Merkwürdigkeiten
 

Hallöchen und schönen Abend

Ich habe seit einigen Tagen so ein merkwürdiges "Gefühl" wenn ich am Laptop bin. So ab und an, wenn ich auf einer Webseite bin und irgendwo hinklicke, dann geht über der gewünschten Seite noch eine andere Seite auf. Das waren dann unter anderem quelle.de oder swoopo oder Jamba usw. Die gewünschte Webseite lag dann immer darunter. Also so ähnlich wie ein Popup.
Ich habe auch schon mehrmals das Logfile automatisch auswerten lassen, konnte aber mangels Eigenerfahrung nichts feststellen.
Fällt jemandem etwas an meinem Logfile auf?
Ach ja, mache regelmäßig updates und lasse den Rechner durchsuchen.


Viele Grüße Uwe

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:51:55, on 01.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Acer\eManager\anbmServ.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\ccjyh.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\xampp\filezillaftp\filezillaserver.exe
C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Haufe\iDesk\iDeskService\ideskpython.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccjyh] "c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\ccjyh.exe" ccjyh
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{941A50C6-11CD-41AA-B106-A633A622A76B}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5058 bytes

Hallo und :hallo:

Klick noch einmal auf Editieren und ändere alle http in htp.

1.) Deinstalliere (Start=>Systemsteuerung=>Software) folgende Programme:
2.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked.

3.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

ciao, andreas

Hallo Andreas

Danke für die schnelle Antwort und das auch noch am Sonntagabend

Hier das erforderliche

Search Navipromo version 3.7.1 began on 01.02.2009 at 22:43:04,73

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 02.01.2009 at 19h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.60GHz )
BIOS : Insyde Software MobilePRO BIOS Version 4.00.00
USER : user ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 (Activated)


C:\ (Local Disk) - FAT32 - Total:36 Go (Free:20 Go)
D:\ (Local Disk) - FAT32 - Total:36 Go (Free:5 Go)
E:\ (CD or DVD)


Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\user\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\user\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" :

ccjyh.exe found !
ccjyh.dat found !
ccjyh_navps.dat found !
ccjyh_nav.dat found !

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 01.02.2009 at 22:45:15,39 ***

Was auch immer das alles bedeutet, was gutes scheints nicht zu sein.

Gruß Uwe

Das ist völlig harmlos, nur nervig.

1.) Rufe das Programm bitte erneut auf und wähle die Option 2

• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
• Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit [Strg][Alt][Entf] den Taskmanager auf und wähle unter Prozesse => Neuer Task ausführen aus. Gib dort explorer ein.

2.) MalwareBytes nach Anleitung ausführen und Log posten.

3.) SuperAntiSpyware nach Anleitung ausführen und Log posten.

4.) Ein neues HJT-Log posten.

ciao, andreas

Hallo Andreas

Sooooo

Teil 1



Navipromo Removal version 3.7.1 started on 01.02.2009 at 23:03:18,98

Fix running from C:\Programme\navilog1

Updated on 02.01.2009 at 19h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.60GHz )
BIOS : Insyde Software MobilePRO BIOS Version 4.00.00
USER : user ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 (Activated)


C:\ (Local Disk) - FAT32 - Total:36 Go (Free:20 Go)
D:\ (Local Disk) - FAT32 - Total:36 Go (Free:5 Go)
E:\ (CD or DVD)


Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" *


* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *


*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\user\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\user\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\user\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\user\lokale~1\anwend~1" *


ccjyh.exe found !
Copy ccjyh.exe done !
ccjyh.exe deleted !

ccjyh.dat found !
Copy ccjyh.dat done !
ccjyh.dat deleted !

ccjyh_navps.dat found !
Copy ccjyh_navps.dat done !
ccjyh_navps.dat deleted !

ccjyh_nav.dat found !
Copy ccjyh_nav.dat done !
ccjyh_nav.dat deleted !

C:\WINDOWS\prefetch\ccjyh*.pf found !
Copy C:\WINDOWS\prefetch\ccjyh*.pf done !
C:\WINDOWS\prefetch\ccjyh*.pf deleted !


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***



*** Cleaning stage complete on 01.02.2009 at 23:05:55,03 ***


Soooo, das hat aber gedauert.

Teil2 Malwarebytes Anti-Malware Logfile

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1714
Windows 5.1.2600 Service Pack 3

02.02.2009 00:18:47
mbam-log-2009-02-02 (00-18-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 142085
Laufzeit: 1 hour(s), 6 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Peer2Peer-DE\Peer2Peer-DEToolbarHelper.exe (Adware.NetPumper) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.


