Malwarebytes kann es nicht löschen ( Rogue.Multiple )
 

Hallo an alle.
Ich bin neu hier und habe ein problem, weiss aber nicht ob ich hier richtig bin.

wenn ich malwarebytes laufen lasse bekomme ich die meldung das eine datei infiziert ist----> C:/ Install.
Malwarebytes kann es aber nicht löschen ( auch nicht nach einem neustart )

Dann ist auch noch zu sagen, wenn ich ein browser öffne (firefox) geht automatisch eine weitere seite mit werbung auf. Zb: Ihr system ist gefährdet; oder dating mist.

ich habe hijackthis gemacht und gebe euch mal die logfile. In der Hoffnung auf schnelle hilfe.

Die logfile von malwarebytes gebe ich euch auch mal.

HIJACKTHIS:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:14:14, on 13.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\iesgo.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://w*w.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = h**p://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://w*w.crawler.com/search/ie.aspx?tb_id=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Programme\myBabylon\tbmyBa.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Programme\myBabylon\tbmyBa.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FortKnoxPersonalFirewall] "C:\Programme\NETGATE\FortKnox Personal Firewall 2008\FortKnoxGUI.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [iesgo] c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\iesgo.exe iesgo
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://sdlc-esd.sun.com/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?AuthParam=1215634448_753d0308518b914ae3146029990155f7&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab&File=jinstall-6u7-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08241DB7-8162-45EA-85FD-B32ABA6BFDE7}: NameServer = 62.220.18.8 89.246.64.8
O17 - HKLM\System\CS3\Services\Tcpip\..\{08241DB7-8162-45EA-85FD-B32ABA6BFDE7}: NameServer = 62.220.18.8 89.246.64.8
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 10174 bytes






MALWAREBYTES:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1012
Windows 5.1.2600 Service Pack 3

19:34:39 13.08.2008
mbam-log-8-13-2008 (19-34-39).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 38411
Laufzeit: 9 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Install (Rogue.Multiple) -> Delete on reboot.

ist aber nicht nach einem neustart weg!

Wie bekomme ich das weg ???
Wer kann mir was zu den logfils sagen ???

Danke schonmal im vorraus!!

Hallo

überprüfe dein System bitte mit Navilog
Lass die Datei C:\install....... bitte mal hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Danke für deine hilfe!

Navilog scan läuft gerade und C:install lasse ich gerade prüfen.

In dem ordner befinden sich mehrere sachen...
zB: Adobe, Alcohol120%, CodePack, Nero, Ultra DVD, WinAMP,Winrar,
zonealarm (nicht aktiviert) und ein fil regtweaks weiss aber nicht was das ist :(
Dauert etwas bis alles geprüft ist.

Ich benutze auch viel den Totalcommander.

hilft dir das weiter ??

navilog ist fertig !
Hier die Logfile:

Search Navipromo version 3.6.3 began on 13.08.2008 at 22:27:23,21

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Administrator"

Updated on 09.08.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" :

iesgo.dat found !
iesgo.exe found !
iesgo_nav.dat found !
iesgo_navps.dat found !

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 13.08.2008 at 22:33:30,39 ***


ich hoffe du kannst daraus was brauchbares lesen.

Hallo

Jupp das es sich wie vermutet um Adware Navipromo handelt;)

Kommen wir zum entfernen
ach.... ich dachte es handle sich um eine einzige Datei...
Da wird der Onlinescan wohl abbrechen, da die Datenmenge zu groß ist.

MFG

sorry wenn das alles etwas länger dauert.
der rechner hat sich aufgehangen.

Hier noch mal ne neue navilogfile:

Search Navipromo version 3.6.3 began on 13.08.2008 at 23:17:03,61

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Administrator"

Updated on 09.08.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 13.08.2008 at 23:20:23,27 ***


Und ich mache nochmal schritt 2 und poste es dann. ( wenn er sich nicht nochmal aufhängt)

so habs geschafft.
Was sagt dir dieses???

Report:
Navipromo Removal version 3.6.3 started on 13.08.2008 at 23:25:37,07

Fix running from C:\Programme\navilog1
Actual User Account : "Administrator"

Updated on 09.08.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" *



*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Administrator\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Administrator\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Administrator\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 13.08.2008 at 23:29:22,84 ***


Mir leider nicht viel.....
Muss mir alles irgentwie selber beibringen und bei diesem kapitel bin ich noch lange nicht angekommen....:(

Hallo

Kommen noch Popups?

