|
Log-Analyse und Auswertung: Trojanische Pferd TR/Zlob.54528Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.05.2009, 20:53 | #1 |
| Trojanische Pferd TR/Zlob.54528 Schönen guten Abend! hoffe hier kann mir jemand helfen... absolutes neuland für mich son forum! also habe mit Avira einen scan durchgeführt und dann wurde mir gesagt " Virus oder unerwünschtes programm gefunden Trojanische Pferd TR/Zlob.54528 was tun ? hier log file von HijackThis..... Bitte helft mir danke schonmal für jede antwort! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:28:49, on 23.05.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18226) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Windows\System32\mmrtkrnl.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Internet Explorer\ieuser.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Google\Google Toolbar\GoogleToolbarUser.exe C:\Users\mein Name\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Software4u-UpdateServer] D:\Programme\Office CleanUP 2008\Software4u.UpdateServer.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Programme\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [wsgya] "c:\users\marco frindt\appdata\local\wsgya.exe" wsgya O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O13 - Gopher Prefix: O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 6051 bytes |
23.05.2009, 21:12 | #2 | |
| Trojanische Pferd TR/Zlob.54528 Hallo,
__________________1. poste das Log von Avira Antivir mal hier rein. (Auf das Avira Symbol - Rechts auf "Berichte" gehen - auf den Bericht wo er den Fund entdeckt hatte bitte Rechtsklick machen - Reportdatei anzeigen - dann erscheint eine Logdatei, diese bitte hier rein stellen). 2. du hast Navipromo drauf, erkennend an diesem Eintrag im HJT log: Zitat:
Starte Navilog mit Administratorrechten. Navilog Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines Virescanners sind zu ignorieren (Anwendung erlauben!) Alle anderen Anwendungen bitte beenden! Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten. Im Sprachmenü bitte Englisch auswählen. Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter. Während der Suche nichts am Rechner machen, nur auf Programmaufforderung! Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen, Inhalt kopieren und in Thread einfügen. Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\"). http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe
__________________ |
24.05.2009, 10:55 | #3 | |
| Trojanische Pferd TR/Zlob.54528 Also bin nicht ganz der Profi auf solch einem Gebiet! versuch das mal alles so zu machen wie du/ihr mir das sagt!
__________________Zitat:
Erstellungsdatum der Reportdatei: Samstag, 23. Mai 2009 18:44 Es wird nach 1413622 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (Service Pack 1) [6.0.6001] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ?????? Versionsinformationen: BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00 AVSCAN.EXE : 9.0.3.5 466689 Bytes 27.04.2009 20:18:54 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:26 ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20.05.2009 07:51:16 ANTIVIR3.VDF : 7.1.4.3 17920 Bytes 21.05.2009 07:51:16 Engineversion : 8.2.0.168 AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 20:18:55 AESCRIPT.DLL : 8.1.2.0 389497 Bytes 15.05.2009 20:07:32 AESCN.DLL : 8.1.2.3 127347 Bytes 15.05.2009 20:07:31 AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:41 AEPACK.DLL : 8.1.3.16 397686 Bytes 08.05.2009 20:19:01 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:56 AEHEUR.DLL : 8.1.0.129 1761655 Bytes 15.05.2009 20:07:31 AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:56 AEGEN.DLL : 8.1.1.44 348532 Bytes 15.05.2009 20:07:30 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40 AECORE.DLL : 8.1.6.9 176500 Bytes 14.04.2009 18:44:22 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 20:18:54 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21 RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:16 RCTEXT.DLL : 9.0.37.0 87809 Bytes 27.04.2009 20:18:54 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Samstag, 23. Mai 2009 18:44 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '97399' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mmrtkrnl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SUPBackGround.