Trojaner-Board - Pop-Up Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Pop-Up Virus (https://www.trojaner-board.de/58053-pop-up-virus.html)

Hallo,
Ich habe folgendes Problem: Bei mir öffnen sich ständig neue Popups.
Allerdings sind das nicht irgendwelche normalen popups sondern solche die ANTi-VIRUS programme versprechen...diese sind natürlich nicht richtige av programme sondern Trojaner...

Ich habe irgendwo auf dem Computer ein programm welches diese Popups aslöst.
Ich habe schon scans mit Norton Anti-Virus, AntiVir und AVG gemacht. Keine Ergebnisse! Könnt ihr den Virus/Trojaner finden??

Meine Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:10:05, on 17.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\aykio.exe
C:\Programme\DNA\btdna.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\BitTorrent\bittorrent.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.4:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [aykio] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\aykio.exe" aykio
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207155268000
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***
O17 - HKLM\Software\..\Telephony: DomainName = ***
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 8440 bytes

Hallo

handelt es sich bei dem System um einen Arbeitsrechner (Produktivsystem)?

Mach bitte alle versteckten Dateien und Ordner sichtbar, dann lass diese Datei
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\aykio.exe
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Es handelt sich um einen Privat Rechner...also nicht Arbeitsrechner!

Hier der Bericht:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 -
Authentium 5.1.0.4 2008.08.17 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.17 -
BitDefender 7.2 2008.08.17 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.17 -
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.17 -
F-Secure 7.60.13501.0 2008.08.17 -
Fortinet 3.14.0.0 2008.08.17 -
GData 2.0.7306.1023 2008.08.17 -
Ikarus T3.1.1.34.0 2008.08.17 -
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.17 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.17 -
NOD32v2 3362 2008.08.17 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.17 -
Rising 20.57.62.00 2008.08.17 -
Sophos 4.32.0 2008.08.17 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.17 -
TheHacker 6.3.0.3.052 2008.08.17 -
TrendMicro 8.700.0.1004 2008.08.16 -
VBA32 3.12.8.3 2008.08.17 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.17 -
Webwasher-Gateway 6.6.2 2008.08.17 -
weitere Informationen
File size: 299008 bytes
MD5...: fc0927736cb9b261619db592424eacb8
SHA1..: acd1ad119f116d829f2088cf3f85f927f300ba1e
SHA256: 2150d71943dd89be8a11bae0ebc4d5869260c672d102b538240faaf342a25e9b
SHA512: 852313418a55d8570da0ec3746a40587f928f48d12389a3196f542e3311164bd
307faba19dd8c5f6ac5ba205cbae40c51e53478d9d5acb58d9deed846f62f5d7
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401a50
timedatestamp.....: 0x4226b469 (Thu Mar 03 06:53:29 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xbdc 0x1000 5.52 6a7bbb09d53c15de9aed32d133250bb5
.rdata 0x2000 0x16c0 0x2000 4.28 654ec741dd6221071ee8753e91a16fbd
.data 0x4000 0x44bdc 0x45000 7.31 51b216ce28bf94f2f1976eceb1f1bcba

