EXP/ASF.GetCodec.Gen,HEUR/HTML.Malware,TR/Dropper.Gen,HEUR/HTML.Malware

ebayfreak · 09.04.2009, 22:12

hallo

ich habe 4 plagegeister auf meinem neuen laptop
ich habe sie mit AVIRA gefunden und in die quaarantäne verschoben (ist das richtig?)

hier die 4 sorgenkinder:

-EXP/ASF.GetCodec.Gen
-HEUR/HTML.Malware
-TR/Dropper.Gen
-HEUR/HTML.Malware

hier der HijackThis bericht:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:22:23, on 09.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\VIRUSfighter\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
D:\Programme\EeePC\ACPI\AsTray.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
D:\Programme\EeePC\ACPI\AsAcpiSvr.exe
D:\Programme\EeePC\ACPI\AsEPCMon.exe
D:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\Elantech\ETDCtrl.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\SweetIM\Messenger\SweetIM.exe
C:\VIRUSfighter\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\dokumente und einstellungen\christian\lokale einstellungen\anwendungsdaten\qysae.exe
D:\programme\WIDCOMM\Bluetooth Software\BTTray.exe
D:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\VIRUSfighter\bin\NJEEVES.EXE
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\AutoIt3\AutoIt3.exe
D:\programme\Mozilla Firefox\firefox.exe
D:\Programme\AutoIt3\AutoIt3.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\msiexec.exe
C:\Dokumente und Einstellungen\Christian\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - D:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - D:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - D:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - D:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - D:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - D:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusTray] D:\Programme\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] D:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] D:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ETDWare] D:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SweetIM] D:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [qysae] "c:\dokumente und einstellungen\christian\lokale einstellungen\anwendungsdaten\qysae.exe" qysae
O4 - HKCU\..\Run: [ICQ] ~"D:\programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] ~"D:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: StarOffice 8.lnk = D:\programme\Sun\StarOffice 8\program\quickstart.exe
O4 - Global Startup: AutoRun OSCleaner.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.exe.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://D:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O20 - AppInit_DLLs: D:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: GoogleDesktopManager - Google - D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - D:\programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\VIRUSfighter\Bin\Zanda.exe

--
End of file - 9532 bytes

ist das lösbar?

john.doe · 09.04.2009, 22:36

Hallo Christian und

1.) Deinstalliere:

Virusfighter/Norman Antivirus
SweetIM
Bonjour
Google Update
Google Toolbar
ICQ Toolbar
Windows Live Toolbar

2.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - D:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - D:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [Google Desktop Search] "D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SweetIM] D:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKCU\..\Run: [qysae] "c:\dokumente und einstellungen\christian\lokale einstellungen\anwendungsdaten\qysae.exe" qysae
O4 - HKCU\..\Run: [ICQ] ~"D:\programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] ~"D:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: StarOffice 8.lnk = D:\programme\Sun\StarOffice 8\program\quickstart.exe
O4 - Global Startup: AutoRun OSCleaner.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.exe.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O20 - AppInit_DLLs: D:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

=> Fix checked

3.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Doppelklicke auf navilog1.exe
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

ciao, andreas

ebayfreak · 09.04.2009, 23:08

dankee für deine antwort
so alles fertig

Zitat:

Search Navipromo version 3.7.6 began on 10.04.2009 at 0:05:57,76

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from D:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Atom(TM) CPU N270 @ 1.60GHz )
BIOS : BIOS Date: 08/15/08 Ver: 08.00.12
USER : Christian ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)

C:\ (Local Disk) - NTFS - Total:3 Go (Free:0 Go)
D:\ (Local Disk) - NTFS - Total:7 Go (Free:5 Go)

Search done in normal mode

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "D:\Programme" ***

...\Live-Player found !

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

...\Live-Player found !

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Christian\anwend~1" ***

...\Live-Player found !

*** Search folders in "C:\Dokumente und Einstellungen\Christian\lokale~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Christian\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Christian\lokale~1\anwend~1" *

*** Search files ***

c:\dokume~1\alluse~1\desktop\Live-Player.lnk found !

