Hallo!

Ich weiss leider nicht mehr weiter denn mein Pc bzw Mozilla öffnet Werbung immer im Extrafenster usw. Ausserdem bekomme ich von w*w.security-notification.com Warnungen das mein Pc gefährdet ist und ich Spyware auf meinem Pc habe. Weiss nicht was ich davon halten soll, denn mein Virusprogramm findet nix. Ich habe Avira AntiVir....

Könnt ihr mir vielleicht helfen?

hier von HijackThis mein Logfile :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:13:23, on 08.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\dokumente und einstellungen\daniela!\lokale einstellungen\anwendungsdaten\qaymu.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4444
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - (no file)
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [qaymu] "c:\dokumente und einstellungen\daniela!\lokale einstellungen\anwendungsdaten\qaymu.exe" qaymu
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) /ImageUploader5.cab?nocache=1215865274[/url]
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe (file missing)

--
End of file - 6757 bytes




Ich danke euch schon mal im vorraus!!!!

Lg

Hallo und

EIN BEITRAG FÜR EIN PROBLEM GENÜGT, ALLE ANDEREN SIND GEMELDET!

überprüfe dein System bitte mit Navilog

Zitat:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

poste bitte anschließend das Log hierher, dann sehen wir weiter.

MFG

tschuldige für die anderen beiträge brauch aber dringend hilfe weiss echt nicht mehr weiter, aber danke schon mal das du mir helfen willst -danke danke danke! mehr beiträge kommen auch nicht


Search Navipromo version 3.6.5 began on 08.09.2008 at 15:17:54,78

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Daniela!"

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Daniela!\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Daniela!\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Daniela!\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : h**p://***.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Daniela!\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Daniela!\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 08.09.2008 at 15:22:49,00 ***

Hallo

Zitat:

mehr beiträge kommen auch nicht

gut sonst wird komplett unübersichtlich

Lass bitte diese Datei

Code: Alles auswählenAufklappen

ATTFilter

c:\dokumente und einstellungen\daniela!\lokale einstellungen\anwendungsdaten\qaymu.exe
         

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Dann lass Navilog bitte mit der Option 4 laufen

Zitat:

• Rufe das Programm bitte erneut auf und wähle die Option 4
• Das Programm wird dich nun bitten den Namen der Malware einzugeben. Gib folgendes ein:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  c:\dokumente und einstellungen\daniela!\lokale einstellungen\anwendungsdaten\qaymu
           

• Sicherheitshalber wird dich das Tool bitten, die Eingabe nochmal zu wiederholen. Tue dies.
• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
  Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

poste bitte das Ergebnis der Überprüfung sowie das neue Log von Navilog.

MFG

ich finde die qaymu.exe datei nicht, hab schon alles durchsucht

Hallo

Zitat:

ich finde die qaymu.exe datei nicht, hab schon alles durchsucht

dann mach bitte alle versteckten Dateien und Ordner sichtbar.
Eigentlich brauchst du doch nur den Pfad

Code: Alles auswählenAufklappen

ATTFilter

c:\dokumente und einstellungen\daniela!\lokale einstellungen\anwendungsdaten\qaymu.exe
         

eingeben....?
Kopiere den Pfad aus der Codebox ab und füge ihn in das Feld neben Durchsuchen ein --> Abschicken/Hochladen und warten.

