Hallo,

ich habe folgendes Problem. Ich hoffe, es ist ok, wenn ich etwas weiter aushole….

Ich habe auf irgendeiner Seite (Ich glaube, es war die Homepage von RTL oder Sat1…..) auf nen link geklickt, wo stand, dass man hier Fußball Champions League gucken kann. Dann hat firefox heftigst Alarm geschlagen, als ich eine Software runterladen wollte. Ich hab es dann einfach ignoriert (Bitte jetzt nicht fragen, warum.) und installiert. Seitdem habe ich folgende Probleme:

1. firefox startet extrem langsam, fühlt sich beim surfen sehr langsam an und lässt sich oft nicht beenden bzw. wenn ich es beende und erneute starten will, kriege ich ne Meldung, dass firefox immer noch aktiv ist. Ich habe den Prozess „firefox.exe“ dann immer per Taskmanager beendet und dann ging es wieder.
2. Wenn ich XP runterfahren will, bekomme ich oft ne Meldung mit irgendwas von „nsappshell……“ lässt ich nicht beenden.
3. Wenn ich mit firefox oder auch IE surfe, öffnen sich ständig Werbefester in komplett neuen firefox bzw. IE – Fenster.

Ich habe meinen Computer mit allen, was mir so einfällt, durchgescannt (Sophos AV, Windows Defender, Microsoft Tool zum Entfernen bösartiger Software, Spybot, Ad-Aware, Avira Antivir, usw. Es wurde nichts gefunden.

Nun hab ich im Windows Defender den Prozess aber ausmachen können:

"c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\ikmmyks.exe"

(Meinen Accountnamen hab ich gegen „user“ getauscht…..)

Das Installationsdatum des Programms stimmt exakt mit dem Datum meiner oben beschriebenen, dummen Downloadaktion überein.

Wenn ich den Prozess per Taskmanager beende, ist alles wieder gut und die Werbefenster erscheinen nicht und firefox arbeitet mit normaler Geschwindigkeit. Ich habe den Prozess desaktiviert im Windows Defender. Beim nächsten Neustart war er aber wieder da. Nun ist dieser Prozess aber heute nicht mehr aktiv (er ist aber immer noch im Defender unter deaktivierte Prozesse gelistet) und an seiner Stelle ist ein neuer aktiver Prozess (bzw. der Prozess hat nen neuen Namen):

„c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\ssgiaea.exe“

Die Probleme sind auch wieder vorhanden, wenn dieser Prozess im RAM ist. Wenn ich ihn per Taskmanager beende, ist alles wieder gut. Das Installationsdatum dieses Prozesses ist aber ein anderes als bei ikmmyks.exe, nämlich das heutige.

Was um alles in der Welt ist das und wie kriege ich die Malware von meinem System? Wieso wird wird er nicht erkannt von meinen ganzen Programmen, die ich über mein System hab laufen lassen? Eine Neuinstallation des ganzen Systems möchte ich, wenn möglich, umgehen, da ich sehr viele umständliche zu installierende bzw. schwer beschaffbare Programme auf dem Rechner habe und ich im Augenblick den Rechner jeden Tag für die Arbeit brauche.

Hallo und...

Bitte arbeite folgende Seite ab:
http://www.trojaner-board.de/69713-e...navipromo.html

Danke für die nette Begrüssung. Ich bin gerade auf der Arbeit und werde heute nach Feierabend mich an die Arbeit machen.

Bitte

Eine Frage hätte ich aber vorher noch:

Soll ich wirklich die ganze Liste

1. Systemwiederherstellung deaktvieren (was ich eh schon als Standard habe)
2. Navilog1 runterladen
3. SUPERAntiSpyware runterladen
4. Malwarebytes' Anti-Malware runterladen

sukzessive abarbeiten, oder sind SUPERAntiSpyware bzw. Malwarebytes lediglich als Alternativen zu Navilog1 gedacht?

