Hijack Problem - Tabs im IE öffnen sich automatisch

Moneystarr · 04.07.2008, 21:00

Hallo Leute! Seiten einigen Tagen habe ich folgendes Problem:
Immer wenn ich sure öffnen sich im IE immer wieder neue Tabs/Fenster mit Werbung (seriös/unseriös). Habe bei mir schon mal rumgefagt und da wurde mir der Begriff HiJack genannt. Habe mir mittlerweile zwei Programme dazu besorgt: Hijackthis und Spyware Doctor
Nach Scans usw. habe ich aber immer noch das Problem.
Habe auch ein Protokoll und hoffe ihr könnt mir dabei helfen. Danke schon mal!!!!!!!!!!!!!!!!!!!!!! (Ich hoffe es ist das richtige Protokoll) :-)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:41:45, on 04.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\WEB.DE SmartSurfer\SmurfService.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Users\Nadja\AppData\Local\cwagkeg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sagmirwasdudenkst.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [cwagkeg] c:\users\nadja\appdata\local\cwagkeg.exe cwagkeg
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Program Files\WEB.DE SmartSurfer\SmurfService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

--
End of file - 8861 bytes

Vista_User · 05.07.2008, 07:28

Bitte bei www.virustotal.com prüfen lassen und Ergebnis posten:

C:\Users\Nadja\AppData\Local\cwagkeg.exe

LG
V_U

Moneystarr · 05.07.2008, 09:25

Hi! Habe es gerade gemacht und folgendes Ergebnis:
(Die Sachen de er mir rot angezeigt hat, habe ich ml fett gemacht.
Was und we kann ich da jetzt was machen. Danke im Voraus!

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.4.1 2008.07.04 -
AntiVir 7.8.0.64 2008.07.04 -
Authentium 5.1.0.4 2008.07.04 -
Avast 4.8.1195.0 2008.07.04 Win32:Roodro
AVG 7.5.0.516 2008.07.04 -
BitDefender 7.2 2008.07.05 -
CAT-QuickHeal 9.50 2008.07.04 Win32.Trojan.Obfuscated.aqn.3
ClamAV 0.93.1 2008.07.04 -
DrWeb 4.44.0.09170 2008.07.05 Trojan.Packed.562
eSafe 7.0.17.0 2008.07.03 -
eTrust-Vet 31.6.5929 2008.07.05 -
Ewido 4.0 2008.07.04 -
F-Prot 4.4.4.56 2008.07.04 -
F-Secure 7.60.13501.0 2008.07.03 -
Fortinet 3.14.0.0 2008.07.04 -
GData 2.0.7306.1023 2008.07.04 Win32:Roodro
Ikarus T3.1.1.26.0 2008.07.05 -
Kaspersky 7.0.0.125 2008.07.05 -
McAfee 5332 2008.07.04 -
Microsoft 1.3704 2008.07.05 Trojan:Win32/Skintrim.B
NOD32v2 3244 2008.07.05 -
Norman 5.80.02 2008.07.04 -
Panda 9.0.0.4 2008.07.04 -
Prevx1 V2 2008.07.05 -
Rising 20.51.42.00 2008.07.04 -
Sophos 4.31.0 2008.07.05 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.05 -
TheHacker 6.2.96.371 2008.07.04 -
TrendMicro 8.700.0.1004 2008.07.04 -
VBA32 3.12.6.8 2008.07.04 -
VirusBuster 4.5.11.0 2008.07.04 -
Webwasher-Gateway 6.6.2 2008.07.05 -
weitere Informationen
File size: 356352 bytes
MD5...: 58792912419cc9318ec7120d7c9a8672
SHA1..: 3b2b600fcd34de34220740f54fca37479070b2e2
SHA256: 687fe1eb1f872f88b1f323f6e34b326d34bee9f206832b17ee815da2869c963b
SHA512: c8989bcbedfd8f3454b05929c55a98f926a8a313c4aab94d1b8c9c0770366289
8296581cfcefd004ee72223e8057e925238c5e5e5ef6c33e649c557eb1789ef8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401145
timedatestamp.....: 0x464ea0c6 (Sat May 19 07:01:26 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4ae19 0x4b000 7.77 ede8f86b4bb2fdcef63faada51a84f41
.rdata 0x4c000 0x1436 0x2000 4.09 c57d0c97ee277880a33bc9d111230952
.data 0x4e000 0x8618 0x9000 3.39 e1f42b7ac66bf37cab367cebb653f557

