Hallo Leute,

habe gestern abend von Spybot die Nachricht bekommen das eine eowoaoi.exe etwas in meiner StartRegistry ändern will. Ich habe das abgelehnt und nach ca. 1min kam erneut die Meldung..... und zwar ständig bis ich gesagt habe dauerhaft ablehnen.
Dann bei Google und co mal den Begriff eowoaoi eingegeben....aber nichts! Weder Google noch die Suche hier im Board oder anderswo brachte überhaupt einen Treffer!

Windows findet 4 oder 5 Dateien in der ganz normalen Suche unter Start-suchen- nach dateien suchen
Die Dateien sind unter C:/Dokumente und Einstellungen/Username/Anwendungsdaten zu finden. Es ist eine EXE Datei dabei die ich selbstverständlich nicht geöffnet habe. Auch löschen habe ich nicht probiert....noch nicht. Ich schreibe gerade von einem anderen Rechner da ich nicht will das irgendetwas auf meinem durch diese Dateien zerstört wird. (erst mal input sammeln) Daher sind meine Angaben möglichherweise für euch auch etwas spärlich.

Zum System: Ich benutze XPSp2. Antivir in der neusten Fassung, Comodo Firewall und Spybot Search and Destroy.

So hoffe das reicht erst mal.....würde mich mal interessieren was ihr davon so haltet. Ist möglicherweise was Neues im Umlauf???? Mir scheint es fast so!

Gruß Svendam

Hi,
Sieht verdächtig nach Navipromo aus.

Poste ein HijackThis Logfile und führe unter anderem das aus:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Hi Silent Shark,

danke für deine schnelle Antwort, leider war es mir nicht möglich dir genau so schnell zu antworten.
Doch nun zum Thema.
Ich habe das Hijack Log jetzt fertig. Mal sehn ob ich das auch gepostet bekomme. Mir ist da nichts besonderes aufgefallen, nur muss ich zugeben ist das ganze Thema ziemlich "Neuland" für mich.

Der Navilog1 hat die entsprechenden Dateien gefunden.... genau wie ich mit der Windows Suche auch schon.
Ich bitte um weitere Tips: Bis hier hat ja schon mal alles ganz gut gklappt.
Danke schon mal dafür, Silent Shark!

Gruß Svendam

Gut, dann gehts so weiter:

1.)
Navilog1:

• Rufe das Programm bitte erneut auf und wähle die Option 2
• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
• Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

2.)

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\DOKUME~1\BIGBOS~1\ANWEND~1\MAGSHI~1\fordtime.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrayRefShowPeak\move media.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

So das Navclean hat funktioniert, nur die Dateien die du in deinem letzten Post angegben hast, welche ich bei virtustotal scannen lassen sollte sind nicht vorhanden. Oder sollte ich da irgendwo was falsch gemacht haben?
Erst mal jetzt das log von cleannav.

Sieht gut aus

Navilog1 kannst du jetzt wieder deinstallieren.
Zur Überprüfung (bzgl. den Dateien) bitte noch das Tool laufen lassen:

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Habe Windows noch mal nach den Dateien suchen lassen.....sie sind noch da..... allerdings jetzt unter C:Programme/Navilog1/Backupnavi
Ok, wie ich im Log gesehen habe hat das Progamm die Dateien ins Backup kopiert und anschließend beim vorherigen Pfad gelöscht. Ich habe keine sich ständig öffnenden Browserfenster mehr (so wie viele andere das auch beschrieben hatten). Das ist ja schon mal was positives!

Kann man denn jetzt nicht einfach die Dateien im Backup löschen? Oder können sie von dort aus eh keinen Schaden mehr anrichten?
Ich hab es zwar nicht probiert, aber im vorherigen Pfad konnte man sie wohl nicht löschen, so wie ich hier im Board gelesen habe!?

Ok da warst du schneller.....werd ich mal eben machen was du geschrieben hast..melde mich dann.

Wenn du Navilog1 deinstallierst, verschwindet auch das Zeug.

Zitat:

Ich hab es zwar nicht probiert, aber im vorherigen Pfad konnte man sie wohl nicht löschen, so wie ich hier im Board gelesen habe!?

Deswegen kam Navilog1 zum Einsatz

Ahhh ich verstehe.....

Werd ich gleich mal abchecken!

So habe alles soweit ausgführt wie du es mir beschrieben hast.
Hier das Log:

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\Default User\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2007-10-08 1085440]

c:\dokumente und einstellungen\Default User\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2007-10-08 1085440]

c:\dokumente und einstellungen\Big Boss\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2007-10-08 1085440]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - d:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Photo Express Calendar Checker SE.lnk - d:\programme\CalCheck.exe [2006-03-12 55296]
WISO Urteilsmonitor.lnk - c:\programme\WISO\Sparbuch 2007\rswisoservice.exe [2007-02-25 327680]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"d:\\Programme\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

R3 LCcfltr;Logitech USB Filter Driver;c:\windows\system32\drivers\lccfltr.sys [2006-02-11 13727]
R3 TDslMgrService;DSL-Manager;"c:\programme\T-Online\DSL-Manager\DslMgrSvc.exe" [2007-10-08 294912]
R3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys [2007-10-08 13824]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\Drivers\dsltestSp5.sys [2008-04-07 26816]
S3 S6U12Scanner;MUSTEK 1200 CU Still Image Device Service;c:\windows\system32\drivers\usbscan.sys [2006-03-12 15104]
.
Inhalt des "geplante Tasks" Ordners

2006-08-07 c:\windows\Tasks\AD7D612C91A31514.job
- c:\dokume~1\bigbos~1\anwend~1\magshi~1\Balm htm open.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{B4852BC1-765A-50A7-9659-71DB8454999A} - (no file)
HKLM-Run-show peak sixth pop - c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrayRefShowPeak\move media.exe
HKLM-Run-T-Online DSL-Manager - c:\programme\T-Online\DSL-Manager\TODslMgr.exe
HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Big Boss\Anwendungsdaten\Mozilla\Firefox\Profiles\92bdsfm1.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF -: plugin - d:\programme\Adobe\Acrobat 5.0\Reader\browser\nppdf32.dll
FF -: plugin - d:\programme\Adobe\Acrobat 5.0\Reader\Browser\nppdf32.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npnul32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-27 21:59:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1056)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\rundll32.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
d:\programme\Comodo\Firewall\cmdagent.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\rundll32.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-27 22:02:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-27 21:02:24

Vor Suchlauf: 5.734.817.792 Bytes frei
Nach Suchlauf: 5,682,024,448 Bytes frei

145


Wars das jetzt???? Oder ist immer noch was drauf von den kleinen bösen Biestern?

Das Log ist unvollständig.
Bitte das komplette Logfile posten, in [code]-Tags:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

Hmmm, Navilog habe ich gelöscht, aber die bösen Dateien sind noch im Backup von Navilog drin? Windows findet sie.
Oder sollte ich den ganzen Prozess machen nachdem ich Navilog gelöscht habe?
Schitt! Dann hab ich wohl Mist gebaut.

Lösch den Ordner einfach.
Kommt die Werbung noch? Ich denke mal nicht.

Ne ne Werbung ist weg!

Ok soll ich jetzt erst mal noch mal das Log posten? Sorry bin mit den ganzen Dingen wie hier was zu posten ist usw. nicht so firm! Versuch es gleich mal wie du es eben vorgemacht hast.


Dann meinst du ich soll einfach den Ordner löschen??? Ok mach ich!!

Den Ordner Backup von Navilog1 löschen, ja.

Und das komplette Log von Combofix