Navipromo nicht vollständig entfernt?

Uwe_R

Liebe Leute,

meine Tochter hat vor einigen Tagen die "Internet Game Box" heruntergeladen und prompt ihren PC mit einem Trojaner infiziert. Es handelt sich vermutlich um Navipromo.

Die Internet Game Box ist zwischenzeitlich deinstalliert, der Trojaner sorgte aber weiterhin dafür, dass im Webbrowser ständig neue Werbefenster aufsprangen.

Bevor ich einige Logfiles hier poste, beschreibe ich zunächst mal zusammenfassend meine bisherigen Aktionen:
Mit AntiVir und Spybot durchgeführte Scans ergaben keinen Fund.
Mit Navilog1 habe ich dann ein Logfile erstellt und darin die für Navipromo typischen Dateien gefunden (z.B. ***_navps.dat). Den Ratschlägen hier im Forum folgend installierte ich anschließend Malwarebytes' Anti-Malware. Die damit gefundenen infizierten Objekte habe ich beseitigt. Das Problem mit den aufspringenden Werbefenstern ist seitdem nicht mehr aufgetreten, aber der Trojaner scheint noch in Resten vorhanden zu sein.
So stehen im Ordner c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten noch drei Dateien, die den vom Trojaner erzeugten Zufallsnamen tragen: scuqycmom.dat, scuqycmom.exe und scuqymom_navps.dat. Die exe-Datei lässt sich nicht löschen und auch mit dem Steganos Shredder nicht vernichten. Die DAT-Dateien lassen sich zwar löschen oder vernichten, erscheinen aber nach ein paar Sekunden wieder.
Ferner liegt im Ordner c:\WINDOWS\Prefetch die Datei SCUQYCMOM.EXE-174EF4CB.pf. Ich habe sie noch nicht zu löschen versucht, habe aber auch keine Ahnung, was Sinn und Zweck dieser Datei ist.

Meine Frage an die Experten ist nun: Besteht weiterer Handlungsbedarf? Oder kann ich das Trojaner-Problem als erledigt betrachten? So ganz wohl ist mir zumindest nicht, wenn da noch Restdateien dieses Trojaners herumliegen.

Ich bedanke mich schon mal für Eure Hilfe! Und jetzt poste ich noch die bisher erstellen Logfiles:

Das gestern (vor dem Einsatz von Malwarebytes' Anti-Malware) mit Navilog1 erstellte Logfile ist:
-------------------------
Search Navipromo version 3.5.8 began on 07.06.2008 at 21:32:49,98

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "***"

Updated on 06.06.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***a\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *

Files found :

scuqycmom.exe found !
scuqycmom.dat found !
scuqycmom_nav.dat found !
scuqycmom_navps.dat found !



*** Search files ***



*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" :

scuqycmom.dat found !
scuqycmom_nav.dat found !
scuqycmom_navps.dat found !

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 07.06.2008 at 21:38:20,20 ***
--------------------------------

Nach dem Scan mit Anti-Malware ergibt Navilog1 nun folgendes Logfile:

----------------------------

Search Navipromo version 3.5.8 began on 08.06.2008 at 14:15:32,34

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Katja"

Updated on 06.06.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *

Files found :

scuqycmom.exe found !
scuqycmom.dat found !
scuqycmom_navps.dat found !



*** Search files ***



*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" :

scuqycmom.dat found !
scuqycmom_navps.dat found !

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 08.06.2008 at 14:21:32,03 ***
----------------------------

Ein Scan mit Malwarebytes' Anti-Malware ergibt keinen Treffer mehr. Hier der Bericht:

------------------

Malwarebytes' Anti-Malware 1.15
Datenbank Version: 839

17:49:29 08.06.2008
mbam-log-6-8-2008 (17-49-29).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 112073
Scan Dauer: 40 minute(s), 44 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
------------------------------

Trotzdem sind die oben genannten vier Dateien in den Ordnern "Anwendungsdaten" und WINDOWS\Prefetch noch vorhanden.

Was empfehlt ihr mir zu tun?
Besten Dank! Ich weiß eure Hilfe sehr zu schätzen!

Und sollte ich zu viel Unverständliches geschrieben haben, bitte ich um Nachsicht - es ist mein erster Beitrag hier im Forum...

Uwe