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '59' Prozesse mit '59' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '43' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Beginne mit der Suche in 'D:\' D:\Programme\WebMediaPlayer\uninst.exe [FUND] Ist das Trojanische Pferd TR/Zlob.54528 Beginne mit der Desinfektion: D:\Programme\WebMediaPlayer\uninst.exe [FUND] Ist das Trojanische Pferd TR/Zlob.54528 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a814a8c.qua' verschoben! Ende des Suchlaufs: Samstag, 23. Mai 2009 21:10 Benötigte Zeit: 41:11 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 20197 Verzeichnisse wurden überprüft 208439 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 208436 Dateien ohne Befall 1028 Archive wurden durchsucht 2 Warnungen 3 Hinweise 97399 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Das weitere mit navilog1.exe folgt schnellstmöglich...... HOFFNUNG Ach und ich hab mir das mal durchgelesen mit Navipromo, genau so ist das bei mir! es öffnen sich immer neue Fenster während ich im Netz bin! total Nervig!!!! Kann das auch noch mehr schaden anrichten? Danke mfg |
24.05.2009, 11:13 | #4 |
| Trojanische Pferd TR/Zlob.54528 Wir hoffen nicht, dass es noch mehr Schaden anrichten wird. Poste das Log von Navilog, wenn Du es erledigt hast.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
24.05.2009, 20:18 | #5 | ||
| Trojanische Pferd TR/Zlob.54528 So hab den scan durchgeführt... Zitat:
!!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Program Files\navilog1 Updated on 12.05.2009 at 18h00 by IL-MAFIOSO Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1 X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU T2330 @ 1.60GHz ) BIOS : Ver 1.00PARTTBL USER : Marco Frindt ( Administrator ) BOOT : Normal boot C:\ (Local Disk) - NTFS - Total:69 Go (Free:28 Go) D:\ (Local Disk) - NTFS - Total:69 Go (Free:50 Go) E:\ (CD or DVD) Search done in normal mode *** Search folders in "C:\Windows" *** *** Search folders in "C:\Program Files" *** *** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" *** *** Search folders in "c:\progra~2\micros~1\windows\startm~1" *** *** Search folders in "C:\ProgramData" *** *** Search folders in "c:\users\marcof~1\appdata\roaming\micros~1\windows\startm~1\programs" *** *** Search folders in "C:\Users\Marco Frindt\AppData\Local\virtualstore\Program Files" *** *** Search folders in "C:\Users\Marco Frindt\AppData\Local" *** *** Search folders in "C:\Users\Marco Frindt\AppData\Roaming" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\Windows\system32" * * Scan in "C:\Users\Marco Frindt\AppData\Local\Microsoft" * * Scan in "C:\Users\Marco Frindt\AppData\Local\virtualstore\windows\system32" * * Scan in "C:\Users\Marco Frindt\AppData\Local" * *** Search files *** *** Search specific Registry keys *** !! Following keys are not certainly all infected !! [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wsgya"="\"c:\\users\\marco frindt\\appdata\\local\\wsgya.exe\" wsgya" *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\Windows\system32" : * In "C:\Users\Marco Frindt\AppData\Local\Microsoft" : * In "C:\Users\Marco Frindt\AppData\Local\virtualstore\windows\system32" : * In "C:\Users\Marco Frindt\AppData\Local" : wsgya.dat found ! wsgya_nav.dat found ! wsgya_navps.dat found ! wsgya.bat found ! wsgya_navps.dat found ! 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate not found ! Montorgueil certificate not found ! OOO-Favorit certificate not found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search others known folders and files : *** Search completed on 24.05.2009 at 20:49:56,61 *** Zitat:
Und das andere hab ich nicht gefunden!!!! mfg |
24.05.2009, 20:22 | #6 |
| Trojanische Pferd TR/Zlob.54528 Navilog nochmal mit Option 2 durchlaufen lassen.
