2008.05.24 -
VirusBuster 4.3.26:9 2008.05.24 -
Webwasher-Gateway 6.6.2 2008.05.24 -
weitere Informationen
File size: 315392 bytes
MD5...: 1172f1fe78ad1133dd9925b7187d56a1
SHA1..: eb160d91b8649eab79f4fb1308bccb50c85064c0
SHA256: 87c09e50f015c0efdf3d4356d32a5c76fffbbafc1225ff56bf3c89d3354e9c06
SHA512: 9cbab75360219817644362467061b5d05b8311434bccf5bf072fb701d4c97007
11c9cf57e1846f06caaa092f96707e4a7b96025b638ad49373ceb35d7b8afdb0
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x447190
timedatestamp.....: 0x4036b876 (Sat Feb 21 01:46:30 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4631c 0x47000 7.98 ff30fe978eabb78142ff0c9f304061be
.rdata 0x48000 0x1826 0x2000 4.66 a9c07679410c8eae98879b6bc25597e5
.data 0x4a000 0x210c 0x3000 6.33 cceaa5b2dc95edd6f1579696c05e7364

( 12 imports )
> KERNEL32.dll: GetFullPathNameA, LocalAlloc, lstrlenA, CreateProcessW, FreeConsole, WriteConsoleOutputA, WinExec, GetCurrentDirectoryW, ReadConsoleInputA, AreFileApisANSI, GetDateFormatW, LocalFileTimeToFileTime, FindResourceExA, GetPrivateProfileSectionW, CreateFileMappingW, WideCharToMultiByte, GetLargestConsoleWindowSize, GetSystemInfo, SetCommMask, OpenEventW, PrepareTape, WritePrivateProfileSectionW, SetLocalTime, SetErrorMode, DefineDosDeviceA, CreateFileW, VirtualQueryEx, FlushInstructionCache, GetCommState, EnumCalendarInfoW, PostQueuedCompletionStatus, GetBinaryTypeW, CreateFiber, WriteTapemark, FindFirstChangeNotificationW, CreateNamedPipeW, FillConsoleOutputAttribute, GetSystemDirectoryW, GetLocaleInfoA, DefineDosDeviceW, CreateNamedPipeA, CreateThread, BackupWrite, GetPrivateProfileStructA, SetEnvironmentVariableW, CloseHandle, ExpandEnvironmentStringsW, GetCurrentProcess, ClearCommBreak, SetConsoleCursorPosition, FormatMessageA, GetSystemTime, MoveFileExW, SetConsoleTitleA, HeapFree, GetLogicalDriveStringsA, ReleaseSemaphore, GetProcessTimes, CopyFileExW, WriteConsoleW, UnhandledExceptionFilter, GetConsoleTitleA, WriteConsoleOutputAttribute, FindNextFileA, LocalFree, GetCurrentProcessId, ReadProcessMemory, ExitThread, ReadFileScatter, GetVersionExA, VirtualProtect, GetModuleHandleA, SearchPathW, GetCompressedFileSizeA, ReleaseMutex, DeviceIoControl, FindFirstFileA, GetBinaryTypeA, InitializeCriticalSection, CallNamedPipeW, SetThreadPriorityBoost, GetComputerNameW, _lcreat, GetStartupInfoA, FindFirstChangeNotificationA, GlobalUnlock, _llseek, SystemTimeToTzSpecificLocalTime, FindAtomA, GetThreadLocale, IsDBCSLeadByteEx, SetVolumeLabelA, UnlockFile, GetProfileIntA, Sleep, Beep, LCMapStringW, FindNextChangeNotification, LoadResource, SetProcessWorkingSetSize, GetCurrentThreadId
> USER32.dll: InternalGetWindowText, RegisterClassA, GetMonitorInfoW, EnumWindows, GetClassInfoExW, IsWindow, ValidateRgn, MessageBoxA, CharNextExA, MonitorFromPoint, GetSubMenu, EnumDesktopsW, OpenInputDesktop, ChangeDisplaySettingsExA, LoadMenuIndirectA, ShowCursor, RegisterHotKey, EnableScrollBar, OpenClipboard, IsMenu, LoadAcceleratorsW, UnregisterDeviceNotification, ShowWindowAsync, PostThreadMessageA, EnumClipboardFormats, DragDetect, GetClipboardFormatNameA, MonitorFromWindow, MoveWindow, SetLastErrorEx, EnumDisplaySettingsExW, DefFrameProcA, SetMenuDefaultItem, SwitchDesktop
> GDI32.dll: ExtCreatePen
> comdlg32.dll: CommDlgExtendedError, FindTextW
> ADVAPI32.dll: GetSecurityDescriptorDacl, CryptImportKey, EnumServicesStatusW, QueryServiceConfigA, RegDeleteKeyA, CopySid, GetUserNameW, InitiateSystemShutdownA, AllocateAndInitializeSid, RegisterEventSourceA, GetServiceDisplayNameA, CryptGetHashParam, AccessCheckAndAuditAlarmW, LookupAccountNameW, CloseServiceHandle, DestroyPrivateObjectSecurity, RegConnectRegistryW, RegEnumKeyW, NotifyChangeEventLog, ImpersonateSelf
> SHELL32.dll: ShellExecuteExW, ShellAboutA
> ole32.dll: StringFromCLSID, CreateGenericComposite, CoGetInterfaceAndReleaseStream
> OLEAUT32.dll: -, -, -
> COMCTL32.dll: ImageList_Merge, ImageList_SetDragCursorImage, ImageList_DragEnter, InitCommonControlsEx
> SHLWAPI.dll: UrlIsW, PathUnquoteSpacesA, AssocQueryStringW, AssocCreate, SHCopyKeyA, wnsprintfA, PathStripToRootA, StrCatBuffW, wvnsprintfW, StrRetToBufW, StrCatBuffA, SHAutoComplete, StrCatW, PathFindFileNameW, PathGetDriveNumberA, PathRemoveArgsW
> SETUPAPI.dll: SetupGetStringFieldA, SetupDiGetDeviceInstallParamsW, SetupDiGetClassDevsExA, SetupDiCreateDeviceInfoA, SetupGetLineCountW, SetupCloseInfFile, SetupOpenFileQueue, SetupDiCallClassInstaller, SetupPromptReboot, SetupOpenInfFileW
> MSVCRT.dll: __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, strlen, _except_handler3, __set_app_type, _controlfp

