Hi, hab über Googel euer Forum gefunden und gelesen wie ihr einem anderem, der das selbe Problem hatte geholfen habt.
Habe nun angenommen dass ich das nicht einfach nachmachen kann, weil er ein anderes System hat (?) und daher beschlossen ein neues Thema aufzumachen.
Wie schon beschrieben öffnet Firefox bei mir wahllos neue Fenster mit Werbung drin.
Ich weiss nicht genau ob das ist wenn ich eine neue Seite lade, oder einfach nach einer bestimmten zeit, da er nich jedesmal wenn ich eine neue seite lade ein solches Fenster öffnet.
Ich habe (zugegebenermassen aus Faulheit ) gestern schon a-squared Free und Spybot - Search & Destroy installiert, und gehofft dass ich das damit beheben kann, hat aber nicht funktioniert.
Beide Programme haben zwar Sachen gefunden, aber das Problem besteht weiterhin
Habe nun angefangen mit eurer Anleitung, um schonmal bisschen Zeit zu sparen.
CCleaner ist ausgeführt.
Malwarebytes' Anti-Malware läuft gerade, wie in der Anleitung gebeten.
Danach führe ich noch einmal HijackThis aus und poste das zweite Logfile, das erste (habe ich vor CCleaner und Malwarebytes' Anti-Malware ausgeführt) könnt ihr hier sehen:

HijackThis Nr.1 (alt)

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:05:09, on 30.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
F:\Programme\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\User\AppData\Local\ewcqm.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\Programme\FireFox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\explorer.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - F:\Programme\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ewcqm] "c:\users\user\appdata\local\ewcqm.exe" ewcqm
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Download All by FlashGet - F:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - F:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix: 
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - F:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - F:\Programme\Spybot - Search & Destroy\SDWinSec.exe

--
End of file - 5317 bytes
         

HijackThis Nr.2 (neu)

Es müssten weder Links noch RL namen drinne sein.
Ich hab die Anleitung schon gestartet weil ich gehofft habe euch damit ein bisschen Zeit und Arbeit sparen zu können, wenn ich jedoch nen Fehler gemacht habe könnt ihr mich gerne darauf hinweisen.
Schonmal vielen Dank für eure Hilfe

Edit: Mir ist soeben eingefallen dass ich keinerlei Hinweise zu meinem System gegeben habe:
Ich habe auf meinem Pc Windows Vista Home Premium laufen, habe die Standartfirewall an und AntiVir PE Classic drauf.
Ansonsten die genannten Programme von hier sowie a-squared Free und Spybot - Search & Destroy.

hallo,

öffne mal das folgende Tool und starte es wie auf der Website angegeben.
Hier das Tool (Download und Ausführen): Navilog

soll ich nun das machen, und nich das aus dem andern thread ? oder soll ich so weitermachen wie der typ davor ?
Bin bischen verwirrt dass ich was ganz anderes machen soll als der typ der wohl den gleichen fehler hatte in: h**p://www.trojaner-board.de/71328-virus-firefox-fehlerhaft-2.html

Lasse zusätzlich nochmal Navilog drüberlaufen. Vielleicht findet er Navipromo.

Hmh, also ich kann Navilog1 nicht ausführen, das Programm stürzt nach der Sprachauswahl ab.
Mir wird da genannt dass das Programm wegen eines Problems nicht richtig ausgeführt wird und es nun geschlossen wird.

Im Navilog1 Fenster steht:
Please wait
Zugriff verweigert

Irgendwelche Tipps ?

Edit:Habs nun als Admin ausgeführt, nun gehts Scan läuft.

Schalte den UAC ab oder Rechtsklick -> als Administrator ausführen und probiere es so nochmal.

Danke für die Hilfe schonmal, ich muss nun leider weg, bin aber heute abend wieder am Pc
Habs ja nun wie gesagt durchlaufen lassen, und poste dann heute abend das Log File, soll das auch hier rein ?

Ja, das Logfile unbedingt hier rein.

Hallo,
ich habe das selbe Problem.

HAbe Win XP prov, SP2
P 4 mit 3,22Hz

wenn ich im arbeitsplatz ein laufwerk anwähle kommt
" C:\resycled/boot.com ist keine zulässige Win 32_Anwendung."
DEshalb habe ich mich auf die Suche nach einer Lösung hier hin eingefunden.

Bislang aber ohne erfolg.
Deshalb versuche ich ich es mal so:

Hier der Fix:

Code: Alles auswählenAufklappen

ATTFilter

Search Navipromo version 3.7.6 began on 31.03.2009 at 18:28:11,01

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\XXX\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\XXX\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\XXX\startm~1\progra~1" *** 


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : h++p://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\XXX\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :
         

Ich hoffe es kann mir jemand weiterhelfen
Lg an alle hier!

Eröffne bitte ein eigenen Thread, der auf ein eigenes Thema passt.