Versuche nun nochmal Malwarebytes laufen zu lassen, aber bitte noch nix löschen.

Scanne dein System bitte noch zusätzlich mit Blacklight
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
das Log findest du im selben Ordner wo Blacklight abgelegt wurde.

MFG

Hier die neue Logfile.
Doch wie man liest ist die infizierte datei immernoch da ?!:headbang:

Was nun ???





Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1012
Windows 5.1.2600 Service Pack 3

23:58:52 13.08.2008
mbam-log-8-13-2008 (23-57-15).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 37991
Laufzeit: 7 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Install (Rogue.Multiple) -> No action taken.


dies ist die Logfile von blacklight:


08/13/08 23:44:38 [Info]: BlackLight Engine 1.0.70 initialized
08/13/08 23:44:38 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/13/08 23:44:39 [Note]: 7019 4
08/13/08 23:44:39 [Note]: 7005 0
08/13/08 23:44:45 [Note]: 7006 0
08/13/08 23:44:45 [Note]: 7011 1328
08/13/08 23:44:45 [Note]: 7035 0
08/13/08 23:44:45 [Note]: 7026 0
08/13/08 23:44:45 [Note]: 7026 0
08/13/08 23:44:49 [Note]: FSRAW library version 1.7.1024



Ich hoffe du schaust morgen nochmal drauf.
Nochmals danke im vorraus!!!

Ps: Popups gehen eben nicht mehr auf ........ *freu*

Moin

Blacklight ist sauber, erstelle mal ein frisches Hijackthis Log und eine Übersicht mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

die Logs kannst auch Codetags (die Raute # in der Antwortbox) posten d.h. so
MFG

Hier nochmal alles.......
Frisches hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:12:01, on 14.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Programme\myBabylon\tbmyBa.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Programme\myBabylon\tbmyBa.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FortKnoxPersonalFirewall] "C:\Programme\NETGATE\FortKnox Personal Firewall 2008\FortKnoxGUI.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?AuthParam=1215634448_753d0308518b914ae3146029990155f7&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab&File=jinstall-6u7-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08241DB7-8162-45EA-85FD-B32ABA6BFDE7}: NameServer = 62.220.18.8 89.246.64.8
O17 - HKLM\System\CS3\Services\Tcpip\..\{08241DB7-8162-45EA-85FD-B32ABA6BFDE7}: NameServer = 62.220.18.8 89.246.64.8
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 9943 bytes


Wo kannst du daraus was lesen ???:confused:

Hier nochmal die filelist komplett. (bei der 1. habe ich blöder weise nicht alles kopiert:headbang:)

Teil 2 der file ( ist zu gross )

3 teil der file:
ich hoffe es reicht----> system 32

rest folgt....

Dies weiss ich leider nicht was es ist ....
Hat keine " Überschrift ". Aber vllt. kannst du ja was mit anfangen.....

so und nun der ganze rest der file....

wenn ich das alles bezahlen müsste (deine Bemühungen) wäre ich sicherlich schon arm!!!:heulen:

Danke!

Hallo

ich zitier mich mal selbst.....
:rolleyes:
Ich hab mir jetzt auch nur die letzten Wochen angeschaut, lade dir mal den Ccleaner und lass dein System entmüllen;), lass auch die Registry bereinigen.
Kontrolliere anschließend bitte den Ordner
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

ob diese Dateien mitgelöscht wurden

etilqs_NrV7PkJkexjl6qkRbt1r
ose00000.exe

wenn nicht bitte händisch löschen.

So würdest du nicht werden, mein Stundesnsatz bewegt sich als Wartungstechniker unter 20€


Wie stehts mit den Popups gibt es noch Probleme?

MFG

habe alles mit dem ccleaner bereinigt..

Mit den popups geht es soweit gut also ich meine es kommen eben keine.

Die datei 00000.exe habe ich auch gelöscht.

Ich würde dich trotzdem nochmal bitten dir zur sicherheit mein aktuell frischen hijack anzusehen ob nun wirklich alles in Ordnung ist .......Ich möchte auf nummer sicher gehen.
Über tipps bzw. programme die ich sonst noch benötige zum schutz davor (deine empfehlungen) würde ich mich noch sehr freuen.....

hier aber noch mal hijack:

Vielen dank!!!! Du hast mir wirklich sehr geholfen!!!!
Ps: sollte ich vllt auch noch mal Malwarebyte und blacklight laufen lassen ????
Oder auch ne neue filelist ???