*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\WINDOWS\system32" :

* In "C:\Dokumente und Einstellungen\Christian\lokale~1\anwend~1" :

qysae.exe found !
qysae.dat found !
qysae_nav.dat found !
qysae_navps.dat found !

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :

*** Search completed on 10.04.2009 at 0:07:32,81 ***

john.doe · 09.04.2009, 23:11

Gleich nocheinmal laufen lassen, diesmal mit Option 2. Anschliessend das Log posten.

Danach klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

ebayfreak · 09.04.2009, 23:22

nr.1

Zitat:

Navipromo Removal version 3.7.6 started on 10.04.2009 at 0:12:23,65

Fix running from D:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Atom(TM) CPU N270 @ 1.60GHz )
BIOS : BIOS Date: 08/15/08 Ver: 08.00.12
USER : Christian ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)

C:\ (Local Disk) - NTFS - Total:3 Go (Free:0 Go)
D:\ (Local Disk) - NTFS - Total:7 Go (Free:5 Go)

Automatic removal
with Catchme and GNS results

nr2.

Zitat:

Adabas D 13.01.00
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 8.1.3 - Deutsch
Apple Mobile Device Support
Apple Software Update
Asus ACPI Driver
Asus OS Cleaner
ASUSUpdate for Eee PC
Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver
AutoIt v3.3.0.0
Avira AntiVir Personal - Free Antivirus
Azurewave Wireless LAN
Carom3D
Compatibility Pack für 2007 Office System
DivX Web Player
Eee Instant Key
Eee Storage 1.1.15.197
ETDWare PS/2-x86 7.0.3.7 WHQL 20080812.01
Favorit
FileZilla Client 3.2.3
HijackThis 2.0.2
ICQ6.5
Intel(R) Graphics Media Accelerator Driver
InterVideo WinDVD
IrfanView (remove only)
iTunes
Java(TM) 6 Update 3
LimeWire 5.1.2
Live-Player
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 1.1 Hotfix (KB929729)
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Works
Mozilla Firefox (3.0.8)
Navilog1 3.7.6
QuickTime
Realtek High Definition Audio Driver
StarOffice 8 ASUS Edition
Super Hybrid Engine
VC80CRTRedist - 8.0.50727.762
WIDCOMM Bluetooth Software
Windows Live Anmelde-Assistent
Windows Live Fotogalerie
Windows Live installer
Windows Live Mail
Windows Live Messenger

ebayfreak · 10.04.2009, 10:09

jetzt nochmal mit den anderen berichten:

Zitat:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1961
Windows 5.1.2600 Service Pack 3

10.04.2009 10:32:58
mbam-log-2009-04-10 (10-32-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 107532
Laufzeit: 19 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Christian\Desktop\desktopp\Live-Player_setup(2).exe (Adware.Navipromo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Desktop\desktopp\Live-Player_setup.exe (Adware.Navipromo) -> Quarantined and deleted successfully.

john.doe · 10.04.2009, 12:52

1.) SASW nach Anleitung (Punkt 1-3) laufenlassen und Log posten: http://www.trojaner-board.de/51871-a...tispyware.html

2.) Ein aktuelles HJT-Log posten.

Danach sollten wir durch sein.