MFG

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.08 -
AntiVir 7.8.1.28 2008.09.08 -
Authentium 5.1.0.4 2008.09.07 -
Avast 4.8.1195.0 2008.09.07 -
AVG 8.0.0.161 2008.09.08 -
BitDefender 7.2 2008.09.08 -
CAT-QuickHeal 9.50 2008.09.06 -
ClamAV 0.93.1 2008.09.08 -
DrWeb 4.44.0.09170 2008.09.08 -
eSafe 7.0.17.0 2008.09.07 -
eTrust-Vet 31.6.6077 2008.09.08 -
Ewido 4.0 2008.09.08 -
F-Prot 4.4.4.56 2008.09.07 -
F-Secure 8.0.14332.0 2008.09.08 -
Fortinet 3.112.0.0 2008.09.08 -
GData 19 2008.09.08 -
Ikarus T3.1.1.34.0 2008.09.08 -
K7AntiVirus 7.10.446 2008.09.08 -
Kaspersky 7.0.0.125 2008.09.08 -
McAfee 5378 2008.09.05 -
Microsoft 1.3903 2008.09.08 Trojan:Win32/Skintrim.gen!D
NOD32v2 3426 2008.09.08 -
Norman 5.80.02 2008.09.08 -
Panda 9.0.0.4 2008.09.07 -
PCTools 4.4.2.0 2008.09.08 -
Prevx1 V2 2008.09.08 Fraudulent Security Program
Rising 20.61.02.00 2008.09.08 -
Sophos 4.33.0 2008.09.08 -
Sunbelt 3.1.1616.1 2008.09.07 -
Symantec 10 2008.09.08 -
TheHacker 6.3.0.8.075 2008.09.06 -
TrendMicro 8.700.0.1004 2008.09.08 -
VBA32 3.12.8.5 2008.09.08 -
ViRobot 2008.9.8.1367 2008.09.08 -
VirusBuster 4.5.11.0 2008.09.08 -
Webwasher-Gateway 6.6.2 2008.09.08 -
weitere Informationen
File size: 294912 bytes
MD5...: 706340e2d466ac0aecdcb7c50d03f433
SHA1..: 23b6441972cfa53504469539869392d634e28966
SHA256: 28f680e38f1547aa3019e55f8dab1e6d267c0bfaa22e04b9b6df65f5eb8dc24c
SHA512: 1772bbeb7dc5458b8fb7a970e1835a613d0d0a65eb19821e8292dceef2cdd9f3
7ccad585e5ce39e889f9747cf0da55f885d02fb37dffbf5535f53e22758ae0cd
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401d10
timedatestamp.....: 0x45944b11 (Thu Dec 28 22:54:09 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe9c 0x1000 6.42 4a259fa3ac305ece0105194b35a9ab21
.rdata 0x2000 0x151c 0x2000 4.01 b52b31dea1518b76f7e529a0270c3f88
.data 0x4000 0x432fc 0x44000 7.32 be9fe6b797e770a2692535472a6b9b29

( 10 imports )
> KERNEL32.dll: SetConsoleActiveScreenBuffer, GetAtomNameA, SetSystemTime, SetLastError, GetLocaleInfoW, SetThreadPriorityBoost, GetVersion, lstrcatW, FindCloseChangeNotification, SetTimeZoneInformation, FindResourceExA, GetBinaryTypeW, Beep, WritePrivateProfileSectionW, FindFirstFileExW, ExitThread, GetLogicalDriveStringsA, FreeLibraryAndExitThread, SetVolumeLabelA, EnumResourceLanguagesW, GetTempPathW, LoadLibraryExA, SetConsoleCursorPosition, GetProcessTimes, UnhandledExceptionFilter, GetEnvironmentStringsW, LocalFileTimeToFileTime, TryEnterCriticalSection, GlobalFindAtomW, _lopen, GlobalReAlloc, WriteConsoleOutputCharacterA, FlushFileBuffers, CompareStringW, GetPrivateProfileSectionW, GlobalFlags, FreeEnvironmentStringsA, ReadFileScatter, ConnectNamedPipe, GetThreadPriority, GlobalAddAtomW, FreeLibrary, SetNamedPipeHandleState, GetTapeStatus, ReadConsoleInputW, GetCPInfo, GetSystemDefaultLangID, MultiByteToWideChar, SetEnvironmentVariableW, SetupComm, WaitNamedPipeA, SetProcessAffinityMask, QueryDosDeviceA, SetConsoleOutputCP, lstrcpyA, _llseek, FillConsoleOutputCharacterA, FindFirstFileW, VirtualAllocEx, RemoveDirectoryW, GetVersionExA, GetModuleHandleA, OpenMutexA, ReadConsoleA, GlobalAddAtomA, SetThreadAffinityMask, SetThreadLocale, SystemTimeToFileTime, GetACP, TlsGetValue, ScrollConsoleScreenBufferA, GetFileType, OpenFile, CreateIoCompletionPort, OutputDebugStringA, GetSystemInfo, VirtualProtect, GlobalUnlock, LocalReAlloc, GetPrivateProfileStringA, VirtualAlloc, GetStartupInfoA
> USER32.dll: LoadCursorFromFileW, DrawTextExA, RegisterClipboardFormatW, GetSystemMetrics, ShowCaret, SystemParametersInfoW, ExcludeUpdateRgn, OpenWindowStationW, LoadIconW, SetUserObjectSecurity, WaitMessage, SetCaretBlinkTime, GetWindowPlacement, UnhookWindowsHookEx, PostQuitMessage, InternalGetWindowText, LoadKeyboardLayoutW, HiliteMenuItem, LoadAcceleratorsA, EnumDisplaySettingsExW, GetThreadDesktop, GetDlgItemTextA, CharUpperBuffW, GetClipboardOwner, SendMessageCallbackW, SetSysColors, SetProcessDefaultLayout, CreateIconIndirect, IsChild, NotifyWinEvent, GetScrollBarInfo, CreateDialogParamA, IsCharUpperA, ReleaseCapture, SetCapture, TabbedTextOutW, SetLastErrorEx, OpenIcon, ModifyMenuA, GetKeyState, SetWindowRgn, GetSubMenu, GetMenu, GetFocus, AdjustWindowRect, FlashWindow, ReplyMessage, DrawStateA, BroadcastSystemMessageA, EnumClipboardFormats
> GDI32.dll: ExtSelectClipRgn, SetRectRgn, RealizePalette, SetTextAlign, SetMapperFlags, SetArcDirection, CreateBitmapIndirect, PtVisible, BitBlt, SaveDC, CreateBitmap, GetCharWidthA, AddFontResourceA, CreateDiscardableBitmap
> ADVAPI32.dll: OpenSCManagerW
> SHELL32.dll: SHGetSpecialFolderPathW, SHGetDesktopFolder, SHAddToRecentDocs, DragQueryPoint
> ole32.dll: CoGetInterfaceAndReleaseStream, PropVariantCopy, CoGetClassObject, OleQueryLinkFromData, WriteClassStg, OleInitialize, OleCreateLink
> OLEAUT32.dll: -, -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_DragEnter
> SHLWAPI.dll: SHDeleteKeyA, StrCpyNW, SHQueryValueExW, PathFileExistsW, SHRegGetUSValueW, StrCmpNIW, SHGetValueW, StrFormatKBSizeW, PathGetCharTypeA, StrRChrA, PathRenameExtensionW
> MSVCRT.dll: __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _controlfp, _except_handler3, __set_app_type, __p__fmode