Quer- und Crosspoasts verwirren nur und bringen Unruhe in ein Thread rein. Bitte unter dieser Anleitung einen eigenen Thread eröffnen: http://www.trojaner-board.de/69886-a...-beachten.html

okay, hier ist das Log von Navilog1

Code: Alles auswählenAufklappen

ATTFilter

Search Navipromo version 3.7.6 began on 31.03.2009 at 17:42:38,38

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium  ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     E8500  @ 3.16GHz )
BIOS : BIOS Date: 08/20/08 13:38:55 Ver: 08.00.14
USER : User ( Not Administrator ! )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:48 Go (Free:22 Go)
D:\ (CD or DVD) - UDF - Total:4 Go (Free:0 Go)
F:\ (Local Disk) - NTFS - Total:391 Go (Free:316 Go)


Search done in normal mode


*** Search folders in "C:\Windows" ***


*** Search folders in "C:\Program Files" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Search folders in "C:\ProgramData" ***


*** Search folders in "c:\users\user\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Search folders in "C:\Users\User\AppData\Roaming" ***


*** Search folders in "C:\Users\***\appdata\roaming" ***


*** Search folders in "C:\Users\***\appdata\roaming" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : h**p://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\User\AppData\Local\Microsoft" *

* Scan in "C:\Users\User\AppData\Local" *

* Scan in "C:\Users\***\AppData\Local" * 

* Scan in "C:\Users\***\AppData\Local" * 



*** Search files *** 



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ewcqm"="\"c:\\users\\user\\appdata\\local\\ewcqm.exe\" ewcqm"


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\Windows\system32" :


* In "C:\Users\User\AppData\Local\Microsoft" :


* In "C:\Users\User\AppData\Local" :

ewcqm.exe found !
ewcqm.dat found !
ewcqm_nav.dat found !
ewcqm_navps.dat found !

* In "C:\Users\***\AppData\Local" : 


* In "C:\Users\***\AppData\Local" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 31.03.2009 at 17:45:29,78 ***
         

ewcqm läuft übrigens auch immer, und hat ca ne auslastung von 20.000k, hab grad im Task Manager nachgeguckt

Starte nochmal Navilog, diesmal mit der Option 2.

Starte Navilog nochmal und Öffne Navilog 1.
Danach wählst Du E und dann drücke Enter. Somit kommen wir zum Schritt der Bereinigung an sich. Wähle in dem kommenden fenster Option 2 und lasse Navilog alles bereinigen.

Danach nochmal das Logfile das Navilog erstellt hier reinstellen.

hab ich exact so gemacht
Log ist hier:

Code: Alles auswählenAufklappen

ATTFilter

Navipromo Removal version 3.7.6 started on 31.03.2009 at 19:48:15,57

Fix running from C:\Program Files\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium  ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     E8500  @ 3.16GHz )
BIOS : BIOS Date: 08/20/08 13:38:55 Ver: 08.00.14
USER : User ( Not Administrator ! )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:48 Go (Free:22 Go)
D:\ (CD or DVD) - UDF - Total:4 Go (Free:0 Go)
F:\ (Local Disk) - NTFS - Total:391 Go (Free:316 Go)


Automatic removal 
with Catchme and GNS results


Cleanning stage done on Reboot

 
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
 

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\Windows\System32" *


* Deletion in "C:\Users\User\AppData\Local\Microsoft" *


* Deletion in "C:\Users\User\AppData\Local" *


* Deletion in "C:\Users\***\AppData\Local" *


* Deletion in "C:\Users\***\AppData\Local" *



*** Deleting folders in "C:\Windows" ***


*** Deleting folders in "C:\Program Files" ***


*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Deleting folders in "C:\ProgramData" ***


*** Deleting folders in c:\users\user\appdata\roaming\micros~1\windows\startm~1\programs ***


*** Deleting folders in "C:\Users\***\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Deleting folders in "C:\Users\***\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Deleting folders in "C:\Users\User\AppData\Local" ***


*** Deleting folders in "C:\Users\***\AppData\Local" *** 


*** Deleting folders in "C:\Users\***\AppData\Local" *** 


*** Deleting folders in "C:\Users\User\AppData\Roaming" ***


*** Deleting folders in "C:\Users\***\appdata\roaming" *** 


*** Deleting folders in "C:\Users\***\appdata\roaming" *** 



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\Windows\Temp done !
Cleaning of C:\Users\User\AppData\Local\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\Windows\system32" *



* In "C:\Users\User\AppData\Local\Microsoft" *



* In "C:\Users\User\AppData\Local" *


ewcqm.exe found ! 
Copy ewcqm.exe done !
ewcqm.exe deleted !

ewcqm.dat found ! 
Copy ewcqm.dat done !
ewcqm.dat deleted !

ewcqm_nav.dat found ! 
Copy ewcqm_nav.dat done !
ewcqm_nav.dat deleted !

ewcqm_navps.dat found ! 
Copy ewcqm_navps.dat done !
ewcqm_navps.dat deleted !


* In "C:\Users\***\AppData\Local" * 



* In "C:\Users\***\AppData\Local" * 



*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !


*** Search others known folders and files ***



*** Cleaning stage complete on 31.03.2009 at 19:51:08,72 ***
         

ist schon okay, lass dir zeit das alles hinhaut

okay, ist aktuallisiert