Hallöchen und schönen Abend

Ich habe seit einigen Tagen so ein merkwürdiges "Gefühl" wenn ich am Laptop bin. So ab und an, wenn ich auf einer Webseite bin und irgendwo hinklicke, dann geht über der gewünschten Seite noch eine andere Seite auf. Das waren dann unter anderem quelle.de oder swoopo oder Jamba usw. Die gewünschte Webseite lag dann immer darunter. Also so ähnlich wie ein Popup.
Ich habe auch schon mehrmals das Logfile automatisch auswerten lassen, konnte aber mangels Eigenerfahrung nichts feststellen.
Fällt jemandem etwas an meinem Logfile auf?
Ach ja, mache regelmäßig updates und lasse den Rechner durchsuchen.


Viele Grüße Uwe

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:51:55, on 01.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Acer\eManager\anbmServ.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\ccjyh.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\xampp\filezillaftp\filezillaserver.exe
C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Haufe\iDesk\iDeskService\ideskpython.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccjyh] "c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\ccjyh.exe" ccjyh
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{941A50C6-11CD-41AA-B106-A633A622A76B}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5058 bytes

Hallo und

Klick noch einmal auf Editieren und ändere alle http in htp.

1.) Deinstalliere (Start=>Systemsteuerung=>Software) folgende Programme:

Code: Alles auswählenAufklappen

ATTFilter

Spybot (Schrott)
         

2.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [ccjyh] "c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\ccjyh.exe" ccjyh
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
         

=> Fix checked.

3.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

ciao, andreas

Hallo Andreas

Danke für die schnelle Antwort und das auch noch am Sonntagabend

Hier das erforderliche

Search Navipromo version 3.7.1 began on 01.02.2009 at 22:43:04,73

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 02.01.2009 at 19h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.60GHz )
BIOS : Insyde Software MobilePRO BIOS Version 4.00.00
USER : user ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 (Activated)


C:\ (Local Disk) - FAT32 - Total:36 Go (Free:20 Go)
D:\ (Local Disk) - FAT32 - Total:36 Go (Free:5 Go)
E:\ (CD or DVD)


Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\user\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\user\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" :

ccjyh.exe found !
ccjyh.dat found !
ccjyh_navps.dat found !
ccjyh_nav.dat found !

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 01.02.2009 at 22:45:15,39 ***

Was auch immer das alles bedeutet, was gutes scheints nicht zu sein.

Gruß Uwe

Zitat:

Was auch immer das alles bedeutet, was gutes scheints nicht zu sein.

Das ist völlig harmlos, nur nervig.

1.) Rufe das Programm bitte erneut auf und wähle die Option 2

• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
• Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit [Strg][Alt][Entf] den Taskmanager auf und wähle unter Prozesse => Neuer Task ausführen aus. Gib dort explorer ein.

2.) MalwareBytes nach Anleitung ausführen und Log posten.

3.) SuperAntiSpyware nach Anleitung ausführen und Log posten.

4.) Ein neues HJT-Log posten.

ciao, andreas

Hallo Andreas

Sooooo

Teil 1



Navipromo Removal version 3.7.1 started on 01.02.2009 at 23:03:18,98

Fix running from C:\Programme\navilog1

Updated on 02.01.2009 at 19h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.60GHz )
BIOS : Insyde Software MobilePRO BIOS Version 4.00.00
USER : user ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 (Activated)


C:\ (Local Disk) - FAT32 - Total:36 Go (Free:20 Go)
D:\ (Local Disk) - FAT32 - Total:36 Go (Free:5 Go)
E:\ (CD or DVD)


Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" *


* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *


*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\user\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\user\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\user\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" *


ccjyh.exe found !
Copy ccjyh.exe done !
ccjyh.exe deleted !

ccjyh.dat found !
Copy ccjyh.dat done !
ccjyh.dat deleted !

ccjyh_navps.dat found !
Copy ccjyh_navps.dat done !
ccjyh_navps.dat deleted !

ccjyh_nav.dat found !
Copy ccjyh_nav.dat done !
ccjyh_nav.dat deleted !