( 0 exports )
Prevx info: 00960426.EXE - Prevx

Hoffe, dass war so richtig.

Und hier das von NaviLog1:

Search Navipromo version 3.5.7 began on 25.05.2008 at 15:15:42,45

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Ralf und Kerstin"

Updated on 11.05.2008 at 18h00 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Search done in normal mode

WebMediaPlayer

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Programme" ***

C:\Programme\WebMediaPlayer found !

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***

...\WebMediaPlayer found !

*** Search folders in "C:\Dokumente und Einstellungen\Ralf und Kerstin\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Ralf und Kerstin\lokale~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Ralf und Kerstin\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Ralf und Kerstin\lokale~1\anwend~1" *

Files found :

tndwei.exe found !
zyfiuopi.exe found !
zyfiuopi.dat found !
zyfiuopi_nav.dat found !
zyfiuopi_navps.dat found !

*** Search files ***

C:\WINDOWS\system32\nvs2.inf found !

*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\WINDOWS\system32" :

* In "C:\Dokumente und Einstellungen\Ralf und Kerstin\lokale~1\anwend~1" :

zyfiuopi.dat found !
zyfiuopi_nav.dat found !
zyfiuopi_navps.dat found !

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :

*** Search completed on 25.05.2008 at 15:21:42,45 ***

Hoffe, du kannst mir da weiterhelfen. Ich versteh da nämlich überall nur Bahnhof drinne^^

Vielen Dank für deine Mühe

LG daniel-b2

myrtille · 25.05.2008, 14:34

Hi,

in diesem Fall ist die Analyse recht einfach:
Alle bemängelten Dateien sind böse.

Die Bereinigung ist in diesem Fall auch einfach:

Rufe das Programm bitte erneut auf und wähle die Option 2
Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
Sollte der Rechner nicht neustarten, tue dies bitte manuell.
Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->"Neuen Task ausführen" aus. Gib dort explorer ein.

Erstelle bitte außerdem noch ein neues Hijackthislog und überprüfe dein System mit MalwareBytes.

lg myrtille

Daniel-b2 · 25.05.2008, 14:57

Mmh, is wenigstens schön, dass es so einfach zu gehen scheint

Hier ist das Ergebnis, dass nach dem neustart erschien:

Navipromo Removal version 3.5.7 started on 25.05.2008 at 15:46:56,75

Fix running from C:\Programme\navilog1
Actual User Account : "Ralf und Kerstin"

Updated on 11.05.2008 at 18h00 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Automatic removal
with Catchme and GNS results

Cleanning stage done on Reboot

*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *

* Deletion in "C:\Dokumente und Einstellungen\Ralf und Kerstin\lokale~1\anwend~1" *

tndwei.exe found !
Copy tndwei.exe done !
tndwei.exe deleted !

zyfiuopi.exe found !
Copy zyfiuopi.exe done !
zyfiuopi.exe deleted !

zyfiuopi.dat found !
Copy zyfiuopi.dat done !
zyfiuopi.dat deleted !

zyfiuopi_nav.dat found !
Copy zyfiuopi_nav.dat done !
zyfiuopi_nav.dat deleted !

zyfiuopi_navps.dat found !
Copy zyfiuopi_navps.dat done !
zyfiuopi_navps.dat deleted !