Alles abarbeiten.
Der Navipromo, ist seit den letzten 2 Tagen absolut im kommen...
Navipromo ist zurück

Hallo nochmal,

ich poste jetzt mal die Textdatei nach dem ersten Schritt "Navilog" mit Option 1 (Meinen Vornamen kennt ihr jetzt auch, aber egal ), mach dann weiter und meld ich mit weiteren Antworten nach den nächsten Schritten:

Search Navipromo version 3.7.6 began on 21.04.2009 at 20:01:06,34

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor )
BIOS : Ver 1.00PARTTBLX
USER : Holger ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Not Activated)


C:\ (Local Disk) - NTFS - Total:227 Go (Free:140 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Holger\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Holger\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Holger\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Holger\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Holger\lokale~1\anwend~1" :

ssgiaea.exe found !
ssgiaea.dat found !
ssgiaea_nav.dat found !
ssgiaea_navps.dat found !

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 21.04.2009 at 20:08:49,50 ***

Ok, und weiter, nach Option 2:

Navipromo Removal version 3.7.6 started on 21.04.2009 at 21:21:31,68

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor )
BIOS : Ver 1.00PARTTBLX
USER : Holger ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Not Activated)


C:\ (Local Disk) - NTFS - Total:227 Go (Free:140 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)


Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\Holger\lokale~1\anwend~1" *


* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *


*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Holger\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Holger\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Holger\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Holger\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\Holger\lokale~1\anwend~1" *


ssgiaea.exe found !
Copy ssgiaea.exe done !
ssgiaea.exe deleted !

ssgiaea.dat found !
Copy ssgiaea.dat done !
ssgiaea.dat deleted !

ssgiaea_nav.dat found !
Copy ssgiaea_nav.dat done !
ssgiaea_nav.dat deleted !

ssgiaea_navps.dat found !
Copy ssgiaea_navps.dat done !
ssgiaea_navps.dat deleted !


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***



*** Cleaning stage complete on 21.04.2009 at 21:26:33,26 ***

Und weiter....nach Superantispywarescan:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/21/2009 at 10:42 PM

Application Version : 4.26.1000

Core Rules Database Version : 3856
Trace Rules Database Version: 1808

Scan type : Complete Scan
Total Scan Time : 00:36:15

Memory items scanned : 260
Memory threats detected : 0
Registry items scanned : 7183
Registry threats detected : 0
File items scanned : 25566
File threats detected : 33

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Holger\Cookies\holger@webmasterplan[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@smartmedia.allyes[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@2o7[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@bwinde.122.2o7[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@adtech[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@indextools[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@www.etracker[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@de2.komtrack[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@valueclick[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@ad.taz[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@www.googleadservices[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@track.webtrekk[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@counter.sexsuche[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@ad.auerbach-verlag[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@tribalfusion[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@adbrite[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@www.sexmenue[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@track.webtrekk[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@adserving.favorit-network[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@serving-sys[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@xiti[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@windowsmedia[2].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Holger\Cookies\holger@perf.overture[1].txt

Adware.Vundo/Variant-MSFake
C:\PROGRAMME\NAVILOG1\REG.EXE

Trace.Known Threat Sources
C:\Dokumente und Einstellungen\Holger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HL1NRQ36\g_default[1].gif

Ich hab nen lenovo Thinkpad. Da ist ne ganze Menge Bloatware drauf. Vielleicht liegts daran. Ich hab den Hijacklogfile auch noch auf der Hijackpage gepostet: Da hab ich z. B. für den Prozess "tsnp2uvc.exe" nen Fragezeichen gekriegt. Dieser Prozess ist auch im Defender noch aufgeführt. Aber ansonsten scheint alles ok zu sein. Die Symptome sind jedenfalls wech.

Ich habe gestern den CCleaner drüber laufen lassen (was ich sowieso schon immer mal machen wollte) nach der Anleitung, die hier im Forum steht. Ist auch soweit alles gut gegangen, soweit ich das beurteilen kann. Ich habe alle Programme probeweise gestartet, um zu sehen, ob irgenwas gelöscht wurde, was nicht gelöscht werden sollte; war aber alles ok. Allerdings ist das Fenster "Windows wird gestartet" vor der Passworteingabe/Fingerprinteingabe beim Bootvorgang jetzt viel viel länger zu sehen, als vorher der Säuberungsaktion mit CCleaner. Ob der gesamt Bootvorgang länger dauert, hab ich nicht gemessen; allerdings denke ich schon. Hat jemand eine Idee dazu?

Problem ist gelöst. Danke dafür.