Moin

sollte nicht nötig sein.

Eine Aussage zu treffen ob ein System sauber ist, weil das Hijack Log sauber ist, währe gewagt, in deinem Log ist nix zu finden.

Programmtips gebe ich nicht sooo gerne, aber Malwarebytes als zusätzliches Scanprogramm finde ich nicht schlecht.
Was zu lesen --> Malte J. Wetz Online

Irgendwie hab ichs verissen:balla: ich hatte dich, glaub ich, falsch verstanden
lass bitte die Datei

C:\install.cmd

doch noch auswerten, eventuell schiessen wir sie dann mit Avenger ab ;).


MFG

Hallo,

Ich habe C:\install.cmd bei jotti scannen lassen. Dort wurde kein virus gefunden.

ich habe auch noch mal neu navilog erstell, Blacklight durchlaufen lassen und malwarebyte suchen lassen .

Mit ccleaner habe ich alle windows sachen und auch die registry bereinigen lassen.

alle log´s poste ich nochmal da ich nicht verstehe das malwarebyte immernoch den gleichen treffer meldet......:headbang::heulen:
Malwarebyte:
Blacklight:
Navilog:
Warum ist das so ???? --> DAS INTERNET IST GEGEN MICH <--

PS: Malwarebyte sagt dann immer nach der aktion "entferne Auswahl"
Infizierte Dateien:
"C:\Install (Rogue.Multiple) -> delete on reboot."

wie oft soll ich aber rebooten ???? Löschen kann es malwarebyte ja trotzdem nicht...:confused::heulen:

Langsam verzweifele ich............

sven

Hallo nochdigger,
Danke für den link " was zu lesen ". Ich habe mich mit der seite beschäftigt und muss leider zugeben das ich null ahnung von linux usw habe....
jedoch sind einige sachen sehr interresant.. schau dann bitte noch mal in deinem Nachrichtenfach... ( will das nicht öffentlich posten falls ich da was falsch verstanden habe:rolleyes: )

Ich habe mal noch antivir laufen lassen unter "experteneinstellungen";"agressiv suchen lassen" ( habe ich nachgelesen hier im board ) und siehe da was avira gefunden hat.....
Ich habe TR/Dropper.Gen ( mit avira ) zwar gelöscht aber wie kann es sein das es vorher sichtbar gewesen ist??

Nun bin ich aber etwas verwirrt:balla:

Hijack ist ok ???!! (kann es nicht finden richtig??? habe ich jedenfalls auch hier nachgelesen...)

Kommt daher evtl auch die infektion die in malwarebytes gefunden wird ??? ( seite " 2 " )

Was sagt nun blacklight im o.g. log ??? ( seite " 2 " )

Ich bin sogar sehr verwirrt...:balla::headbang:

Bitte hilf mir...---> führe mich vom dunkeln ins licht <---
Danke..


Nach erneutem suchlauf mit avira nichts mehr gefungen.....*nix mehr versteh*

Hallo

Na dann werd ich dir mal heimleuchten;)

versuche bitte im abgesicherten Modus (beim start F8 drücken) diese Datei
C:\install.cmd
in einen von dir angelegten Ordner zu verschieben.

Dein Hijack Log war/ist unauffällig

Der "Schädling" ist mitgesichert worden in der Systemwiederherstellung, um ihn loszuwerden deaktiviere bitte die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.

MFG

Haollo nochdigger,

ich habe die systemwiederherstellung aus gemacht und alles befolgt wie es dort steht.

Im abgesicherten modus habe ich dann auch noch mal mbam laufen lassen was aber da nichts gefunden hat...

nach dem neustart im " normalbootmodus " lies ich mbam noch mal zur kontrolle laufen und die infektion war wieder da.

wie können wir jetzt noch weiter fortfahren ??

sven

Hallo

dann lade dir bitte Avenger runter
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text (inhalt der Codebox) in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

MFG

Hallo nochdigger,

Hier die logfile von Avenger:
ich hatte den avenger auch so schon mal runtergeladen ( du sagtest/schriebst ) das wir dann mit avenger abschliessen.

