TR/Fakealert.AAF ---? Hilfe!
 

hallo leute
ich habe ein großes problem: ich hab ( genau wie hitman21 vor einiger zeit)
den Trojaner TR/Fakealert.AAF auf meinen laptop.
In der mitte meines desktops prangt ein riesiges schild :windows warning message, welches ich nich schließen kann, da das x nicht bedienbar ist.
habe mir daher den artikel von Hitman21 und seinem problem durchgelesn, verstheh aber nur die hälfte.
auf jeden fall hab ich mir dieses "super anti spyware" geholt und einmal alles checken lassen.
Es wurde festgestellt, dass ich 150 komische dinge auf dem rechner hatte.
Der rechner wurde von dem pogramm neu gestartet, doch das problem besteht immer noch!!
ich brauche dringend den rat von euch , was ich jetz tuen soll!
vielen Dank im voraus................

Hi,

damit wir dir helfen können bruachen wir den Bericht von Superantispyware und ein paar Angaben zu deinem Betriebsystem.
Kannst du bitte den Beitrag von Hitman verlinken, den du abgearbetiet hast?

Poste bitte auch ein Log von Hijackthis in deiner Antwort.

lg myrtille

http://www.trojaner-board.de/58526-joke-bluescrreen-b-tr-fakealert-aaf-vbs-agent-1002-a.html


Das ist der link von hitmans problem.



hier die daten von meinem laptop:


Microsoft Windows XP Professional
Version2002
Servicepack2

Mobile intel(R) pentium (R)
4-M Cpu 1.80 GHz
1.18 GHz 512 mb ram


hab kp was das alles bedeutet, hoffe aber du kannst was damit anfangen

Hi,

immerhin weiß ich jetzt, dass ich es mit einem Windowsbetriebssystem zu tun habe. ;) Das heißt wir können die entsprechenden Programme nutzen. ;)

Hast du das Log von SuperAntiSpyware noch?

lg myrtille

was fürn log ?
ich lasse das grade durchlaufen, und es hat bis jetz noch nichts gefunden (das ist besser als vorher)
das problem auf dem desktop besteht allerdings noch immer :(

ich weiß nicht, ob du es merkst, aber ich bin halt ziemlich unerfahren =)

hoffe du kannst mir helfen..........
lg lemmi

Hi,
solange du bei unklarheiten einfach fragst, ist alles super :)

ich würde gerne wissen was sasw vorhin bei dir gelöscht hat, damit ich weiß was auf deinem Rechner drauf war. Dafür brauch ich den bericht von deinem ersten scan mit SuperAntispyware.

Wie du das Log findest, kannst du in der Superantispyware anleitung finden.

lg myrtille

also ich habs gefunden * stolz * :)
allerdings kann ich die mir nur angucken (also die sachen die quarantäne waren)
Wie soll ich dir die denn schicken ???

*verzweifel*

ich glabe du meinst das , kann das ?




SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 09/29/2008 at 03:30 PM

Application Version : 4.21.1004

Core Rules Database Version : 3581
Trace Rules Database Version: 1569

Scan type : Complete Scan
Total Scan Time : 00:13:52

Memory items scanned : 430
Memory threats detected : 1
Registry items scanned : 3580
Registry threats detected : 1
File items scanned : 3625
File threats detected : 148

NotHarmful.Sysinternals Bluescreen Screen Saver
C:\WINDOWS\SYSTEM32\BLPHCCK7J0EJBA.SCR
C:\WINDOWS\SYSTEM32\BLPHCCK7J0EJBA.SCR

Trojan.Dropper/Gen
[cqqgkmc] C:\DOKUMENTE UND EINSTELLUNGEN\ERIC\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\CQQGKMC.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ERIC\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\CQQGKMC.EXE

