|
eowoaoi.exe Hallo Leute, habe gestern abend von Spybot die Nachricht bekommen das eine eowoaoi.exe etwas in meiner StartRegistry ändern will. Ich habe das abgelehnt und nach ca. 1min kam erneut die Meldung..... und zwar ständig bis ich gesagt habe dauerhaft ablehnen. Dann bei Google und co mal den Begriff eowoaoi eingegeben....aber nichts! Weder Google noch die Suche hier im Board oder anderswo brachte überhaupt einen Treffer! Windows findet 4 oder 5 Dateien in der ganz normalen Suche unter Start-suchen- nach dateien suchen Die Dateien sind unter C:/Dokumente und Einstellungen/Username/Anwendungsdaten zu finden. Es ist eine EXE Datei dabei die ich selbstverständlich nicht geöffnet habe. Auch löschen habe ich nicht probiert....noch nicht. Ich schreibe gerade von einem anderen Rechner da ich nicht will das irgendetwas auf meinem durch diese Dateien zerstört wird. (erst mal input sammeln) Daher sind meine Angaben möglichherweise für euch auch etwas spärlich. Zum System: Ich benutze XPSp2. Antivir in der neusten Fassung, Comodo Firewall und Spybot Search and Destroy. So hoffe das reicht erst mal.....würde mich mal interessieren was ihr davon so haltet. Ist möglicherweise was Neues im Umlauf???? Mir scheint es fast so! Gruß Svendam |
Hi, Sieht verdächtig nach Navipromo aus. Poste ein HijackThis Logfile und führe unter anderem das aus: Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. |
Hi Silent Shark, danke für deine schnelle Antwort, leider war es mir nicht möglich dir genau so schnell zu antworten. Doch nun zum Thema. Ich habe das Hijack Log jetzt fertig. Mal sehn ob ich das auch gepostet bekomme. Mir ist da nichts besonderes aufgefallen, nur muss ich zugeben ist das ganze Thema ziemlich "Neuland" für mich. Der Navilog1 hat die entsprechenden Dateien gefunden.... genau wie ich mit der Windows Suche auch schon. Ich bitte um weitere Tips: Bis hier hat ja schon mal alles ganz gut gklappt. Danke schon mal dafür, Silent Shark! Gruß Svendam |
Gut, dann gehts so weiter: 1.) Navilog1:
Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein. 2.) Dateien Online überprüfen lassen:
Code: C:\DOKUME~1\BIGBOS~1\ANWEND~1\MAGSHI~1\fordtime.exe
|
So das Navclean hat funktioniert, nur die Dateien die du in deinem letzten Post angegben hast, welche ich bei virtustotal scannen lassen sollte sind nicht vorhanden. Oder sollte ich da irgendwo was falsch gemacht haben? Erst mal jetzt das log von cleannav. |
Sieht gut aus ;) Navilog1 kannst du jetzt wieder deinstallieren. Zur Überprüfung (bzgl. den Dateien) bitte noch das Tool laufen lassen: ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix) |
Habe Windows noch mal nach den Dateien suchen lassen.....sie sind noch da..... allerdings jetzt unter C:Programme/Navilog1/Backupnavi Ok, wie ich im Log gesehen habe hat das Progamm die Dateien ins Backup kopiert und anschließend beim vorherigen Pfad gelöscht. Ich habe keine sich ständig öffnenden Browserfenster mehr (so wie viele andere das auch beschrieben hatten). Das ist ja schon mal was positives! Kann man denn jetzt nicht einfach die Dateien im Backup löschen? Oder können sie von dort aus eh keinen Schaden mehr anrichten? Ich hab es zwar nicht probiert, aber im vorherigen Pfad konnte man sie wohl nicht löschen, so wie ich hier im Board gelesen habe!? |
Ok da warst du schneller.....werd ich mal eben machen was du geschrieben hast..melde mich dann. |
Wenn du Navilog1 deinstallierst, verschwindet auch das Zeug. ;) Zitat:
|