Teil 3


SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/02/2009 at 10:28 AM

Application Version : 4.25.1012

Core Rules Database Version : 3739
Trace Rules Database Version: 1707

Scan type : Complete Scan
Total Scan Time : 01:31:00

Memory items scanned : 435
Memory threats detected : 0
Registry items scanned : 5943
Registry threats detected : 10
File items scanned : 87612
File threats detected : 20

Unclassified.Unknown Origin
HKLM\Software\Classes\CLSID\{4D1C4E89-A32A-416b-BCDB-33B3EF3617D3}
HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3}
HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3}\InprocServer32
HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3}\InprocServer32#ThreadingModel
HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3}\Programmable
HKCR\CLSID\{4D1C4E89-A32A-416B-BCDB-33B3EF3617D3}\TypeLib

Adware.RX Toolbar
HKU\S-1-5-21-3165419130-2510224624-1963145105-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25D8BACF-3DE2-4B48-AE22-D659B8D835B0}
HKU\S-1-5-21-3165419130-2510224624-1963145105-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{59879FA4-4790-461C-A1CC-4EC4DE4CA483}

InstaFinderK BHO
HKU\S-1-5-21-3165419130-2510224624-1963145105-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4E7BD74F-2B8D-469E-90F0-F66AB581A933}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\user\Cookies\user@iacas.adbureau[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@indextools[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@imrworldwide[2].txt
C:\Dokumente und Einstellungen\user\Cookies\user@de.sitestat[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@2o7[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@adtech[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@webmasterplan[2].txt
C:\Dokumente und Einstellungen\user\Cookies\user@microsoftinternetexplorer.112.2o7[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@eas.apm.emediate[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@tribalfusion[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@www.etracker[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@xxxcounter[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\user\Cookies\user@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@adsrv.admediate[1].txt

Trojan.DNSChanger-Codec
HKU\S-1-5-21-3165419130-2510224624-1963145105-1005\Software\fcn

Adware.Need2Find
C:\PROGRAMME\MOZILLA FIREFOX\PLUGINS\NPND2FN.DLL

Adware.Vundo/Variant-MSFake
C:\PROGRAMME\NAVILOG1\REG.EXE

Rootkit.Agent/Gen-Local
C:\PROGRAMME\NAVILOG1\BACKUPNAVI\CCJYH.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{4B727B31-A168-4C89-81CB-01FB3D6ECD3F}\RP10\A0000359.EXE


Und zu guter letzt das neue HJT-Logfile

Sagst du mir noch, was mit den Dateien aus dem SUPERANTISPYWARE werden soll, die sind ja nun glaub in Quarantäne.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:44:47, on 02.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\xampp\filezillaftp\filezillaserver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\acer\epm\epm-dm.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{941A50C6-11CD-41AA-B106-A633A622A76B}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4505 bytes

Hoffe, das es jetzt schon besser aussieht?

Viele gespannte Grüße
Uwe

Das HJT-Log ist sauber, aber wie es dem Rechner geht, dass musst du mir sagen.

Werbefenster sollten keine mehr kommen.

Die Logs von MbAm und SAS (die ich nur auf Verdacht hab laufen lassen) gefallen mir nicht, da wurde zuviel und zudem auch noch Gefährliches gefunden. Also munter weiter mit dem Scannen.

Deinstalliere Navilog, MbAm und SAS.

1.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

3.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

ciao, andreas

Hallöchen

Muß das morgen nochmal machen. Hat sich nämlich nach über 2 Stunden total aufgehängt und ging ewig nicht weiter. CPU-Auslastung 100% wegen Leerlaufprozess?
Ich mach's morgen gleich nochmal. Mist, so kurz vorm Ende.

Viele Grüße
Uwe

Welches Programm?
Wenn der Leerlaufprozess 100% zeigt, dann macht die CPU nichts.

ciao, andreas

Hallo Andreas

Der Laptop hat sich bei CureIT Dr.Web aufgehängt nachdem er knapp 200000
Dateien durchsucht hatte.:heulen:

Gefunden hatte er bis dahin 2mal Hacktool's und 1mal Malware.
Die Hacktool's waren irgendwas mit ....kill am Ende. Hab es mir aber nicht aufgeschrieben, wer konnte denn ahnen, da er gleich aufgibt.

Viele Grüße
Uwe

Dann überspring den und mache weiter mit der Liste.

ciao, andreas

Sooo

Erst mal ein kurzer Zwischenbericht.
Habe doch noch einmal Dr. Web scannen lassen.
Das ist das Ergebnis.

A0000361.exe;C:\System Volume Information\_restore{4B727B31-A168-4C89-81CB-01FB3D6ECD3F}\RP10;Tool.Prockill;;
A0000451.exe;C:\System Volume Information\_restore{4B727B31-A168-4C89-81CB-01FB3D6ECD3F}\RP11;Tool.Prockill;;

Hört sich nicht gut an, oder? PROcKill :heulen:

Das AVP-Tool hat nix gefunden.