__________________ --> Trojanische Pferd TR/Zlob.54528 |
24.05.2009, 20:38 | #7 |
| Trojanische Pferd TR/Zlob.54528 Navipromo Removal version 3.7.7 started on 24.05.2009 at 21:28:14,59 Fix running from C:\Program Files\navilog1 Updated on 12.05.2009 at 18h00 by IL-MAFIOSO Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1 X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU T2330 @ 1.60GHz ) BIOS : Ver 1.00PARTTBL USER : Marco Frindt ( Administrator ) BOOT : Normal boot C:\ (Local Disk) - NTFS - Total:69 Go (Free:28 Go) D:\ (Local Disk) - NTFS - Total:69 Go (Free:54 Go) E:\ (CD or DVD) Automatic removal with Catchme and GNS results Cleanning stage done on Reboot *** fsbl1.txt not found *** (Check that Catchme found nothing in Search Mode) *** Deleting with Backups GenericNaviSearch results *** * Deletion in "C:\Windows\System32" * * Deletion in "C:\Users\Marco Frindt\AppData\Local\Microsoft" * * Deletion in "C:\Users\Marco Frindt\AppData\Local\virtualstore\windows\system32" * * Deletion in "C:\Users\Marco Frindt\AppData\Local" * *** Deleting folders in "C:\Windows" *** *** Deleting folders in "C:\Program Files" *** *** Deleting folders in "c:\progra~2\micros~1\windows\startm~1\programs" *** *** Deleting folders in "c:\progra~2\micros~1\windows\startm~1" *** *** Deleting folders in "C:\ProgramData" *** *** Deleting folders in c:\users\marcof~1\appdata\roaming\micros~1\windows\startm~1\programs *** *** Deleting folders in "C:\Users\Marco Frindt\AppData\Local\virtualstore\Program Files" *** *** Deleting folders in "C:\Users\Marco Frindt\AppData\Local" *** *** Deleting folders in "C:\Users\Marco Frindt\AppData\Roaming" *** *** Deleting files *** *** Deleting temporary files *** Cleaning of C:\Windows\Temp done ! Cleaning of C:\Users\MARCOF~1\AppData\Local\Temp done ! *** Complementary Search *** (Search specific files) 1)Deletion with backups new Instant Access files: 2)Heuristic search and deletion with backups : * In "C:\Windows\system32" * * In "C:\Users\Marco Frindt\AppData\Local\Microsoft" * * In "C:\Users\Marco Frindt\AppData\Local\virtualstore\windows\system32" * * In "C:\Users\Marco Frindt\AppData\Local" * wsgya.dat found ! Copy wsgya.dat done ! wsgya.dat deleted ! wsgya_nav.dat found ! Copy wsgya_nav.dat done ! wsgya_nav.dat deleted ! wsgya_navps.dat found ! Copy wsgya_navps.dat done ! wsgya_navps.dat deleted ! wsgya.bat found ! Copy wsgya.bat done ! wsgya.bat deleted ! *** Copy Registry to Safebackup folder *** Backing up Registry done ! *** Cleaning Registry *** Registry cleaned *** Certificates *** Egroup Certificate not found ! Electronic-Group Certificate not found ! Montorgueil Certificate not found ! OOO-Favorit Certificate not found ! Sunny-Day-Design-Ltd Certificate not found ! *** Search others known folders and files *** *** Cleaning stage complete on 24.05.2009 at 21:33:18,62 *** und schlimm? machst du das eigentlich privat? |
24.05.2009, 20:45 | #8 |
| Trojanische Pferd TR/Zlob.54528 Meldet sich Avira noch? Navipromo haben wir los. Scanne nochmal mit Malwarebytes.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
25.05.2009, 18:51 | #9 | |
| Trojanische Pferd TR/Zlob.54528 also bisher keine Meldung mehr!!! und im netz öffnen sich auch keine anderen seiten mehr! aber noch bei Avira in Quarantäne? Zitat:
Datenbank Version: 2176 Windows 6.0.6001 Service Pack 1 25.05.2009 12:21:14 mbam-log-2009-05-25 (12-21-14).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 180534 Laufzeit: 2 hour(s), 1 minute(s), 20 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
25.05.2009, 18:59 | #10 |
| Trojanische Pferd TR/Zlob.54528 Poste bitte eine Uninstall liste: 1. Öffne Hijackthis 2. Open the Misc Tool section 2. Open Uninstall manager 3. Save List Logdatei hier rein kopieren. Systemwiederherstellung in Vista deaktivieren: Systemwiederherstellung deaktivieren unter Vista - Windows Vista Tipps Tricks Computer PC Hilfe
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
25.05.2009, 19:59 | #11 |
