Hallo,

ich habe folgendes Problem. Ich hoffe, es ist ok, wenn ich etwas weiter aushole….

Ich habe auf irgendeiner Seite (Ich glaube, es war die Homepage von RTL oder Sat1…..) auf nen link geklickt, wo stand, dass man hier Fußball Champions League gucken kann. Dann hat firefox heftigst Alarm geschlagen, als ich eine Software runterladen wollte. Ich hab es dann einfach ignoriert (Bitte jetzt nicht fragen, warum.) und installiert. Seitdem habe ich folgende Probleme:

1. firefox startet extrem langsam, fühlt sich beim surfen sehr langsam an und lässt sich oft nicht beenden bzw. wenn ich es beende und erneute starten will, kriege ich ne Meldung, dass firefox immer noch aktiv ist. Ich habe den Prozess „firefox.exe“ dann immer per Taskmanager beendet und dann ging es wieder.
2. Wenn ich XP runterfahren will, bekomme ich oft ne Meldung mit irgendwas von „nsappshell……“ lässt ich nicht beenden.
3. Wenn ich mit firefox oder auch IE surfe, öffnen sich ständig Werbefester in komplett neuen firefox bzw. IE – Fenster.

Ich habe meinen Computer mit allen, was mir so einfällt, durchgescannt (Sophos AV, Windows Defender, Microsoft Tool zum Entfernen bösartiger Software, Spybot, Ad-Aware, Avira Antivir, usw. Es wurde nichts gefunden.

Nun hab ich im Windows Defender den Prozess aber ausmachen können:

"c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\ikmmyks.exe"

(Meinen Accountnamen hab ich gegen „user“ getauscht…..)

Das Installationsdatum des Programms stimmt exakt mit dem Datum meiner oben beschriebenen, dummen Downloadaktion überein.

Wenn ich den Prozess per Taskmanager beende, ist alles wieder gut und die Werbefenster erscheinen nicht und firefox arbeitet mit normaler Geschwindigkeit. Ich habe den Prozess desaktiviert im Windows Defender. Beim nächsten Neustart war er aber wieder da. Nun ist dieser Prozess aber heute nicht mehr aktiv (er ist aber immer noch im Defender unter deaktivierte Prozesse gelistet) und an seiner Stelle ist ein neuer aktiver Prozess (bzw. der Prozess hat nen neuen Namen):

„c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\ssgiaea.exe“

Die Probleme sind auch wieder vorhanden, wenn dieser Prozess im RAM ist. Wenn ich ihn per Taskmanager beende, ist alles wieder gut. Das Installationsdatum dieses Prozesses ist aber ein anderes als bei ikmmyks.exe, nämlich das heutige.

Was um alles in der Welt ist das und wie kriege ich die Malware von meinem System? Wieso wird wird er nicht erkannt von meinen ganzen Programmen, die ich über mein System hab laufen lassen? Eine Neuinstallation des ganzen Systems möchte ich, wenn möglich, umgehen, da ich sehr viele umständliche zu installierende bzw. schwer beschaffbare Programme auf dem Rechner habe und ich im Augenblick den Rechner jeden Tag für die Arbeit brauche.

Hallo und...

Bitte arbeite folgende Seite ab:
http://www.trojaner-board.de/69713-e...navipromo.html

Danke für die nette Begrüssung. Ich bin gerade auf der Arbeit und werde heute nach Feierabend mich an die Arbeit machen.

Bitte

Eine Frage hätte ich aber vorher noch:

Soll ich wirklich die ganze Liste

1. Systemwiederherstellung deaktvieren (was ich eh schon als Standard habe)
2. Navilog1 runterladen
3. SUPERAntiSpyware runterladen
4. Malwarebytes' Anti-Malware runterladen

sukzessive abarbeiten, oder sind SUPERAntiSpyware bzw. Malwarebytes lediglich als Alternativen zu Navilog1 gedacht?