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Eric\Cookies\eric@atdmt[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@zedo[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@1058544958[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@2o7[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@68010502[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@phpmv2[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@banner.pando[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.zanox[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@1071797600[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserve.city-ad[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@1058566955[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserver.easyad[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@messengerdeutchlandbis.solution.weborama[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@xiti[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ehg-deltatre.hitbox[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@1040106145[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@c5.zedo[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@1057889030[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@900089555233333[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@banner.joylandcasino[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@toplist[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@gina-lisa-sex[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@4stats[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@stepstone.112.2o7[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@zanox[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.salebroker[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@www.pornorama[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@adtech[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@click.cybertvpartner[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@komtrack[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@300002139009955[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@statcounter[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@adopt.specificclick[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@clicksense[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@banner.cdpoker[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@www.etracker[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@1050813249[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.trackbar[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@realmedia[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@www.netdebit-counter[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@azjmp[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserver.nordprovider[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@1067995146[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@euros4click[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserver.myvideo[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@1071451998[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@www.counter-gratis[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@apmebf[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ads.adbrite[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@tribalfusion[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@tracking.quisma[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@serving-sys[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@eas.apm.emediate[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@advertising[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@burstnet[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@www.web-mediaplayer[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@metacafe.122.2o7[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@traffictrack[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ads.heias[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ads.us.e-planning[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@fastclick[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@webtrackr[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@pornorama[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserver3.bannerwerbung[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@mediaplex[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@data.coremetrics[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@count.xhit[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@adbrite[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ads.quartermedia[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@count.spring[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@web-mediaplayer[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.71i[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ads.adap[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@1069902127[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad2.doublepimp[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.bauerverlag[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@estat[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@hitbox[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@questionmarket[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@revsci[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@690190909878901[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@sport1-de[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@doubleclick[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@cgi-bin[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@tracking.3gnet[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@toplist[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@atwola[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@1045591380[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@windowsmedia[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@casalemedia[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.myp2p[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad1.clickhype[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@pcwelt[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@dmtracker[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@mbb[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserver[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@adopt.euroclick[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@1055156810[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@tacoda[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad1.elcuban[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@kontera[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@sport1[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@server.iad.liveperson[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@1071763083[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@a6.adserver01[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@achtung-sexy[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@yadro[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@stats.bmw[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@richmedia.yahoo[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@indextools[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@overture[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@adrevolver[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.adnet[2].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@weborama[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@1067869251[1].txt
C:\Dokumente und Einstellungen\Eric\Cookies\eric@accounts[2].txt

Trojan.Media-Codec
C:\Programme\PCHealthCenter\0.gif
C:\Programme\PCHealthCenter\1.gif
C:\Programme\PCHealthCenter\1.ico
C:\Programme\PCHealthCenter\2.gif
C:\Programme\PCHealthCenter\2.ico
C:\Programme\PCHealthCenter\3.gif
C:\Programme\PCHealthCenter\sc.html
C:\Programme\PCHealthCenter

Rogue.AntiVirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk

Rogue.AntiVirus 2008
C:\Programme\RHC9K7J0EJBA

hoffe, dass das richtig ist!
Das ist der lappi von meinem großen bro :)
ich muss das problem bis in 5 tagen behoben habn, denkst du das geht ?
weil dann kommt der wieder

das obere war also das log von SUPER anti spy ware...
jetz kommt das von Hijackthis...............


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:08, on 29.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\ICQ6\ICQ.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = IESearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Programme\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Programme\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Popsicle - {A67B8FE1-8E6D-44D6-8D74-9C28E7BFF35C} - C:\Dokumente und Einstellungen\All Users\Dokumente\Popsicle\ADVPro.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll
O2 - BHO: Pando Toolbar BHO - {E3EA4FD1-CADE-4ae5-84F7-086EEE888BE4} - C:\Programme\PandoBar\bar\1.bin\PANDOBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll
O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Programme\PandoBar\bar\1.bin\PANDOBAR.DLL
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [lphcck7j0ejba] C:\WINDOWS\system32\lphcck7j0ejba.exe
O4 - HKLM\..\Run: [SMrhc9k7j0ejba] C:\Programme\rhc9k7j0ejba\rhc9k7j0ejba.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7995F657-BEE6-43C8-BB37-8D33E00F9AE2}: NameServer = 195.50.140.178 195.50.140.114
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe

--
End of file - 7071 bytes

Hi,

na wer hat denn da nicht gut auf den Rechners seines Bruders aufgepasst!? :eek: ;)

Der SASW Bericht gibt auf jedenfall schon mal gute Hinweise. Das allermeiste waren Cookies, die unbedenklich sind.

Ja, das sollte gehen, wenn nichs unerwartetes dazwischen kommt:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.


Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)


Poste alle Logs in deiner nächsten Antwort. :)

lg myrtille

also, hier kommt das textdokument fixnavi.txt


Search Navipromo version 3.6.5 began on 29.09.2008 at 17:14:26,26

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Eric"

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Eric\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Eric\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" :

cqqgkmc.dat found !
cqqgkmc_nav.dat found !
cqqgkmc_navps.dat found !