*** Deleting folders in "C:\WINDOWS" ***

*** Deleting folders in "C:\Programme" ***

C:\Programme\WebMediaPlayer ...deleting...
C:\Programme\WebMediaPlayer deleted !

*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***

...\WebMediaPlayer ...deleting...
...\WebMediaPlayer deleted !

*** Deleting folders in "C:\Dokumente und Einstellungen\Ralf und Kerstin\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Ralf und Kerstin\lokale~1\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Ralf und Kerstin\startm~1\progra~1" ***

*** Deleting files ***

C:\WINDOWS\system32\nvs2.inf deleted !

*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Ralf und Kerstin\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :

* In "C:\WINDOWS\system32" *

* In "C:\Dokumente und Einstellungen\Ralf und Kerstin\lokale~1\anwend~1" *

*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned

*** Certificates ***

Egroup Certificate deleted !
Electronic-Group Certificate deleted !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 25.05.2008 at 15:50:54,76 ***

Hier ein neues HiJackThisLog:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:53:43, on 25.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Ralf und Kerstin\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Dokumente und Einstellungen\Ralf und Kerstin\Desktop\Daniel\Eigene Dateien\Eigene Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Dokumente und Einstellungen\Ralf und Kerstin\Desktop\Daniel\Eigene Dateien\Eigene Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Dokumente und Einstellungen\Ralf und Kerstin\Desktop\Daniel\Eigene Dateien\Eigene Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Dokumente und Einstellungen\Ralf und Kerstin\Desktop\Daniel\Eigene Dateien\Eigene Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?dbf8940013134be1aaebc30192d4cfcd
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?dbf8940013134be1aaebc30192d4cfcd
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Dokumente und Einstellungen\Ralf und Kerstin\Desktop\Daniel\Eigene Dateien\Eigene Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\Eigene Programme\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\Eigene Programme\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1166917312625
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1165962099734
O17 - HKLM\System\CCS\Services\Tcpip\..\{794A7CE3-5BB7-4555-9CD1-B8EF91BEEAB3}: NameServer = 10.0.0.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{C69D0407-D701-4794-9349-E1AAC04D9445}: NameServer = 192.168.0.1
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - https://www.kabelmail.de/img/kdg/bg_toolpanel.gif

--
End of file - 10683 bytes

Ich habe mir nun das Malwarebytes runtergeladen und lasse es gerade scannen

myrtille · 25.05.2008, 15:39

Hi,
das mit dem einfach verdanken wir IL_MAFIOSO.

Das Hijackthislog sieht gut aus.
Schau bitte noch unter Start->Systemsteuerung->Internetoptionen->Inhalt->Zertifikate ob dort ein Zertifikat von

Zitat:

Sunny-Day-Design-Ltd

gelistet ist.
Wenn ja, lösche dieses bitte noch.

Die Infektion hattest du dir mit dem WebMediaPlayer installiert, das Programm ist jetzt gelöscht worden, also bitte nicht wieder installieren.

Ich warte dann noch auf den MBAM-Bericht.
lg myrtille

Daniel-b2 · 25.05.2008, 17:40

Ne, so ein Zertifikat habe ich nirgendwo bei Zertifikate gefunden.

Mit dem WebMediaPlayer? Mmh, kam mir soweiso blöde vor, dieser Player, wenn immer überall kostenlos steht^^

Gut, jetzt is wenigstens wieder ruhe hier.

Bei Malware wurden allerdings noch einige Datein mit namen Adware und eine mit
backdoor.bot gefunden. Die Ergebnisse einfach löschen, oder?

Hier ist die datei davon:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 785

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Objekte gescannt: 136960
Scan Dauer: 1 hour(s), 9 minute(s), 57 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 8

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37b85a2b-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{37b85a2a-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{37b85a2c-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\seekmotoolbar.seekmotoolband (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\AppID\seekmotoolbar.seekmotoolband (Adware.Seekmo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\seekmo toolbar (Adware.Seekmo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\MyGlobalSearch (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\Cache (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\History (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\Settings (Adware.MyWebSearch) -> No action taken.

Infizierte Dateien:
C:\System Volume Information\_restore{4F8CCC5D-889D-4A9E-A16D-05677A75AE05}\RP231\A0073693.exe (Backdoor.Bot) -> No action taken.
C:\Programme\MyGlobalSearch\bar\Cache\004FF481.bin (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\Cache\004FF77F.bin (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\Cache\004FF925.bin (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\Cache\00A26184 (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\Cache\files.ini (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\History\search (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\Settings\prevcfg.htm (Adware.MyWebSearch) -> No action taken.

LG
daniel-b2

PC extrem langsam, Spyware? Virus?

Log-Analyse und Auswertung: PC extrem langsam, Spyware? Virus?