( 11 imports )
> KERNEL32.dll: SetMailslotInfo, DeleteCriticalSection, GetDriveTypeA, CreateMutexW, GetBinaryTypeA, GetStringTypeExW, RemoveDirectoryW, GetTapeParameters, ReleaseSemaphore, lstrcpyA, GetEnvironmentVariableW, EraseTape, PeekNamedPipe, QueryDosDeviceA, GetLocaleInfoW, PurgeComm, FindFirstFileW, WriteProcessMemory, GetConsoleCursorInfo, GetCommandLineW, CancelIo, WriteFile, GetPrivateProfileStringA, ConnectNamedPipe, IsProcessorFeaturePresent, GetCommConfig, _hread, GetVolumeInformationW, GetCompressedFileSizeW, PeekConsoleInputW, GetPrivateProfileSectionW, SetCurrentDirectoryA, GetLogicalDriveStringsA, GlobalGetAtomNameW, FileTimeToLocalFileTime, IsDBCSLeadByteEx, OpenMutexA, VirtualProtect, GetVersionExA, GlobalDeleteAtom, DosDateTimeToFileTime, SuspendThread, SetEnvironmentVariableA, CreateEventA, GetFullPathNameA, GetStartupInfoA, SetSystemTime, ReadConsoleInputW, GetFileAttributesA, GetFileInformationByHandle, EnumResourceNamesA, GetProfileStringA, FindResourceExW, MoveFileW, EnumSystemCodePagesW, GetVersion, GetModuleHandleA, SetEndOfFile, CloseHandle, GetTempFileNameA, GlobalFlags, GetPrivateProfileStringW, EnumSystemCodePagesA, GetShortPathNameA, AreFileApisANSI, lstrcpynA, SizeofResource, ScrollConsoleScreenBufferA, GetCommandLineA, SetupComm, ExitProcess
> USER32.dll: EnumDisplaySettingsW, ChangeDisplaySettingsA, DefFrameProcW, DrawAnimatedRects, EnumDisplayMonitors, IsWindowUnicode, EnumDesktopsW, SetClassLongA, GetMessageExtraInfo, GetSysColorBrush, ArrangeIconicWindows, LoadBitmapW, UnhookWindowsHookEx, CloseClipboard, DestroyMenu, EndMenu, GetCursorPos, DrawFrameControl, GetWindowThreadProcessId, MessageBoxIndirectW, DialogBoxIndirectParamW, SetMenuDefaultItem, EnumDesktopWindows, TranslateMessage, LoadCursorA, RegisterHotKey, SetSysColors, SetCursorPos, GetClassInfoExW, IsWindowVisible, CheckMenuRadioItem, OpenInputDesktop, SetMenuItemBitmaps, GetNextDlgTabItem, LoadMenuIndirectA, BroadcastSystemMessageA, RegisterClassW, CharNextExA, CreateWindowExW, SetScrollInfo, LoadKeyboardLayoutA, TabbedTextOutW, CreateCursor, SystemParametersInfoA, GetKeyState
> GDI32.dll: GetEnhMetaFileBits, EnumFontsA, DPtoLP, GetWindowExtEx, GetCharacterPlacementA, CreatePolygonRgn, GetTextExtentExPointW, GetPixel, SetDIBitsToDevice, DeleteEnhMetaFile, CreateDIBSection
> comdlg32.dll: GetSaveFileNameW, PageSetupDlgA, PrintDlgA, FindTextA
> ADVAPI32.dll: AccessCheck, EnumDependentServicesW, CryptImportKey, DuplicateTokenEx, SetKernelObjectSecurity, CryptCreateHash, RegEnumKeyW, MakeSelfRelativeSD, RegQueryValueA, RegCreateKeyExW, DeregisterEventSource, AddAce, ControlService, StartServiceCtrlDispatcherW, RegQueryInfoKeyW, GetSecurityDescriptorSacl, LookupAccountNameA
> SHELL32.dll: SHGetSpecialFolderLocation, SHFileOperationA
> ole32.dll: CoUninitialize, CoRegisterMallocSpy, OleInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_DrawEx
> SHLWAPI.dll: StrChrIA, StrCmpNIA, SHSetThreadRef, PathFileExistsW, StrCmpW, StrChrW, SHStrDupW, StrCmpNIW
> SETUPAPI.dll: SetupDiClassNameFromGuidExA, SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInstallParamsW, SetupDiClassGuidsFromNameW, SetupGetLineCountA, SetupDiGetClassDescriptionW, SetupDiRemoveDevice

( 0 exports )

Moneystarr · 05.07.2008, 21:51

Kann mr keiner helfen????

Moneystarr · 08.07.2008, 11:06

Kann mir wirklich Keiner helfen????? Bitte!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

myrtille · 09.07.2008, 08:43

Hi,
ich übernehm mal, keine Ahnung wo Vista_user hin ist.

Deaktiviere den UAC-User Account Control -(dran denken ihn danach wieder zu aktivieren).