Hier mal die logfile vom 1. scan:

Leider findet mbam immernoch die infizierung...........:heulen:

Sven

Hallo nochdigger,

die log`s sehen für mich als nichtprofi gut aus.

was könnte man nun noch machen ??
Ich lese immer mal wieder combofix.......

Es damit mal versuchen ????

LG sven

Hallo

Hm, Combofix hatte ich auch schon überlegt, was mich aber ein wenig (Mücke auf der Tastatur breitgeschlagen:crazy: ) stuzig macht ist, dass die Datei von 2004 sein soll.
Was für Informationen erhälst du, wenn du die Datei mit der rechten Maustaste anklickst und nach den Eigenschaften schaust?


MFG

Hi,

würdest du mir zuliebe bitte ein filelisting mit diesem script erstellen: - Script abspeichern per Rechtsklick, speichern unter auf dem Desktop - Doppelklick auf listing7.cmd auf dem Desktop - nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille

hallo myrtille,

Hier schon mal die gewünschten sachen...

Ich hoffe ihr könnt was daraus lesen....

ps: Ich hoffe es ist so richtig.....
Lg Sven

Hallo nochdigger,

Also wenn ich die eigenschaften wähle bekomme ich folgende infos:

Typ : Ordner

Ort : C:\

Grösse: 99,8 MB (104.661.852 Bytes)

Grösse auf datenträger : 99,8 MB (104.714.240 Bytes)

Inhalt: 19 Dateinen, 8 Ordner

Attribute: Schreibgeschützt

Erstellt: 19.MAI 2008

Naja drin steckt das alles ......

NERO ., Ultra DVD, WINAMP; WINRAR, regtweak, CodePack, AcrobatReader;
ZoneAlarm ( aber nicht aktiv ) naja und ein programm das wohl nicht so doll ist .... Alcohol120%:heilig:


Sind das die gewünschten Infos ????

Lg Sven

Hi,

ja, ist richtig. :)

Lade dir bitte die angehängt bat-Datei herunter und führe sie mit einem Doppelklick aus.
Poste das Log dann bitte hier. :)

Aktualisiere bitte danach Malwarebytes und lass einen neuen Scan durchführen, poste das Ergebnis hier.

lg myrtille

Hallo myrtille,

hier ist schon mal das log der bat.datei:

danke für eure hilfe..

Lg Sven

Hier noch mal das log ( nach der aktualisierung) von mbam:

was ich aber jetzt nicht verstehe ist das nun keine infektionen gefunden wurden ???!!!:headbang::confused:
ich habe weder was gelöscht noch etwas anderes bislang unternommen .....

LG Sven *nixmehrversteh*

Hi,
Malwarebytes arbeitet mit verschiedenen Erkennungsmethoden, bei einer dieser Methoden kam es bei dem Ordner C:\Install zu Fehlalarmen, weswegen die Erkennnung vorerst entfernt wurde.
Ich wollte sehen, ob es sich bei dir um einen Fehlalarm durch diese Erkennung oder um einen Alarm von einer anderen Erkennungsroutine handelt.
Da der Fund mit einer Aktualisierung verschwunden ist, liegt nahe, dass es sich um einen Fehlalarm handelt(e).

Der Inhalt der Ordner legt auch nahe, dass die Ordner von dir (?) erstellt wurden und nicht zum installieren von Roguesoftware missbraucht wurden.

lg myrtille

Hallo

Ich habe nochmal avira und mbam zur kontroll laufen lassen.
Beide logs ohne funde!!!:Boogie:

Vielen Dank an euch beide für eure super und unermüdliche hilfe!!

Scheint so das alles wieder in Ordnung ist. :aplaus:

Wie gesagt DANKE!!:daumenhoc

Hi,

schön zu hören. Wenn du weißt wozu der C:\install-Ordner gehört sollte alles in Ordnung sein.

Du kannst noch Navilog über Start-Systemsteuerung->Software deinstallieren.

Lösche danach folgende Dateien & Ordner:
unter C:\:
und den Ordner von Navilog unter C:\Programme nach der Deinstallation.

Malwarebytes und Hijackthis können ebenfalls deinstalliert werden. Ich würde dir aber empfehlen Malwarebytes zu behalten und deinen Rechner damit gelegentlich zu scannen, da es eigentlich ein sehr gutes Antimalwareprogramm ist.

lg myrtille