Das Panda Active Scan mach ich nachher nochmal.

Viele Grüße
Uwe

Ist die Systemwiederherstellung.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

Durch Abschalten der Systemwiederherstellung werden alle dort gespeicherten Dateien gelöscht. Kannst du ganz zum Schluss wieder anschalten.

ciao, andreas

Hallöchen

So, die Systemwiederherstellung wurde deaktiviert und der Panda-Scan mit folgendem Ergebnis ausgeführt.

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-02-03 20:41:44
PROTECTIONS: 3
MALWARE: 2
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\app management\arpcache\altnetdm
00169752 application/need2find HackTools No 0 Yes No hkey_current_user\software\need2find
00169752 application/need2find HackTools No 0 Yes No HKEY_CLASSES_ROOT\Interface\{4D1C4E8A-A32A-416B-BCDB-33B3EF3617D3}
00169752 Application/Need2Find HackTools No 0 Yes No C:\Dokumente und Einstellungen\USER\DoctorWeb\Quarantine\A0000384.DLL
00169752 application/need2find HackTools No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\uninstall\need2findbar uninstall
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================


Viele Grüße
Uwe

Nachdem der Scan mit Prevx fertig ist, lade dir den Regseeker

http://www.hoverdesk.net/images/reg-find.jpg

• Klick auf Clean the registry
• Klick auf OK
• Warte bis er fertig gesucht hat
• Klick auf Select => markiere nur die Grünen
• Klick auf Action => Delete

ciao, andreas

Hallo Andreas

Hab ich gemacht.

Viele Grüße
Uwe

Wie geht es dem Rechner?

Poste bitte noch ein letztes HJT-Log. Alle Programme, die wir eingesetzt haben, können deinstalliert/gelöscht werden.

ciao, andreas

Hallöchen hier noch ein letztes HJT Logfile

Wie geht es dem Rechner? Ich denke mal ganz gut. Diese merkwürdigen Weiterleitungen sind nicht mehr vorgekommen.
Allerdings macht mich das mit diesen "Tool.Prokill" doch noch etwas nervös.
Ich werde dann also die Systemwiederherstellung wieder einschalten. Natürlich erst nach deinem o.k.

Ich werde dann die nächsten Tage noch mal das Panda-Teil drüberschicken. Weil das am meißten gefunden hat, oder meinst du das ist unnötig?

Also ich muß mich ja jetzt mal ganz dolle bei dir bedanken. Solch uneigennützige Hilfe findet man ja nicht an jeder Ecke. Und das auch noch in der Freizeit. Vielen Dank.:aplaus:
Wenn du magst oder Zeit hast, kannst du ja mal in mein Forum schauen und mir sagen was du davon hältst. ht*p://www.pfotentreff-breitungen.de


Viele Grüße vom Uwe und seinem Lies'chen

P.S. Sollte noch etwas sein, soll ich es dann in diesem Thread posten?



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:51:10, on 03.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Prevx\prevx.exe
c:\xampp\filezillaftp\filezillaserver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Prevx\prevx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\acer\epm\epm-dm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{941A50C6-11CD-41AA-B106-A633A622A76B}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4442 bytes

Muss es nicht. Kann sogar ein legitimes Programm sein, dass Prozesse beenden kann.
Schaden kann es nicht. Poste das Log, nicht jede Meldung ist auch tatsächlich etwas Böses.
Ja.

ciao, andreas

Hallöchen

Habe den Panda-Scan noch einmal gemacht.

Muß ich noch etwas machen, oder ist das o.K.?


;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-02-05 13:48:54
PROTECTIONS: 3
MALWARE: 1
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00169752 application/need2find HackTools No 0 Yes No hkey_current_user\software\need2find
00169752 application/need2find HackTools No 0 Yes No HKEY_CLASSES_ROOT\Interface\{4D1C4E8A-A32A-416B-BCDB-33B3EF3617D3}
00169752 Application/Need2Find HackTools No 0 Yes No C:\Dokumente und Einstellungen\USER\DoctorWeb\Quarantine\A0000384.DLL
00169752 application/need2find HackTools No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\uninstall\need2findbar uninstall
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Viele Grüße
Uwe

Deinstalliere alle Programme, die wir eingesetzt haben. Panda hat das von Dr.Web gekillte Programm gefunden und noch einige Überreste in der Registry. Die sind nicht gefährlich. Du kannst versuchen die mit CCleaner zu löschen.

ciao, andreas

Hallöchen

Ich habe jetzt erst gemerkt, das hier noch ein Post war.
Uiii wie peinlich. Tschuldigung.
Ich möchte mich noch einmal recht herzlich für die kompetente Hilfe bedanken.

Viele Grüße
Uwe

Du bist entlassen. :)

ciao, andreas