Hallo zusammen!
Sitze hier grad an Mutters Rechner, weil sie sich über ständige Popups (Jamba, Pokersites, usw...)
beschwert hat. Sie benutzt Firefox in der neuesten Version.
Addblock plus + Noscript als Addons.

Was ich bisher versucht habe:
Spybot-S&D
Ad-Aware
Malwarebytes
avast!
Blacklight

Hat alles nix gebracht und außer Tracking Cokies wurde auch nix gefunden.

Bin mit meinem Kung Fu am Ende, deshalb wende ich mich hilfesuchend an euch

mfg Toby

keiner ne Idee?

zu hüüüülfe!

Hallo,
führe bitte folgende Schritte durch:

1.)

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

D:\#Toby\malware tools\qlketzd.com
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

2.)
Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

mfg

Danke Silent sharK!

Zitat:

md5: E8269245566be948f6a219135b434160
first received: 07.06.2007 14:52:28 (cet)
date: 11.04.2008 09:11:33 (cet) [<1d]
results: 2/36
permalink: Analisis/435447da7ae15ff74bcaaa1552cd48e2

Code: Alles auswählenAufklappen

ATTFilter

Search Navipromo version 3.6.8 began on 04.11.2008 at 13:19:54,49

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Barry" 

Updated on 03.11.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Barry\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Barry\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Barry\startm~1\progra~1" *** 


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Barry\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found ! 

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Barry\lokale~1\anwend~1" : 

iqmwy.dat found !
iqmwy.exe found !
iqmwy_nav.dat found !
iqmwy_navps.dat found !

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 04.11.2008 at 13:30:17,61 ***
         

So gehts weiter für dich:

1.)
Navilog1:

• Rufe das Programm bitte erneut auf und wähle die Option 2
• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
• Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

2.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung
• Lösche alles in der Quarantäne:

• poste das entstandene Logfile

Das geht ja richtig fix hier
Danke!

Code: Alles auswählenAufklappen

ATTFilter

Navipromo Removal version 3.6.8 started on 04.11.2008 at 13:47:10,00

Fix running from C:\Programme\navilog1
Actual User Account : "Barry" 

Updated on 03.11.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Automatic removal 
with Catchme and GNS results


Cleanning stage done on Reboot

 
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
 

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\Barry\lokale~1\anwend~1" * 



*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Barry\anwend~1" *** 


*** Deleting folders in "C:\Dokumente und Einstellungen\Barry\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\Dokumente und Einstellungen\Barry\startm~1\progra~1" *** 



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Barry\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\Barry\lokale~1\anwend~1" * 


iqmwy.exe found ! 
Copy iqmwy.exe done !
iqmwy.exe deleted !

iqmwy.dat found ! 
Copy iqmwy.dat done !
iqmwy.dat deleted !

iqmwy_nav.dat found ! 
Copy iqmwy_nav.dat done !
iqmwy_nav.dat deleted !

iqmwy_navps.dat found ! 
Copy iqmwy_navps.dat done !
iqmwy_navps.dat deleted !


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate deleted !
Electronic-Group Certificate deleted !
Montorgueil Certificate not found !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 04.11.2008 at 13:52:25,77 ***
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1361
Windows 5.1.2600 Service Pack 3

04.11.2008 14:47:08
mbam-log-2008-11-04 (14-47-08).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 90537
Laufzeit: 37 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Sieht schonmal gut aus.
Hast du noch Probleme mit dem Rechner?

Zitat:

Zitat von Silent sharK

Sieht schonmal gut aus.
Hast du noch Probleme mit dem Rechner?

Bin morgen Abend erst wieder bei meiner Mutter, werde dann berichten

Vielen Dank!!!

Ok, dann bin ich ja mal gespannt.


Kein Problem

So, ich sitz hier jetzt seit ner halben Stunde an besagtem Rechner und hatte bisher keinerlei Probleme mehr. Normalerweise wären in der Zeit schon zig Popups aufgesprungen.

Danke!

Was hat sie sich da eigentlich genau eingefangen gehabt?
Die "iqmwy.exe" war wohl der Übeltäter.

mfg Toby

Zitat:

Was hat sie sich da eigentlich genau eingefangen gehabt?
Die "iqmwy.exe" war wohl der Übeltäter.

Ja genau, die Datei bzw. sie und andere Dateien waren daran beteiligt.
Man nennt die Malware "Navipromo".

Wie man sie unbemerkt mitinstalliert?
Durch MessengerSkinner, Sudokuplanet, Messenger Plus!, etc.

Zitat:

Zitat von Silent sharK

Ja genau, die Datei bzw. sie und andere Dateien waren daran beteiligt.
Man nennt die Malware "Navipromo".

Wie man sie unbemerkt mitinstalliert?
Durch MessengerSkinner, Sudokuplanet, Messenger Plus!, etc.

Dann werd ich ihr nochmal einschärfen müssen nicht jeden Mist zu installieren
Und warum erkennen die gängigen "Spyware Tools" Navipromo eigentlich nicht?

Zitat:

Und warum erkennen die gängigen "Spyware Tools" Navipromo eigentlich nicht?

Kann ich nicht sagen, ich denke, weil die Analytiker in ihren Laboren zu doof sind, Navipromo auseinanderzunehmen?

Sorry, kann ich dir echt nicht sagen.