baumliebe 16.05.2009 11:09

Search Navipromo version 3.7.7 began on 16.05.2009 at 11:40:46,09

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from D:\Programme\navilog1

Updated on 12.05.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel Pentium III-Prozessor )
BIOS : Award Modular BIOS v4.51PG
USER : qs ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition (Activated)

A:\ (USB)
C:\ (Local Disk) - FAT - Total:0 Go (Free:0 Go)
D:\ (Local Disk) - NTFS - Total:13 Go (Free:3 Go)
E:\ (CD or DVD)
I:\ (Local Disk) - FAT32 - Total:465 Go (Free:302 Go)

Search done in normal mode

*** Search folders in "D:\WINDOWS" ***

*** Search folders in "D:\Programme" ***

*** Search folders in "D:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

...\InternetGameBox found !
...\WebMediaPlayer found !

*** Search folders in "D:\Dokumente und Einstellungen\All Users\startm~1" ***

*** Search folders in "d:\dokume~1\alluse~1\anwend~1" ***

*** Search folders in "D:\Dokumente und Einstellungen\qs\anwend~1" ***

*** Search folders in "D:\DOKUME~1\Gast\anwend~1" ***

*** Search folders in "D:\Dokumente und Einstellungen\qs\lokale~1\anwend~1" ***

*** Search folders in "D:\DOKUME~1\Gast\lokale~1\anwend~1" ***

*** Search folders in "D:\Dokumente und Einstellungen\qs\startm~1\progra~1" ***

*** Search folders in "D:\DOKUME~1\Gast\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : GMER - Rootkit Detector and Remover

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "D:\WINDOWS\system32" *

* Scan in "D:\Dokumente und Einstellungen\qs\lokale~1\anwend~1" *

* Scan in "D:\DOKUME~1\Gast\lokale~1\anwend~1" *

*** Search files ***

D:\WINDOWS\system32\nvs2.inf found !

*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "D:\WINDOWS\system32" :

* In "D:\Dokumente und Einstellungen\qs\lokale~1\anwend~1" :

omwyk.exe found !
omwyk.dat found !
omwyk_nav.dat found !
omwyk_navps.dat found !

* In "D:\DOKUME~1\Gast\lokale~1\anwend~1" :

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :

*** Search completed on 16.05.2009 at 12:08:14,46 ***

john.doe 16.05.2009 11:13

InternetGameBox und WebRadioPlayer. :) Einer hätte gereicht. ;)

Gleich noch einmal laufen lassen, diesmal mit Option 2 und wieder Log posten.

ciao, andreas

baumliebe 16.05.2009 11:17

ok..habs gestartet..
danke bis jetzt=)

john.doe 16.05.2009 11:19

Gern geschehen. Du bist niedlich. :)

ciao, andreas

baumliebe 16.05.2009 11:40

Navipromo Removal version 3.7.7 started on 16.05.2009 at 12:17:25,28

Fix running from D:\Programme\navilog1

Updated on 12.05.2009 at 18h00 by IL-MAFIOSO

Automatic removal
with Catchme and GNS results

Cleanning stage done on Reboot

*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "D:\WINDOWS\System32" *

* Deletion in "D:\Dokumente und Einstellungen\qs\lokale~1\anwend~1" *

* Deletion in "D:\DOKUME~1\Gast\lokale~1\anwend~1" *

*** Deleting folders in "D:\WINDOWS" ***

*** Deleting folders in "D:\Programme" ***

*** Deleting folders in "D:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

...\InternetGamebox ...deleting...
...\InternetGamebox deleted !

...\WebMediaPlayer ...deleting...
...\WebMediaPlayer deleted !

*** Deleting folders in "D:\Dokumente und Einstellungen\All Users\startm~1" ***

*** Deleting folders in "d:\dokume~1\alluse~1\anwend~1" ***

*** Deleting folders in "D:\Dokumente und Einstellungen\qs\anwend~1" ***

*** Deleting folders in "D:\DOKUME~1\Gast\anwend~1" ***

*** Deleting folders in "D:\Dokumente und Einstellungen\qs\lokale~1\anwend~1" ***

*** Deleting folders in "D:\DOKUME~1\Gast\lokale~1\anwend~1" ***

*** Deleting folders in "D:\Dokumente und Einstellungen\qs\startm~1\progra~1" ***

*** Deleting folders in "D:\DOKUME~1\Gast\startm~1\progra~1" ***

*** Deleting files ***

D:\WINDOWS\system32\nvs2.inf deleted !

*** Deleting temporary files ***

Cleaning of D:\WINDOWS\Temp done !
Cleaning of D:\Dokumente und Einstellungen\qs\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :

* In "D:\WINDOWS\system32" *

* In "D:\Dokumente und Einstellungen\qs\lokale~1\anwend~1" *

omwyk.exe found !
Copy omwyk.exe done !
omwyk.exe deleted !

omwyk.dat found !
Copy omwyk.dat done !
omwyk.dat deleted !

omwyk_nav.dat found !
Copy omwyk_nav.dat done !
omwyk_nav.dat deleted !

omwyk_navps.dat found !
Copy omwyk_navps.dat done !
omwyk_navps.dat deleted !