( 10 imports )
> KERNEL32.dll: OutputDebugStringA, GetVersion, OutputDebugStringW, WriteProcessMemory, ExitThread, ExitProcess, GetVolumeInformationW, GlobalDeleteAtom, SearchPathW, GetShortPathNameW, ReadConsoleA, GlobalUnlock, GlobalAddAtomA, SetEvent, SetConsoleActiveScreenBuffer, GetFullPathNameA, WritePrivateProfileSectionW, SetConsoleWindowInfo, GetCurrentDirectoryW, CancelIo, GetSystemInfo, WritePrivateProfileSectionA, VirtualAllocEx, lstrcpyA, VirtualProtect, GetVersionExA, GetModuleHandleA, GetBinaryTypeW, SetCommTimeouts, GlobalAddAtomW, GetCompressedFileSizeW, GetNumberFormatW, GetProcessHeap, GetConsoleCursorInfo, GetLongPathNameA, EnumCalendarInfoA, UnhandledExceptionFilter, GetCommState, GetAtomNameA, MoveFileW, VirtualQuery, RaiseException, ClearCommBreak, SetEnvironmentVariableA, DuplicateHandle, EnumResourceLanguagesW, CreateDirectoryExA, FreeEnvironmentStringsA, DeleteCriticalSection, GlobalFlags, LocalFileTimeToFileTime, VirtualLock, IsBadStringPtrA, lstrcmpA, LoadLibraryExW, GetComputerNameW, GetFileAttributesExA, GetUserDefaultLCID, GetShortPathNameA, SetThreadPriorityBoost, FatalAppExitA, SuspendThread, LCMapStringA, GetConsoleMode, PrepareTape, lstrlenA, FileTimeToLocalFileTime, GetStartupInfoA, VirtualAlloc
> USER32.dll: DrawFocusRect, LoadIconW, CallNextHookEx, GetSystemMenu, GetClassLongA, GetDlgCtrlID, OemToCharA, DefFrameProcA, EnumDisplaySettingsW, SendMessageA, BeginPaint, ChangeDisplaySettingsW, UnloadKeyboardLayout, GetMenuInfo, wsprintfW, RegisterClipboardFormatW, GetLastActivePopup, mouse_event, OpenDesktopA, GetUserObjectInformationW, CreateIcon, IsDialogMessageW, SetLastErrorEx, ArrangeIconicWindows, DefDlgProcA, SwitchDesktop, FrameRect, WinHelpA, PostMessageW, TrackPopupMenuEx, SetMenuInfo, LoadAcceleratorsW, DrawTextExA, GetPropW, CharPrevA, IsCharUpperW, GetClassInfoA, IsCharLowerA, MonitorFromWindow, InternalGetWindowText, GetWindowContextHelpId, SetWinEventHook, SetDlgItemInt, GetWindowTextW, GetScrollPos, LockWindowUpdate, WaitMessage, SetScrollPos, RegisterDeviceNotificationW, BroadcastSystemMessageW, CopyImage, EqualRect, RegisterWindowMessageW, IsChild, GetShellWindow, EnumWindowStationsA, IsCharAlphaW, LoadStringW, OemToCharBuffW, GetDCEx, EnumWindowStationsW, LoadCursorFromFileW, GetWindowThreadProcessId, BroadcastSystemMessageA, TabbedTextOutW, SetWindowLongW
> GDI32.dll: ModifyWorldTransform
> comdlg32.dll: GetFileTitleA, PrintDlgW, GetOpenFileNameW
> ADVAPI32.dll: CryptDecrypt, LookupPrivilegeValueA, RegConnectRegistryW, SetPrivateObjectSecurity, EnumServicesStatusA, UnlockServiceDatabase, LookupPrivilegeValueW, LookupAccountNameA, ObjectCloseAuditAlarmA, GetUserNameW, IsValidAcl, RegDeleteKeyW, LookupAccountSidA, RegGetKeySecurity, BuildSecurityDescriptorW, OpenThreadToken, AdjustTokenPrivileges, GetTokenInformation, RegDeleteKeyA, SetServiceStatus, RegisterServiceCtrlHandlerW, LockServiceDatabase, GetNamedSecurityInfoW, SetSecurityDescriptorSacl, RegEnumKeyExW, BuildTrusteeWithSidW, RegCreateKeyExW, CryptSetKeyParam, CryptDestroyHash, AccessCheck, AbortSystemShutdownW, InitializeAcl, RegCloseKey, InitializeSid, ReportEventA
> ole32.dll: OleCreateLink
> OLEAUT32.dll: -, -, -, -, -, -
> COMCTL32.dll: ImageList_GetBkColor, ImageList_SetImageCount
> SHLWAPI.dll: SHRegCreateUSKeyW, PathFileExistsA, PathQuoteSpacesA, StrCatBuffW, PathIsFileSpecA, PathIsUNCW, ChrCmpIW, PathStripPathA, PathRelativePathToW, StrRetToBufW
> MSVCRT.dll: __set_app_type, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _except_handler3, _controlfp, __p__fmode

( 0 exports )

Hoi,

bitte Navilog1 durchführen:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Code:

Search Navipromo version 3.6.4 began on 18.08.2008 at 15:42:02,39
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Actual User Account : "***" 
 

Updated on 16.08.2008 at 22h00 by IL-MAFIOSO
 
 

Microsoft Windows XP [Version 5.1.2600]

Version Internet Explorer : 7.0.5730.13

Filesystem type : NTFS
 

Search done in normal mode
 

*** Searching for installed Software ***
 

Favorit

WebMediaPlayer
 

*** Search folders in "C:\WINDOWS" ***
 
 

*** Search folders in "C:\Programme" ***
 

...\WebMediaPlayer found !
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
 

...\WebMediaPlayer found !
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
 
 

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** 
 
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net
 
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\WINDOWS\system32" *
 

* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * 
 

Files found :
 

gohhaibb.exe found ! 
 
 
 

*** Search files *** 
 
 

C:\WINDOWS\system32\nvs2.inf found !
 

*** Search specific Registry keys ***
 

HKEY_CURRENT_USER\Software\Lanconfig found ! 

