Hallo,

hab seit ein paar Tagen ein Problem. Es werden ständig neue Fenster geöffnet mit Werbung und häufig auch Warnungen von Viren, Trojanern usw... vom Windows Sicherheitscenter. Hab erst die Anweisung gelesen und ein LogFile erstellen lassen von HiJackThis. Ich hoffe, auch sonst alle Forumsregeln eingehalten zu haben.

Nun mein HijackThis LogFile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:23:31, on 16.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Arcade\PCMService.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\smuss.exe
C:\WINDOWS\system32\sistray.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\HiJackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [smuss] "c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\smuss.exe" smuss
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Check for TWS Updates.lnk = C:\Jts\WiseUpdt.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217082051234
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 7044 bytes

Bin ein ziemlicher Laie was das Thema angeht und würde mich über Hilfe freuen.

Vielen Dank im Voraus

Trader

Hallo Trader.


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\smuss.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Fixe danach mit HJT folgende Einträge:

Zitat:

O4 - HKCU\..\Run: [smuss] "c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\smuss.exe" smuss
C:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\smuss.exe

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\smuss.exe
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hallo Undoreal,

erstmal vielen Dank für die Hilfestellung.

Soweit ist mir auch der größte Teil klar. Allerdings weiss ich nicht welche Dateien ich denn alles von VirusTotal untersuchen lassen soll. smuss.exe ist klar aber welche Dateien sonst noch ??

Grüsse
Trader

Zitat:

smuss.exe ist klar aber welche Dateien sonst noch ??

nur die.

Hoi,
wenn ich mich mal so einmischen darf:

Zitat:

O4 - HKCU\..\Run: [smuss] "c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\smuss.exe" smuss

Bei der ist Virustotal zwecklos, das ist Navipromo Adware.
Daher würd ich Navilog1 empfehlen.

mfg

Zitat:

Zitat von undoreal

nur die.

ok, das habe ich soweit erledigt. Nun das Ergebnis:

Datei smuss.exe empfangen 2008.08.18 20:19:40 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Filter
Drucken der Ergebnisse
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

Email:



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.19.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.18 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.18 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.18 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.420 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5363 2008.08.18 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3365 2008.08.18 -
Norman 5.80.02 2008.08.18 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.18 -
Prevx1 V2 2008.08.18 -
Rising 20.58.02.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.18 -
Webwasher-Gateway 6.6.2 2008.08.18 -
weitere Informationen
File size: 299008 bytes
MD5...: ac7ca4a145726d7f831369ece36c1bce
SHA1..: e58ef3f350d064e6698f3d76a81a01a242468aea
SHA256: 051248fc519b670af602db4ead9b33b940900c19d0ca5c365b4e087373c67c70
SHA512: 7513777db8ff32ebd51535c2da34e0d70e02e0c9c4bedc9f44f061de6ebced43
4025d3e7e9b6029b04136d3776ad700eb8b2896a97b4c3563cdfa9ead2242bf8
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401ab0
timedatestamp.....: 0x46e28adb (Sat Sep 08 11:43:23 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc3c 0x1000 5.43 40a7ec0a0b1d331eb748dd86e2ae836a
.rdata 0x2000 0x10d2 0x2000 3.31 a589c2ed3d4d7257bc9910dd97d633d8
.data 0x4000 0x445fc 0x45000 7.32 3b65d8b95a1cb1781ad32e6e6b952dec

( 10 imports )
> KERNEL32.dll: ClearCommBreak, ReadConsoleA, CreateDirectoryW, LocalSize, GetOverlappedResult, ReadFile, IsBadReadPtr, GetVolumeInformationW, FileTimeToLocalFileTime, CreatePipe, GetCommandLineW, FatalAppExitA, VirtualAlloc, FormatMessageA, CreateWaitableTimerA, SetCurrentDirectoryA, SetNamedPipeHandleState, GetCommState, SetTimeZoneInformation, FreeEnvironmentStringsA, GetShortPathNameA, VirtualProtect, lstrlenA, GetModuleHandleA, GetStartupInfoA
> USER32.dll: DefWindowProcA, CallNextHookEx, SetWinEventHook, GetWindowTextLengthW, CreateDesktopW, GetNextDlgGroupItem, ScrollWindow, DragDetect, DrawAnimatedRects, DefFrameProcA, EnumDesktopsW, DestroyCursor, GetForegroundWindow, CharUpperA, CloseWindow, SwapMouseButton, DrawTextExA, IsMenu, GetScrollPos, DrawEdge, GetIconInfo, EndDeferWindowPos, SendMessageTimeoutA, OpenWindowStationW, IsCharLowerW, CreateCursor, GrayStringW, IsWindowUnicode, SystemParametersInfoW, GetClassInfoExW, CharLowerBuffW, SetMenuInfo, DeleteMenu, GetMenuItemInfoW, EndMenu, EnumDisplayMonitors, CharUpperW, CopyIcon, SetMenuDefaultItem, GetScrollInfo, PostMessageW, MapDialogRect, GetProcessWindowStation, FindWindowExA, EnableScrollBar, EnumDisplaySettingsExA, GetKeyNameTextA
> GDI32.dll: RectInRegion, SetViewportExtEx, GetNearestPaletteIndex, Arc, GetClipRgn, RestoreDC, CopyMetaFileA, LineTo, GetDeviceCaps, SetBitmapBits, PatBlt, GetGlyphOutlineW, GetROP2, PlayEnhMetaFile, EnumMetaFile, SetTextColor, Chord, CreateBitmapIndirect, SetWinMetaFileBits
> ADVAPI32.dll: RegLoadKeyW, GetSidSubAuthorityCount, SetSecurityInfo, OpenThreadToken, GetServiceDisplayNameW, GetExplicitEntriesFromAclW, ControlService, RegDeleteValueA, AccessCheckAndAuditAlarmA, CreatePrivateObjectSecurity, RegisterEventSourceW, DuplicateToken, CryptGenRandom, OpenProcessToken, PrivilegeCheck, LookupPrivilegeValueW, ChangeServiceConfigA, SetServiceStatus, QueryServiceStatus, ChangeServiceConfigW, DeleteAce
> SHELL32.dll: FindExecutableW, SHGetPathFromIDListA, DragFinish
> ole32.dll: CreateStreamOnHGlobal, CoFreeAllLibraries, CoFileTimeNow, OleSaveToStream
> OLEAUT32.dll: -, -, -, -, -, -
> COMCTL32.dll: ImageList_EndDrag, ImageList_DragLeave, ImageList_LoadImageW
> SHLWAPI.dll: SHDeleteKeyW, PathIsUNCServerW, StrDupW, StrTrimA, PathGetCharTypeW, StrChrA, PathRemoveExtensionW, StrCmpNA, PathAddBackslashA, SHSetThreadRef, PathStripPathW, StrCatBuffA, PathAppendW
> MSVCRT.dll: _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _controlfp