Alles abarbeiten.
Der Navipromo, ist seit den letzten 2 Tagen absolut im kommen...
Navipromo ist zurück

Hallo nochmal,

ich poste jetzt mal die Textdatei nach dem ersten Schritt "Navilog" mit Option 1 (Meinen Vornamen kennt ihr jetzt auch, aber egal ), mach dann weiter und meld ich mit weiteren Antworten nach den nächsten Schritten:

Search Navipromo version 3.7.6 began on 21.04.2009 at 20:01:06,34

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor )
BIOS : Ver 1.00PARTTBLX
USER : Holger ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Not Activated)


C:\ (Local Disk) - NTFS - Total:227 Go (Free:140 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Holger\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Holger\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Holger\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Holger\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Holger\lokale~1\anwend~1" :

ssgiaea.exe found !
ssgiaea.dat found !
ssgiaea_nav.dat found !
ssgiaea_navps.dat found !

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 21.04.2009 at 20:08:49,50 ***

Ok, und weiter, nach Option 2:

Navipromo Removal version 3.7.6 started on 21.04.2009 at 21:21:31,68

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor )
BIOS : Ver 1.00PARTTBLX
USER : Holger ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Not Activated)


C:\ (Local Disk) - NTFS - Total:227 Go (Free:140 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)


Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\Holger\lokale~1\anwend~1" *


* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *


*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Holger\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Holger\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Holger\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Holger\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\Holger\lokale~1\anwend~1" *


ssgiaea.exe found !
Copy ssgiaea.exe done !
ssgiaea.exe deleted !

ssgiaea.dat found !
Copy ssgiaea.dat done !
ssgiaea.dat deleted !

ssgiaea_nav.dat found !
Copy ssgiaea_nav.dat done !
ssgiaea_nav.dat deleted !

ssgiaea_navps.dat found !
Copy ssgiaea_navps.dat done !
ssgiaea_navps.dat deleted !


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***



*** Cleaning stage complete on 21.04.2009 at 21:26:33,26 ***

Und weiter....nach Superantispywarescan:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/21/2009 at 10:42 PM

Application Version : 4.26.1000

Core Rules Database Version : 3856
Trace Rules Database Version: 1808

Scan type : Complete Scan
Total Scan Time : 00:36:15

Memory items scanned : 260
Memory threats detected : 0
Registry items scanned : 7183
Registry threats detected : 0
File items scanned : 25566
File threats detected : 33

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Holger\Cookies\holger@webmasterplan[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@smartmedia.allyes[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@2o7[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@bwinde.122.2o7[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@adtech[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@indextools[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@www.etracker[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@de2.komtrack[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@valueclick[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@ad.taz[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@www.googleadservices[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@track.webtrekk[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@counter.sexsuche[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@ad.auerbach-verlag[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@tribalfusion[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@adbrite[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@www.sexmenue[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@track.webtrekk[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@adserving.favorit-network[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@serving-sys[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@xiti[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@windowsmedia[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@perf.overture[1].txt

Adware.Vundo/Variant-MSFake
C:\PROGRAMME\NAVILOG1\REG.EXE

Trace.Known Threat Sources
C:\Dokumente und Einstellungen\Holger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HL1NRQ36\g_default[1].gif

Sieht doch ganz nett aus...
Bitte Füge noch den Malewarebytes scan nach.

Code: Alles auswählenAufklappen

ATTFilter

Adware.Vundo/Variant-MSFake
C:\PROGRAMME\NAVILOG1\REG.EXE
         

Ist nichts schlimmes.
Superantispyware erkennt Navopromo-Tool ausm TB, als Vundo Fake.
Also keine Panik. Das ist bei mir auch so.^^

Hat sich was getan an deinem Rechner?

