Liebe Gemeinde

Mein Internet Explorer öffnete seit ca. 6 Monaten völlig unmotiviert hier mal da Werbefenster von allen möglichen Anbietern. Nutze Windows XP und Norton Internet Security 2009. Hab diverse Malware Programme drüberlaufen lassen, ohne Erfolg. Habe Norton dann angeschrieben, da die Systemprüfung nichts fand. Im Chat hatte mir die Dame dann gesagt, dass sie von einem Virus ausgehe und dass von einem Experten hier online sofort bereinigt werden könnte. Sagte ich, klar, prima, sagte sie, 99,95 Euro per Master oder Visa, sagte ich, ähh nein, sagte sie, na dann nicht, frage ich, wozu habe ich denn ein Antiviren-Programm, sagte sie, na das kann ja nicht alles kennen, sagte ich auf wiedersehen.

Hab das Problem dann nochmals gegoogelt und bin auf euer Board gestoßen. Da ich endlich mal frei habe, habe ich es heute in Angriff genommen, hab Punkt 1 und Punkt 2 der Anleitung durch und siehe da, KEINE WERBUNG mehr. Wer bekommt jetzt die 100,- Euro?

Ich wollte mich an dieser Stelle bei euch für die Hilfestellung bedanken. Bin PC-Laie und hab mich erst nicht rangetraut. Dass es nun so einfach war (dank der sehr guten Anleitung), freut mich sehr. Ich poste nun noch das mbam-log, da ich mir nicht sicher bin, ob es für den ein oder anderen hier von Interesse ist. Wie gesagt, vielen lieben Dank!!!





Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2220
Windows 5.1.2600 Service Pack 3

03.06.2009 14:10:50
mbam-log-2009-06-03 (14-10-50).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 194888
Laufzeit: 27 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gqekkeq (Trojan.Agent.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Ron\lokale einstellungen\anwendungsdaten\gqekkeq.exe (Trojan.Agent.H) -> Delete on reboot.

Hallo, und

Gehen immer Werbefenster auf im Browser?
Dann handelt es sich höchst wahrscheinlich um Navipromo.

Bitte einmal folgendes abarbeiten:
Entfernung von Navipromo:
Deaktivieren der Systemwiederherstellung
Windows XP:

• Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
• Wähle den Reiter "Systemwiederherstellung"
• Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
• Jetzt den PC booten, der Start kann eine Weile dauern
• Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

• Windows Vista:
• Windows Vista Symbol anklicken
• In die Suche "Wiederherstellung" eingeben => das gefundene Tool starten
• Klicke auf den link systemwiederherstellung aktivieren - deaktivieren
• Klicke im nächsten Hilfefenster auf >> Klicken Sie hier, um "System" zu öffnen.<<
• Wähle "Computerschutz" => dann fortsetzen Auswahl* treffen, für welche datei die SWH aktiviert werden soll
• Button "übernehmen" drücken => sofort ein SWHP erstellen in dem du den Button "erstellen" drückst. Wenn du die Systemwiederherstellung wieder deaktivieren möchtest, dann die *Auswahl aufheben, das ausschalten bestätigen und den Button "übernehmen" drücken.

Erklärung
Im Verlauf der Infektion wurden auch infizierte Dateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.



Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.


Navilog sollte etwas finden das wird im Log durch oucoayg.exe found ! oder ccjyh.exe found ! deutlich.


Rufe das Programm bitte erneut auf und wähle die Option 2

• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
• Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit [Strg][Alt][Entf] den Taskmanager auf und wähle unter Prozesse => Neuer Task ausführen aus. Gib dort explorer ein.