( 0 exports )

Hallo Lucky,

anscheinend hat sich bei der Erstellung der Anleitung ein Fehler eingeschlichen
Es müsste so heißen

Zitat:

• Rufe das Programm bitte erneut auf und wähle die Option 4
• Das Programm wird dich nun bitten den Namen der Malware einzugeben. Gib folgendes ein:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  qaymu
           

• Sicherheitshalber wird dich das Tool bitten, die Eingabe nochmal zu wiederholen. Tue dies.
• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
  Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

bitte die andere Anleitung ignorieren, Danke
Wir sind auf jeden Fall auf der richtigen Spur, danke nochmal an Kathrin

MFG

Navipromo Removal version 3.6.5 started on 08.09.2008 at 17:24:45,90

Fix running from C:\Programme\navilog1
Actual User Account : "Daniela!"

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.13
Filesystem type : NTFS


Manual Removal

Typed filename : qaymu

Cleanning stage done on Reboot

*** Searching, making backups and deleting files ***

* Deletion in "C:\WINDOWS\system32" *


* Deletion in "C:\Dokumente und Einstellungen\Daniela!\lokale~1\anwend~1" *



*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Daniela!\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Daniela!\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Daniela!\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Daniela!\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\Daniela!\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 08.09.2008 at 17:28:42,48 ***

Zitat:

Zitat von nochdigger

Hallo Lucky,

anscheinend hat sich bei der Erstellung der Anleitung ein Fehler eingeschlichen
Es müsste so heißen

bitte die andere Anleitung ignorieren, Danke
Wir sind auf jeden Fall auf der richtigen Spur, danke nochmal an Kathrin

MFG

alles klar dank, dachte schin ich bin zu doof

so wie gehts weiter? hab es jetzt hier von navilog gepostet....

Hallo

stammt das Log vom letzten richtigen durchlauf?
Es ist nicht zu erkennen ob da Dateien gelöscht wurden.

Hast du noch Popups?
Wenn ja, müssten wir mal zu Combofix greifen...

Erstelle bitte nach dem Neustart ein frisches HijackThis Log.

MFG

Zitat:

Zitat von nochdigger

Hallo

stammt das Log vom letzten richtigen durchlauf?
Es ist nicht zu erkennen ob da Dateien gelöscht wurden.

Hast du noch Popups?
Wenn ja, müssten wir mal zu Combofix greifen...

Erstelle bitte nach dem Neustart ein frisches HijackThis Log.

MFG

hab alles so gemacht wie du es gesagt hast, keine ahnung was los ist.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:54:17, on 08.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60327
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4444
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - (no file)
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.meinvz.net/photouploader/ImageUploader5.cab?nocache=1215865274
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe (file missing)

--
End of file - 6582 bytes

Hallo

Hm Navipromo ist im Log nicht mehr ersichtlich, warscheinlich wurde es ohne Nennung gelöscht.
Zur Nachkontrolle führe bitte Combofix durch

Zitat:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

wie gewohnt bitte anschließend das entstandene Log posten.

MFG