C:\WINDOWS\prefetch\ccjyh*.pf found !
Copy C:\WINDOWS\prefetch\ccjyh*.pf done !
C:\WINDOWS\prefetch\ccjyh*.pf deleted !


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***



*** Cleaning stage complete on 01.02.2009 at 23:05:55,03 ***


Soooo, das hat aber gedauert.

Teil2 Malwarebytes Anti-Malware Logfile

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1714
Windows 5.1.2600 Service Pack 3

02.02.2009 00:18:47
mbam-log-2009-02-02 (00-18-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 142085
Laufzeit: 1 hour(s), 6 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Peer2Peer-DE\Peer2Peer-DEToolbarHelper.exe (Adware.NetPumper) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.


Teil 3


SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/02/2009 at 10:28 AM

Application Version : 4.25.1012

Core Rules Database Version : 3739
Trace Rules Database Version: 1707

Scan type : Complete Scan
Total Scan Time : 01:31:00

Memory items scanned : 435
Memory threats detected : 0
Registry items scanned : 5943
Registry threats detected : 10
File items scanned : 87612
File threats detected : 20

Unclassified.Unknown Origin
HKLM\Software\Classes\CLSID\{4D1C4E89-A32A-416b-BCDB-33B3EF3617D3}
HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3}
HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3}\InprocServer32
HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3}\InprocServer32#ThreadingModel
HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3}\Programmable
HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3}\TypeLib

Adware.RX Toolbar
HKU\S-1-5-21-3165419130-2510224624-1963145105-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25D8BACF-3DE2-4B48-AE22-D659B8D835B0}
HKU\S-1-5-21-3165419130-2510224624-1963145105-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}

InstaFinderK BHO
HKU\S-1-5-21-3165419130-2510224624-1963145105-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4E7BD74F-2B8D-469E-90F0-F66AB581A933}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\user\Cookies\user@iacas.adbureau[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@indextools[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@imrworldwide[2].txt
C:\Dokumente und Einstellungen\user\Cookies\user@de.sitestat[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@2o7[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@adtech[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@webmasterplan[2].txt
C:\Dokumente und Einstellungen\user\Cookies\user@microsoftinternetexplorer.112.2o7[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@eas.apm.emediate[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@tribalfusion[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@www.etracker[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@xxxcounter[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\user\Cookies\user@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@adsrv.admediate[1].txt

Trojan.DNSChanger-Codec
HKU\S-1-5-21-3165419130-2510224624-1963145105-1005\Software\fcn

Adware.Need2Find
C:\PROGRAMME\MOZILLA FIREFOX\PLUGINS\NPND2FN.DLL

Adware.Vundo/Variant-MSFake
C:\PROGRAMME\NAVILOG1\REG.EXE

Rootkit.Agent/Gen-Local
C:\PROGRAMME\NAVILOG1\BACKUPNAVI\CCJYH.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{4B727B31-A168-4C89-81CB-01FB3D6ECD3F}\RP10\A0000359.EXE


Und zu guter letzt das neue HJT-Logfile

Sagst du mir noch, was mit den Dateien aus dem SUPERANTISPYWARE werden soll, die sind ja nun glaub in Quarantäne.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:44:47, on 02.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\xampp\filezillaftp\filezillaserver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\acer\epm\epm-dm.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{941A50C6-11CD-41AA-B106-A633A622A76B}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4505 bytes

Hoffe, das es jetzt schon besser aussieht?

Viele gespannte Grüße
Uwe

Zitat:

Hoffe, das es jetzt schon besser aussieht?

Das HJT-Log ist sauber, aber wie es dem Rechner geht, dass musst du mir sagen.

Werbefenster sollten keine mehr kommen.

Die Logs von MbAm und SAS (die ich nur auf Verdacht hab laufen lassen) gefallen mir nicht, da wurde zuviel und zudem auch noch Gefährliches gefunden. Also munter weiter mit dem Scannen.

Deinstalliere Navilog, MbAm und SAS.

1.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

3.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

ciao, andreas