( 0 exports )


die nächsten Schritte mache ich heute abend, muss jetzt zur Arbeit.

Danke und bis später

Zitat:

Zitat von Dark Viruz

Hoi,
wenn ich mich mal so einmischen darf:

Bei der ist Virustotal zwecklos, das ist Navipromo Adware.
Daher würd ich Navilog1 empfehlen.

mfg

Hallo Dark Viruz,

danke für den Tip, bin natürlich für alles offen. Werde mir das auch später anschauen, hast Du mir einen Link von Navilog1 ??

Grüße
Trader

#Analyse#

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Zitat:

Zitat von undoreal

#Analyse#

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

der Link führt zwar auf orange.fr, aber leider nicht zu Navilog. Hab es gefunden bei virus-protect.org. Ich denke, da kann ich es auch herunterladen oder ??

Zitat:

aber leider nicht zu Navilog.

stimmt. Dann saug es dir über VP.

hab jetzt Navilog ausgeführt. Nun das Ergebnis:

Search Navipromo version 3.6.4 began on 19.08.2008 at 18:21:47,31

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Mario"

Updated on 16.08.2008 at 22h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : FAT32

Search done in normal mode

*** Searching for installed Software ***

Favorit
WebMediaPlayer

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***

...\WebMediaPlayer found !

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

...\WebMediaPlayer found !

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Mario\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Mario\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Mario\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Mario\lokale~1\anwend~1" *

Files found :

smuss.exe found !
smuss.dat found !
smuss_nav.dat found !
smuss_navps.dat found !



*** Search files ***


c:\dokume~1\alluse~1\desktop\WebMediaPlayer.lnk found !

*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Mario\lokale~1\anwend~1" :

smuss.dat found !
smuss.exe found !
smuss_nav.dat found !
smuss_navps.dat found !

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 19.08.2008 at 18:23:42,95 ***

hab jetzt die Datei mit HJT gefixt und gelöscht mit Avenger.

Nun das Ergebnis von Avenger:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Aug 19 18:37:48 2008

18:37:48: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\smuss.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

ich hoffe alles richtig gemacht zu haben. Den Namen hab ich nicht mehr geändert, da kein Familienname erwähnt wird.

Grüße
Trader

es scheint nun alles in Ordnung zu sein

Vielen Dank nochmal an Undoreal und an Dark Viruz

Moment!

• Rufe das Programm bitte erneut auf und wähle die Option 2
• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
  Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

ups, hoffentlich nicht zu früh gefreut

Scanergebnis:

Navipromo Removal version 3.6.4 started on 20.08.2008 at 7:44:47,18

Fix running from C:\Programme\navilog1
Actual User Account : "Mario"

Updated on 16.08.2008 at 22h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.13
Filesystem type : FAT32

Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *



* Deletion in "C:\Dokumente und Einstellungen\Mario\lokale~1\anwend~1" *


smuss.dat found !
Copy smuss.dat done !
smuss.dat deleted !

smuss_nav.dat found !
Copy smuss_nav.dat done !
smuss_nav.dat deleted !

smuss_navps.dat found !
Copy smuss_navps.dat done !
smuss_navps.dat deleted !



*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***

...\WebMediaPlayer ...deleting...
...\WebMediaPlayer deleted !


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

...\WebMediaPlayer ...deleting...
...\WebMediaPlayer deleted !


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Mario\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Mario\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Mario\startm~1\progra~1" ***



*** Deleting files ***

c:\dokume~1\alluse~1\desktop\WebMediaPlayer.lnk deleted !

*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Mario\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\Mario\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate deleted !
Electronic-Group Certificate deleted !
Montorgueil Certificate not found !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 20.08.2008 at 7:46:57,85 ***


Grüße
Trader