Start> Systemsteuerung
Doppelklick aufBenutzerkonten
Klicke auf Deaktivieren und bestätige.
Lade dir nun Navilog herunter indem du den Link per Rechtsklick anwähghlst und Speichern unter anwählst. Speicher die Datei auf deinem Desktop
Rufe navilog1.exe per Rechtsklick auf und wähle "Ausführen als Administrator" aus um das Programm zu installieren.

Rufe die Verknüpfung zu Navilog per Rechtsklick auf und wähle "Ausführen als Admininstrator" aus

Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

lg myrtille

Moneystarr · 09.07.2008, 11:01

allo! Vielen vielen lieben Dank! Habe alles so gemacht und diesen Report bekommen. Hoffe es hat alles geklappt:

Search Navipromo version 3.6.0 began on 09.07.2008 at 11:48:44,42

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Program Files\navilog1
Actual User Account : "Nadja"

Updated on 27.06.2008 at 23h00 by IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Version Internet Explorer : 7.0.6001.18000
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

*** Search folders in "C:\Windows" ***

*** Search folders in "C:\Program Files" ***

*** Search folders in "C:\ProgramData" ***

*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***

*** Search folders in "c:\users\nadja\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Search folders in "C:\Users\Gast\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Search folders in "C:\Users\Nadja\AppData\Local\virtualstore\Program Files" ***

*** Search folders in "C:\Users\Nadja\AppData\Roaming" ***

*** Search folders in "C:\Users\Gast\appdata\roaming" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\Nadja\AppData\Local\Microsoft" *

* Scan in "C:\Users\Nadja\AppData\Local\virtualstore\windows\system32" *

* Scan in "C:\Users\Nadja\AppData\Local" *

Suspicious Files :

qyymo.exe found !
qyymo.dat found !
qyymo_nav.dat found !
qyymo_navps.dat found !

* Scan in "C:\Users\Gast\AppData\Local" *

*** Search files ***

C:\Windows\system32\nvs2.inf found !

*** Search specific Registry keys ***

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\Windows\system32" :

* In "C:\Users\Nadja\AppData\Local\Microsoft" :

* In "C:\Users\Nadja\AppData\Local\virtualstore\windows\system32" :

* In "C:\Users\Nadja\AppData\Local" :

qyymo.dat found !
qyymo_nav.dat found !
qyymo_navps.dat found !

* In "C:\Users\Gast\AppData\Local" :

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :

*** Search completed on 09.07.2008 at 11:59:02,09 ***

myrtille · 09.07.2008, 11:04

Na dann, machen wir doch genau da weiter.

Versichere dich, dass der User Account Control deaktiviert ist.

Rufe die Verknüpfung zu Navilog per Rechtsklick auf und wähle "Ausführen als Admininstrator" aus

Wähle die Option 2
Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
Sollte der Rechner nicht neustarten, tue dies bitte manuell.
Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
Das Scanergebnis bitte hier posten.

Reaktiviere nun die User Agent Control wieder.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

Poste danach bitte auch ein neues Hijackthislog.

lg myrtille

Moneystarr · 09.07.2008, 12:37

Habe das jetzt versucht, aber bei mir kommt kein Scannerergebnis! Das Programm startet nach dem Neustart auch nicht noch mal! Bernutzerkontenkontrolle sind deaktiviert. Hmmmmmmm

myrtille · 09.07.2008, 12:42

Du meldest dich schon mit demselben Benutzerkonto an, mit dem du den Scan gestartet hast, oder?
Bekommst du eine Meldung von Antivir? Eventuell wird das Programm von Antivir gestoppt?

EDIT:
Es scheint sich dabei um ein Problem mit Antivir zu handlen, der das Skript stoppt, bevor es durchlaufen kann.

Du kannst stattdessen das Programm im abgesicherten Modus durchlaufen lassen, dann braucht es keinen Neustart, um die Dateien zu entfernen.

lg myrtille

Moneystarr · 18.07.2008, 21:28

Hi!
Konnte leider eine Woche nicht an den Laaptop. Wer es mrgen noch mal versuchen und dann das Ergebnis hier posten. Bis dann!

Moneystarr · 19.07.2008, 19:55

Hi!
Habe es gerade noch mal im abgesicherten Modus gemacht und ich glaube es hat funktioniert! Seit knapp 10 Minuten öffnen sic keine neuen Tabs mehr! Vielen vielen Dank noch mal für die Hilfe!

myrtille · 19.07.2008, 20:14

Hi,
dürfte ich das Log von Navilog sehen? Und bitte auch ein neues von Hijackthis. Nur um sicherzugehen, dass wirklich alles weg ist.

lg myrtille

Hijack Problem - Tabs im IE öffnen sich automatisch

Log-Analyse und Auswertung: Hijack Problem - Tabs im IE öffnen sich automatisch