SUPERAntiSpyware

• Downloade SASW >>hier<<
• Installiere das SUPERAntiSpyware für alle Benutzer mit den vorgegebenen Installationseinstellungen
• Starte es und klicke auf "Check for Updates...". Nachdem dem Update erscheint ein Protokollfenster, schließe es mit "close"
• Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntiSpyware when Windows starts" sollte kein Haken sein
• Wähle nun den Reiter "Scanning Control" und setze Haken bei:
  
• Close browseres before scanning
  
• Scan for tracking cookies
  
• Resolve Links/Shortcuts during scan (.Ink)
  
• Scan Alternate Data Streams
  
• Use Kernel Direct File Access (recommended)
  
• Use Kernel Direct Registry Access (recommended)
  
• Use Direct Disk Access (recommended)
  
• Display scan option in Explorer context (right-click) menu

Wechsel in den abgesicherten Modus:

• Starte den PC neu
• Drücke beim Hochfahren mehrmals die Taste [F8]
• Es erscheint ein Windows-Menü, navigiere dich mit den Pfeiltasten zu der Option abgesicherter Modus
• bestätige mit der Eingabetaste

• Starte nun im abgesichertem Modus SASW
• Klicke im Hauptmenü den Button "Scan your Computer..."
• Wähle in der Scan Location alle Festplatten und externe Datenträger aus
• Klicke auf "Perform Complete Scan" und gehe auf "weiter"
• Achte darauf dass die Funde in der Box markiert sind, danach klicke auf "weiter"
• Das Log findest du unter "Preferences..." => "Statistics/Logs" => klicke das Log an => "View Log..."
• Poste nun das Log

Malwarebytes' Anti-Malware

• Installieren mit den vorgegegebenen Einstellungen
• Updaten
• Vollständigen Scan durchführen
• Alle Funde löschen lassen

Alle entstandene Logfiles im Forum posten zusätzlich noch ein HijackThis Logfile.[/QUOTE]

1.) Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

• Kaspersky Online Scanner
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Java muss installiert, aktiv und erlaubt sein.
  • Bebilderte Anleitung von sundavis.
  • Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
  • Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Die Datenschutzerklärung akzeptieren.
  • Programm installieren lassen.
  • Update der Signaturen installieren lassen.
  • Wenn der Status "Complete" ist,
  • Scan-Einstellungen (Settings) Standard lassen
  • Links den Link "My Computer" anklicken.
  • Scan beginnt automatisch.
  • Wenn der Scan fertig ist, auf "View scan report" klicken,
  • "Save report as" und Dateityp auf .txt umstellen,
  • und auf dem Desktop als Kaspersky.txt speichern.
  • Logdatei hier posten.
  • Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

@ 4RobSen8: Vielen Dank aber ich habe mich nur bedanken wollen. Das Problem mit der Werbung war nach Ausführung von Malwarebytes behoben. Keine Werbung mehr! Wie gesagt, wollte mich lediglich bedanken. Hab das Logfile gepostet, falls hier irgendjemand damit etwas anfangen kann.

MfG

DJRon

Ich würde trotzdem das ganze Prozedere durchführen...!

...es sieht mir stark nach Navipromo aus...

Auch wenn die Symptome verschwunden seien sollten..., heisst das nicht das du befreit bist!

@ 4RobSen8: Was genau ist denn Navipromo? Und was hat Malwarebytes bei mir gefunden? Also bis jetzt ist alles prima.

Zu deiner allerersten Frage, es ging immer ein neues Fenster auf. Da gab es aber die gesamten Symbole oben nicht, keine Adressleiste oder sonst irgendwas. In der Taskleiste unten war auch kein "Blaues E" vor dem Seitennamen sondern so ein komisches buntes Symbol. Es ging halt immer unterschiedliche Werbung auf. War man auf expedia dann ging irgendeine Reiseseite auf, als ich bei Symantec gesucht habe, ging ne McAffee-Seite auf. Es hatte also immer einen gewissen Bezug zum Thema der geöffneten Seite. Allerdings ging es nicht immer auf, sondern sporadisch, ich würde mal sagen, so jede dritte Seite kam dann ein Werbefenster.

Navipromo ist zurück

Zitat:

c:\dokumente und einstellungen\Ron\lokale einstellungen\anwendungsdaten\gqekkeq.exe (Trojan.Agent.H) -> Delete on reboot.

Das ist der klassische Pfad für Navipromo, sowie eine zufällig generierte Benennung der Exe-Datei.
Bei anderen Fällen heisst der zb:
O4 - HKCU\..\Run: [yqsqa] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\yqsqa.exe"


ergo: Befolge trotzdem die Anweisung unten...