D:\WINDOWS\prefetch\omwyk*.pf found !
Copy D:\WINDOWS\prefetch\omwyk*.pf done !
D:\WINDOWS\prefetch\omwyk*.pf deleted !

* In "D:\DOKUME~1\Gast\lokale~1\anwend~1" *

*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned

*** Certificates ***

Egroup Certificate deleted !
Electronic-Group Certificate deleted !
Montorgueil Certificate not found !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***

*** Cleaning stage complete on 16.05.2009 at 12:36:45,34 ***

und nun?

john.doe 16.05.2009 11:57

Ein Problem bist du jetzt los.

1.) Deinstalliere Navilog1.

2.) Klicke in meiner Signatur auf "Für alle Neuen", lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

Wenn du alles richtig machst, dann müssen hier ein Log von MalwareBytes, ein neues von HJT und eine Liste deiner Software erscheinen. :)

ciao, andreas

baumliebe 16.05.2009 12:01

ok..ich mach mal=)

baumliebe 16.05.2009 12:08

naviolog hat aber ja keine deinstalation mitgeliefert und es wird auch nicht unter Systemsteuerung/software angezeigt?
kann ich es einfach löschen?

john.doe 16.05.2009 12:09


:confused: Eigentlich lässt es sich "normal" deinstallieren.

kann ich es einfach löschen?
Nein, warte erstmal ab und mache weiter mit der Liste.

ciao, andreas

baumliebe 16.05.2009 12:10

das sehe ich jetzt mal als ja an=)

baumliebe 16.05.2009 14:47


Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2140
Windows 5.1.2600 Service Pack 3

16.05.2009 15:46:57
mbam-log-2009-05-16 (15-46-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|I:\|)
Durchsuchte Objekte: 155029
Laufzeit: 2 hour(s), 4 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\IGB (Rogue.Residue) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

baumliebe 16.05.2009 14:50


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:50:54, on 16.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
I:\Avira\AntiVir PersonalEdition Classic\sched.exe
I:\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
I:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Veoh Networks\Veoh\VeohClient.exe
D:\Programme\Mozilla Firefox\firefox.exe
I:\Qip 2\qip.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://*]]Yahoo! SearchBar Home Page[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =hxxp://*hxxp://]Yahoo![/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://]Orbit Downloader Start[/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://]Yahoo![/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://]Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = =hxxp://]Live Search[
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://]Yahoo!
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = =hxxp://*hxxp://]Yahoo!
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SMSTray] F:\SMSTray.exe
O4 - HKLM\..\Run: [AVMWlanClient] D:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "I:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] I:\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SweetIM] D:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [Veoh] "D:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "I:\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Eraser] I:\eraser\Eraser\eraser.exe -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = D:\Programme\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - ]hxxp://[
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - [hxxp://[/url]
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - [url]hxxp://[
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - I:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - I:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - Unknown owner - f:\IGDCTRL.EXE (file missing)
O23 - Service: AVM WLAN Connection Service - AVM Berlin - D:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

End of file - 6708 bytes

baumliebe 16.05.2009 14:54

und uninstall list
da sind echt alte sachen

7-Zip 4.57
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 8.1.3 - Deutsch
Adobe Shockwave Player
Apple Software Update
Archlord Episode 3
Ashampoo UnInstaller Platinum 2.81
ATI - Dienstprogramm zur Deinstallation der Software
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!Box Dokumentation
BayGenie Free Edition
Caplio Software
CCleaner (remove only)
DivX Codec
DivX Converter
DivX Player
DivX Web Player
Empire Earth
Football Generation
Game Maker 7.0
GIMP 2.6.6
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Google Updater
HijackThis 2.0.2
Hotel Gigant
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows XP (KB952287)
Java 2 Runtime Environment, SE v1.4.2
Jetboat Superchamps 2
Macrogaming SweetIM 2.0
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft Age of Empires
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Text-to-Speech Engine 4.0 (English)
Microsoft Visual C++ 2005 Redistributable
Motorola SM56 Speakerphone Modem
Mozilla Firefox (
Mozilla Firefox (3.0.10)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Navilog1 3.7.7
Nero Suite
NVDA 0.6p2 2.3
PCI Audio Driver
QIP 8081 Jeak-Edition
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
SilverFast Pie AFL-SE
TrackMania Nations Forever
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VLC media player 0.9.8a
Wild Wheels
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 10
Windows XP Service Pack 3
Yahtzee 123
Zattoo 3.3.3 Beta
Z-Calculate 1.0

john.doe 16.05.2009 15:11

Klicke bei deinem HJT-Log nochmal auf Editieren und entferne alle Links. Dann deinstallierst du alles, was du nicht mehr brauchst und stellst eine neue Softwareliste rein.

ciao, andreas

baumliebe 16.05.2009 15:19

ok..hab den log geändert..liste mach ich noch..=)