HKEY_CURRENT_USER\Software\mc found ! 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\WINDOWS\system32" :
 
 

* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" : 
 

aykio.dat found !

aykio.exe found !

aykio_nav.dat found !

aykio_navps.dat found !
 

3)Certificates Search :
 

Egroup certificate found !

Electronic-Group certificate found !

Montorgueil certificate not found !

OOO-Favorit certificate found !

Sunny-Day-Design-Ltd certificate not found !
 

4)Search known files :
 
 
 

*** Search completed on 18.08.2008 at 16:01:33,23 ***

Danke für eure Hilfe!!
Was soll ich jetzt tun?

Du solltest aus dem Logfile deinen Namen schnellstens unkenntlich machen!
Danach das:

Navilog1:

Rufe das Programm bitte erneut auf und wähle die Option 2
Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
Sollte der Rechner nicht neustarten, tue dies bitte manuell.
Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

Hier der Bericht:

Code:

Navipromo Removal version 3.6.4 started on 18.08.2008 at 16:12:11,96
 

Fix running from C:\Programme\navilog1

Actual User Account : "***" 
 

Updated on 16.08.2008 at 22h00 by IL-MAFIOSO
 
 

Microsoft Windows XP [Version 5.1.2600]

Internet Explorer : 7.0.5730.13

Filesystem type : NTFS
 

Automatic removal 

with Catchme and GNS results
 
 

Cleanning stage done on Reboot
 

 

*** fsbl1.txt not found ***

(Check that Catchme found nothing in Search Mode)

 
 

*** Deleting with Backups GenericNaviSearch results ***
 

* Deletion in "C:\WINDOWS\System32" *
 
 
 

* Deletion in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * 
 
 

gohhaibb.exe found ! 

Copy gohhaibb.exe done !

gohhaibb.exe deleted !
 
 
 

*** Deleting folders in "C:\WINDOWS" ***
 
 

*** Deleting folders in "C:\Programme" ***
 

...\WebMediaPlayer ...deleting... 

...\WebMediaPlayer deleted ! 
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
 

...\WebMediaPlayer ...deleting... 

...\WebMediaPlayer deleted ! 
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
 
 

*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** 
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** 
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** 
 
 
 

*** Deleting files ***
 

C:\WINDOWS\system32\nvs2.inf deleted !
 

*** Deleting temporary files ***
 

Cleaning of C:\WINDOWS\Temp done !

Cleaning of C:\Dokumente und Einstellungen\***\lokale~1\Temp done !
 

*** Complementary Search ***

(Search specific files)
 

1)Deletion with backups new Instant Access files:
 

2)Heuristic search and deletion with backups :
 
 

* In "C:\WINDOWS\system32" *
 
 

* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * 
 
 

aykio.exe found ! 

Copy aykio.exe done !

aykio.exe deleted !
 

aykio.dat found ! 

Copy aykio.dat done !

aykio.dat deleted !
 

aykio_nav.dat found ! 

Copy aykio_nav.dat done !

aykio_nav.dat deleted !
 

aykio_navps.dat found ! 

Copy aykio_navps.dat done !

aykio_navps.dat deleted !
 

C:\WINDOWS\prefetch\aykio*.pf found ! 

Copy C:\WINDOWS\prefetch\aykio*.pf done !

C:\WINDOWS\prefetch\aykio*.pf deleted !
 
 

*** Copy Registry to Safebackup folder ***
 

Backing up Registry done !
 

*** Cleaning Registry ***
 

Registry cleaned
 
 

*** Certificates ***
 

Egroup Certificate deleted !

Electronic-Group Certificate deleted !

Montorgueil Certificate not found !

OOO-Favorit Certificate deleted !

Sunny-Day-Design-Ltd Certificate not found !
 

*** Cleaning stage complete on 18.08.2008 at 16:14:53,81 ***

Gut,
mach noch einen Scan mit dem Tool:

Blacklight scannen lassen

Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
Klick "I accept the agreement", "next", "Scan".
Wenn der Scan fertig ist beende Blacklight mit "Close".
Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Wenn nichts gefunden wird, dürfte das gewesen sein.
Übrigens, die Infektion kam vom WebMediaPlayer. ;)

Die Suche war ohne weitere Infizierungen!
Vielen dank an alle die hier geholfen haben!!!!!

PM mir wenn ich euch auch was helfen kann...(bezweifle aber das ich was weiß was ihr net wisst :P )

GrEeTZ

Schön,
in Zukunft Finger weg von WebMediaPlayer, MessengerSkinner, Messenger Plus!, etc. lassen, sonst sehen wir uns früher als dir lieb ist. ;)

Edit: Wenn du helfen willst, einfach hier im Board mitlesen und lernen. :)