Ahhh ich verstehe.....:) Werd ich gleich mal abchecken! So habe alles soweit ausgführt wie du es mir beschrieben hast. Hier das Log: "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 c:\windows\system32\bthprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360] c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\ DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2007-10-08 1085440] c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\ DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2007-10-08 1085440] c:\dokumente und einstellungen\Big Boss\Startmen\Programme\Autostart\ DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2007-10-08 1085440] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - d:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] Photo Express Calendar Checker SE.lnk - d:\programme\CalCheck.exe [2006-03-12 55296] WISO Urteilsmonitor.lnk - c:\programme\WISO\Sparbuch 2007\rswisoservice.exe [2007-02-25 327680] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\sessmgr.exe"= "d:\\Programme\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"= R3 LCcfltr;Logitech USB Filter Driver;c:\windows\system32\drivers\lccfltr.sys [2006-02-11 13727] R3 TDslMgrService;DSL-Manager;"c:\programme\T-Online\DSL-Manager\DslMgrSvc.exe" [2007-10-08 294912] R3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys [2007-10-08 13824] S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\Drivers\dsltestSp5.sys [2008-04-07 26816] S3 S6U12Scanner;MUSTEK 1200 CU Still Image Device Service;c:\windows\system32\drivers\usbscan.sys [2006-03-12 15104] . Inhalt des "geplante Tasks" Ordners 2006-08-07 c:\windows\Tasks\AD7D612C91A31514.job - c:\dokume~1\bigbos~1\anwend~1\magshi~1\Balm htm open.exe [] . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{B4852BC1-765A-50A7-9659-71DB8454999A} - (no file) HKLM-Run-show peak sixth pop - c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrayRefShowPeak\move media.exe HKLM-Run-T-Online DSL-Manager - c:\programme\T-Online\DSL-Manager\TODslMgr.exe HKLM-Run-Cmaudio - cmicnfg.cpl . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - c:\dokumente und einstellungen\Big Boss\Anwendungsdaten\Mozilla\Firefox\Profiles\92bdsfm1.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll FF -: plugin - d:\programme\Adobe\Acrobat 5.0\Reader\browser\nppdf32.dll FF -: plugin - d:\programme\Adobe\Acrobat 5.0\Reader\Browser\nppdf32.dll FF -: plugin - d:\programme\Mozilla Firefox\plugins\npnul32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-27 21:59:31 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1056) c:\windows\system32\Ati2evxx.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\windows\system32\rundll32.exe c:\programme\AntiVir PersonalEdition Classic\sched.exe c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe d:\programme\Comodo\Firewall\cmdagent.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\rundll32.exe c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-11-27 22:02:28 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-11-27 21:02:24 Vor Suchlauf: 5.734.817.792 Bytes frei Nach Suchlauf: 5,682,024,448 Bytes frei 145 Wars das jetzt???? Oder ist immer noch was drauf von den kleinen bösen Biestern? |
Das Log ist unvollständig. Bitte das komplette Logfile posten, in [code]-Tags: HTML-Code: [CODE]Hier das Logfile rein![/CODE] |
Hmmm, Navilog habe ich gelöscht, aber die bösen Dateien sind noch im Backup von Navilog drin? Windows findet sie. Oder sollte ich den ganzen Prozess machen nachdem ich Navilog gelöscht habe? Schitt! Dann hab ich wohl Mist gebaut. |
Lösch den Ordner einfach. Kommt die Werbung noch? Ich denke mal nicht. ;) |
Ne ne Werbung ist weg! Ok soll ich jetzt erst mal noch mal das Log posten? Sorry bin mit den ganzen Dingen wie hier was zu posten ist usw. nicht so firm! Versuch es gleich mal wie du es eben vorgemacht hast. Dann meinst du ich soll einfach den Ordner löschen??? Ok mach ich!! |
Den Ordner Backup von Navilog1 löschen, ja. Und das komplette Log von Combofix :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board