| Trojanische Pferd TR/Zlob.54528 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office system Activation Assistant for the 2007 Microsoft Office suites Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin Adobe Reader 7.0.8 - Deutsch Adobe Shockwave Player Agere Systems HDA Modem Alice Software 4.9.2 Atheros WLAN Client Audiograbber 1.83 SE Avira AntiVir Personal - Free Antivirus AVStation Now Business Contact Manager für Outlook 2007 SP1 Business Contact Manager für Outlook 2007 SP1 Compatibility Pack for the 2007 Office system DVD Suite Easy Battery Manager Easy Display Manager Easy Network Manager 3.0 Easy SpeedUp Manager Favorit Google Toolbar for Internet Explorer Google Toolbar for Internet Explorer HijackThis 2.0.2 Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) imagine digital freedom - Samsung Malwarebytes' Anti-Malware Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 SP1 Microsoft Office 2007 Primary Interop Assemblies Microsoft Office Access MUI (German) 2007 Microsoft Office Excel MUI (German) 2007 Microsoft Office Live Add-in 1.3 Microsoft Office Outlook MUI (German) 2007 Microsoft Office PowerPoint MUI (German) 2007 Microsoft Office Professional Hybrid 2007 Microsoft Office Proof (English) 2007 Microsoft Office Proof (French) 2007 Microsoft Office Proof (German) 2007 Microsoft Office Proof (Italian) 2007 Microsoft Office Proofing (German) 2007 Microsoft Office Publisher MUI (German) 2007 Microsoft Office Shared MUI (German) 2007 Microsoft Office Small Business Connectivity Components Microsoft Office Word MUI (German) 2007 Microsoft Silverlight Microsoft SOAP Toolkit 2.0 SP2 Microsoft SQL Server 2005 Microsoft SQL Server 2005 Express Edition (MSSMLBIZ) Microsoft SQL Server Native Client Microsoft SQL Server VSS Writer Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Navilog1 3.7.7 Play AVStation PowerDVD Pro Evolution Soccer 2009 RealPlayer Realtek High Definition Audio Driver Samsung Magic Doctor Samsung Recovery Solution II Samsung Update Plus Samsung Update Plus Security Update for 2007 Microsoft Office System (KB951550) Security Update for 2007 Microsoft Office System (KB951944) Security Update for 2007 Microsoft Office System (KB960003) Security Update for Microsoft Office Excel 2007 (KB959997) Security Update for Microsoft Office PowerPoint 2007 (KB957789) Security Update for Microsoft Office Publisher 2007 (KB950114) Security Update for Microsoft Office system 2007 (KB954326) Security Update for Microsoft Office system 2007 (KB956828) Security Update for Microsoft Office Word 2007 (KB956358) Synaptics Pointing Device Driver Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch) Update for 2007 Microsoft Office System (KB967642) Update for Microsoft Office Excel 2007 Help (KB957242) Update for Microsoft Office Outlook 2007 (KB952142) Update for Microsoft Office Outlook 2007 Help (KB957246) Update for Outlook 2007 Junk Email Filter (kb968503) User Guide VideoLAN VLC media player 0.8.6i WIDCOMM Bluetooth Software 6.0.1.5000 Windows Live Anmelde-Assistent WinRAR archiver XMedia Recode 2.1.0.3 Warum Systemwiederherstellung ausschalten? |
25.05.2009, 20:16 | #12 | |
| Trojanische Pferd TR/Zlob.54528 Hallo, Deinstalliere:
Installiere: Adobe - Adobe Reader herunterladen - Alle Versionen Fixen mit HJT: Öffne Hijackthis -> Do a System scan only -> Markiere folgende Einträge (Haken davorsetzen): Zitat:
Wiederhole die Suche und das Entfernen mit dem Regseeker entweder zehnmal oder solange bis entweder keine oder immer die gleichen grünen gefunden werden.[/QUOTE]
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! Geändert von Angel21 (25.05.2009 um 20:56 Uhr) |
25.05.2009, 21:23 | #13 |
| Trojanische Pferd TR/Zlob.54528 So bin schon bei!!! aber Favorit kriege ich nicht runter! |
25.05.2009, 21:38 | #14 |
| Trojanische Pferd TR/Zlob.54528 Öffne Hijackthis, gehe auf -> Open the Misc Tool Section -> Open Uninstall Manager -> markiere "Favorit" und gehe rechts auf "Delete this entry".
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
25.05.2009, 21:49 | #15 | |||||
| Trojanische Pferd TR/Zlob.54528Zitat:
erledigt Zitat:
Zitat:
Zitat:
Zitat:
mfg danke für die gedult |
Themen zu Trojanische Pferd TR/Zlob.54528 |
adobe, agere systems, antivir, antivir guard, avg, avira, bho, defender, desktop, explorer, google, helper, hijack, internet, internet explorer, log, log file, pdf, programm, programme, scan, software, system, virus, vista, windows |