ciao, andreas

ebayfreak · 10.04.2009, 16:16

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:14:35, on 10.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
C:\VIRUSfighter\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
D:\Programme\EeePC\ACPI\AsTray.exe
D:\Programme\EeePC\ACPI\AsAcpiSvr.exe
D:\Programme\EeePC\ACPI\AsEPCMon.exe
C:\WINDOWS\system32\igfxext.exe
D:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\Elantech\ETDCtrl.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\VIRUSfighter\Npm\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
C:\VIRUSfighter\Nse\bin\NSESVC.EXE
C:\WINDOWS\System32\alg.exe
D:\Programme\AutoIt3\AutoIt3.exe
C:\VIRUSfighter\Nvc\bin\nvcoas.exe
C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
C:\VIRUSfighter\Nvc\BIN\NIP.EXE
C:\VIRUSfighter\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\AutoIt3\AutoIt3.exe
C:\Dokumente und Einstellungen\Christian\Desktop\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusTray] D:\Programme\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] D:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] D:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ETDWare] D:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Norman ZANDA] "C:\VIRUSfighter\Npm\bin\ZLH.EXE" /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\programme\ICQ6.5\ICQ.exe
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Norman NJeeves - Norman ASA - C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\VIRUSfighter\Npm\Bin\Zanda.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\VIRUSfighter\Nse\bin\NSESVC.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\VIRUSfighter\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE

--
End of file - 7174 bytes

bin ich jetzt virenfrei?

john.doe · 10.04.2009, 16:56

Zitat:

bin ich jetzt virenfrei?

Wo ist das Log von SuperAntiSpyware?

Das zweite Log von Navilog ist nicht vollständig. Bitte nochmal komplett posten.

Du hast da zwei Antivirenprogramme(Norman und Avira), bitte deinstalliere eines.

ciao, andreas

ebayfreak · 10.04.2009, 17:23

nr1:

Zitat:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/10/2009 at 03:14 PM

Application Version : 4.26.1000

Core Rules Database Version : 3838
Trace Rules Database Version: 1794

Scan type : Complete Scan
Total Scan Time : 00:45:49

Memory items scanned : 496
Memory threats detected : 0
Registry items scanned : 4276
Registry threats detected : 0
File items scanned : 42329
File threats detected : 81

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Christian\Cookies\christian@a7.adserver01[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@fastclick[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@statcounter[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@pcwelt[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@tuifly.122.2o7[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@specificclick[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@eas4.emediate[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@condor[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ad.zanox[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@tribalfusion[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@zanox[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ad.ad-srv[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@www.omediatrack[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@mediaplex[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@www.netdebit-counter[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@advertising[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@traffictrack[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@tracking.3gnet[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@a6.adserver01[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@tracking.quisma[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@a3.adserver01[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ad.scootertuning[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@bannerrotator[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ads.dzo-marketing[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@overture[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@adserver.nordprovider[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@apmebf[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@122227732124997[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@komtrack[3].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@count.xhit[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@adrevolver[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@tracker.argutus[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@adserving.favorit-network[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@xiti[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@adtech[6].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@webmasterplan[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@www.active-tracking[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@4stats[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@www.etracker[3].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ad.71i[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ads.migo-server[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ads.planetactive[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ad.yn-ads[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@euros4click[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@de2.komtrack[4].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ad.trackbar[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@doubleclick[11].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ad.salebroker[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@atwola[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@adsrv.admediate[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@atdmt[11].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@richmedia.yahoo[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ads.gamershell[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@adviva[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@rotator.adjuggler[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@serving-sys[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ads.heias[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@indextools[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@statse.webtrendslive[3].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@2o7[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@ads.net2day[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@cms.trafficmp[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@media6degrees[2].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@tcook[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@111222586756111[1].txt
C:\Dokumente und Einstellungen\Christian\Cookies\christian@content.yieldmanager[2].txt

Adware.Vundo/Variant-MSFake
D:\PROGRAMME\NAVILOG1\REG.EXE

nr2:

Zitat:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/10/2009 at 05:05 PM

Application Version : 4.26.1000

Core Rules Database Version : 3838
Trace Rules Database Version: 1794

Scan type : Complete Scan
Total Scan Time : 00:59:54

Memory items scanned : 225
Memory threats detected : 0
Registry items scanned : 4286
Registry threats detected : 0
File items scanned : 26630
File threats detected : 1

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Christian\Cookies\christian@doubleclick[11].txt

nr3.