Und als letztes der Malwarbytesscan, wo nix gefunden wurde:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2021
Windows 5.1.2600 Service Pack 3

21.04.2009 23:43:45
mbam-log-2009-04-21 (23-43-45).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 214899
Laufzeit: 45 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

Zitat von 4RobSen8

Sieht doch ganz nett aus...
Hat sich was getan an deinem Rechner?

Sind die Symptome weg?

Sieht ganz gut aus auf meinem Rechner, soweit ich das bis jetzt beurteilen kann. Die Prozesse sind nicht mehr da unter "c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\". Im Defender sind die Prozesse allerdings noch aufgeführt. Die Symptome sind - soweit ich das jetzt sagen kann - verschwunden. Werde mich morgen noch mal weiter dazu äussern. Und einen HijackThis Logfile werde ich auch noch posten.

Also wenn es das jetzt wirklich war, muss ich wirklich ganz heftig bedanken. Nach 3 Minuten die Lösungsantwort......und dabei hatte ich vorher soviel gesucht im Netz und mit unzähligen Programmen mein System gescannt und nichts gefunden. Danke nochmal....und ich meld mich morgen noch mal mit dem HijackThis Logfile.

Die Symptome scheinen echt weg zu sein. Und hier nochmal der HijackThis Logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:18:10, on 22.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ADMonitor.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\AtService.exe
C:\WINDOWS\system32\FpLogonServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Juniper Networks\Common Files\dsNcService.exe
C:\Programme\Intel\WiFi\bin\EvtEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\System32\TPHDEXLG.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMLCHK.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Lenovo\HOTKEY\TPONSCR.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\Lenovo\Zoom\TpScrex.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lenovo.live.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Password Manager Browser Helper Object - {BF468356-BB7E-42D7-9F15-4F3B9BCFCED2} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
O4 - HKLM\..\Run: [FingerPrintSoftware] "C:\Programme\Lenovo Fingerprint Software\fpapp.exe" \s
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [LPMailChecker] C:\PROGRA~1\THINKV~1\PrdCtr\LPMLCHK.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [tsnp2uvc] C:\WINDOWS\tsnp2uvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem: Lenovo Password Manager... - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229900384352
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupControlXP Class) - https://vpn.serv.uni-osnabrueck.de/dana-cached/setup/JuniperSetupSP1.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O20 - Winlogon Notify: ATFUS - C:\WINDOWS\system32\FpWinLogonNp.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: AD Monitor (ADMonitor) - Unknown owner - C:\WINDOWS\system32\ADMonitor.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AuthenTec Fingerprint Service (ATService) - AuthenTec, Inc. - C:\WINDOWS\system32\AtService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Programme\Juniper Networks\Common Files\dsNcService.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Fingerprint Server (FingerprintServer) - AuthenTec,Inc - C:\WINDOWS\system32\FpLogonServ.exe
O23 - Service: Google Update Service (gupdate1c985eaa8a2a966) (gupdate1c985eaa8a2a966) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: Power Manager DBC Service - Unknown owner - C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: SessionLauncher - Unknown owner - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - c:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TSS Core Service (TSSCoreService) - Lenovo - C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe
O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: TVT Windows Update Monitor (TVT_UpdateMonitor) - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe

--
End of file - 13531 bytes

Zitat:

Zitat von chemist

Die Symptome sind jedenfalls wech.

wech...^^


Eh, das ist ja verdammt viel....
Ich habe maximal die hälfte an laufenden Prozessen.^^

http://www.trojaner-board.de/54192-a...tellungen.html

http://www.trojaner-board.de/51464-a...-ccleaner.html

1.) Deinstaliere:

• Ad-Aware
• SuperAntispyware
  PP LIve, Tv-Sender aus China...naja...

2.) Fixe:
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
=> Fix checked

Das heißt: HiJackThis scannt bestimmte Registry-Bereiche. Du kannst "bösartige"-Einträge dann in der Übersicht mit einem Haken versehen und "Fix checked" drücken, die Einträge sollten aus der registry gelöscht sein.


Von dem Rest lasse ich mal die Finger...