Zitat:

Navipromo Removal version 3.7.6 started on 10.04.2009 at 0:12:23,65

Fix running from D:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Atom(TM) CPU N270 @ 1.60GHz )
BIOS : BIOS Date: 08/15/08 Ver: 08.00.12
USER : Christian ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)

C:\ (Local Disk) - NTFS - Total:3 Go (Free:0 Go)
D:\ (Local Disk) - NTFS - Total:7 Go (Free:5 Go)

Automatic removal
with Catchme and GNS results

Cleanning Stage done in normal mode and not on reboot
!! Results will not be optimised !!

*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *

* Deletion in "C:\Dokumente und Einstellungen\Christian\lokale~1\anwend~1" *

*** Deleting folders in "C:\WINDOWS" ***

*** Deleting folders in "D:\Programme" ***

...\Live-Player ...deleting...
...\Live-Player deleted !

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

...\Live-Player ...deleting...
...\Live-Player deleted !

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***

*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Christian\anwend~1" ***

...\Live-Player ...deleting...
...\Live-Player deleted !

*** Deleting folders in "C:\Dokumente und Einstellungen\Christian\lokale~1\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Christian\startm~1\progra~1" ***

*** Deleting files ***

c:\dokume~1\alluse~1\desktop\Live-Player.lnk deleted !

*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Christian\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :

* In "C:\WINDOWS\system32" *

* In "C:\Dokumente und Einstellungen\Christian\lokale~1\anwend~1" *

qysae.exe found !
Copy qysae.exe done !
qysae.exe deleted !

qysae.dat found !
Copy qysae.dat done !
qysae.dat deleted !

qysae_nav.dat found !
Copy qysae_nav.dat done !
qysae_nav.dat deleted !

qysae_navps.dat found !
Copy qysae_navps.dat done !
qysae_navps.dat deleted !

*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned

*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

norman hab ich drauf?
ich finde das gar nichtt

john.doe · 10.04.2009, 17:43

Zitat:

norman hab ich drauf?

Code:

ATTFilter

O23 - Service: Norman NJeeves - Norman ASA - C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\VIRUSfighter\Npm\Bin\Zanda.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\VIRUSfighter\Nse\bin\NSESVC.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\VIRUSfighter\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE

Zitat:

ich finde das gar nichtt

In der Uninstallliste ist es auch nicht zu finden.

:: NORMAN :: Antivirus | Firewall | Network security

ciao, andreas

ebayfreak · 10.04.2009, 18:00

ok habs deinstalliert
was soll ich jetzt tun oder isses fertig?

john.doe · 10.04.2009, 18:24

1.) Deinstalliere:

Apple Software Update
Java(TM) 6 Update 3
LimeWire 5.1.2 (Virenschleuder)
Navilog1 3.7.6

2.) Installiere:

Download der Java-Software von Sun Microsystems

3.) Poste ein aktuelles HJT-Log.

ciao, andreas

ebayfreak · 10.04.2009, 19:31

gleich kommt der bericht aber erstmal noch was anderes

vielen dank das du mir hilfst
kann man schon merken das die viren den "kampf" langsam aufgeben der pc läuft sschon besser und wieder schneller

also wie gesagt vielen dank

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:10, on 10.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
D:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
D:\Programme\EeePC\ACPI\AsTray.exe
D:\Programme\EeePC\ACPI\AsAcpiSvr.exe
D:\Programme\EeePC\ACPI\AsEPCMon.exe
D:\Programme\Elantech\ETDCtrl.exe
C:\WINDOWS\system32\igfxext.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christian\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusTray] D:\Programme\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] D:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] D:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [ETDWare] D:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\programme\ICQ6.5\ICQ.exe
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6043 bytes

john.doe · 10.04.2009, 19:41

1.) Deinstalliere SuperAntiSpyware.

2.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"

=> Fix checked

3.) Du bist entlassen.

ciao, andreas

EXP/ASF.GetCodec.Gen,HEUR/HTML.Malware,TR/Dropper.Gen,HEUR/HTML.Malware

Plagegeister aller Art und deren Bekämpfung: EXP/ASF.GetCodec.Gen,HEUR/HTML.Malware,TR/Dropper.Gen,HEUR/HTML.Malware