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 29.09.2008 at 17:30:26,74 ***


die anderen beiden schick ich dir jetz als link

File-Upload.net - RSIT.exe

das ist der link da müsstest du sie finden

eine frage hab ich allerdings schon , was willst du denn jetz mit all den infos machen?
alle einzeln auswerten?

Hi,

• Rufe das Programm Naviog bitte erneut auf und wähle die Option 2
• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
  Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.


Du hast die Datei RSIT.exe hochgeladen. Ich bräuchte jedoch die Datein log.txt und ino.txt (Du findest sie im Ordner C:\rsit, wenn du sie nicht mehr offen hast)

lg myrtille

also:
hier kommt info



info.txt logfile of random's system information tool 1.02 2008-09-29 17:38:44

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 6.0.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A00000000001}
AntivirXP08-->"C:\Programme\rhc9k7j0ejba\uninstall.exe"
ATI Control Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver-->rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
AVIConverter 5.1.6-->C:\Programme\TrekStor\i.Beat move\AVI-Converter\uninst.exe
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Dell ResourceCD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D78653C3-A8FF-415F-92E6-D774E634FF2D}\setup.exe"
Favorit-->"c:\dokumente und einstellungen\eric\lokale einstellungen\anwendungsdaten\cqqgkmc.exe" -uninstall
Free YouTube Download 2.2-->"C:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe"
Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\programme\google\googletoolbar1.dll"
Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe"
ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe
ICQ6-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Mathe Klasse 8-10-->MsiExec.exe /I{3D24A762-F5A2-41C1-9F0A-300B4D8D5A2B}
MC-Load Preinstaller-->C:\\Dokumente und Einstellungen\\Eric\\Anwendungsdaten\\McLoad\\Uninstall-Mcload.exe
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.1)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Navilog1 3.6.5-->"C:\Programme\Navilog1\unins000.exe"
Need for Speed Underground 2-->C:\Programme\EA GAMES\Need for Speed Underground 2\EAUninstall.exe
OpenOffice.org 2.3-->MsiExec.exe /I{A625D45F-1DC4-47FB-ABCF-6B27684AA717}
Pando Toolbar-->rundll32 C:\PROGRA~1\PandoBar\bar\1.bin\PandoBar.dll,O
PCTEL 2304WT V.92 MDC Modem Drivers-->ptuninst.exe
Photo Loader 3.0G-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{70B45586-B51E-4947-A258-A895596C5CED}\Setup.exe" -uninst
Photohands 1.0G-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{544FB392-069D-4BA5-9DC7-FFD47230AEE5}\Setup.exe"
Popsicle-->"C:\Dokumente und Einstellungen\All Users\Dokumente\Popsicle\unins000.exe"
SC Audio DJ Mixer 2.2.0.0-->"C:\Programme\SoftwareClub.ws\SC Audio DJ Mixer\unins000.exe"
Sumo_torrent Toolbar-->C:\PROGRA~1\SUMO_T~1\UNWISE.EXE C:\PROGRA~1\SUMO_T~1\INSTALL.LOG
SUPERAntiSpyware Professional-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
SYBEX Profi-Bewerbungen-->C:\PROGRA~1\Sybex\PROFI-~1\UNWISE.EXE C:\PROGRA~1\Sybex\PROFI-~1\INSTALL.LOG
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
WinRAR-->C:\Programme\WinRAR\uninstall.exe
Zattoo 3.2.4 Beta-->C:\Programme\Zattoo\uninst.exe

======Security center information======

AV: Avira AntiVir PersonalEdition

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\Sybex\Profi-Bewerbungen
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=0207
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------


und jetzt log



info.txt logfile of random's system information tool 1.02 2008-09-29 17:38:44

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 6.0.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A00000000001}
AntivirXP08-->"C:\Programme\rhc9k7j0ejba\uninstall.exe"
ATI Control Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver-->rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
AVIConverter 5.1.6-->C:\Programme\TrekStor\i.Beat move\AVI-Converter\uninst.exe
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Dell ResourceCD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D78653C3-A8FF-415F-92E6-D774E634FF2D}\setup.exe"
Favorit-->"c:\dokumente und einstellungen\eric\lokale einstellungen\anwendungsdaten\cqqgkmc.exe" -uninstall
Free YouTube Download 2.2-->"C:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe"
Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\programme\google\googletoolbar1.dll"
Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe"
ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe
ICQ6-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Mathe Klasse 8-10-->MsiExec.exe /I{3D24A762-F5A2-41C1-9F0A-300B4D8D5A2B}
MC-Load Preinstaller-->C:\\Dokumente und Einstellungen\\Eric\\Anwendungsdaten\\McLoad\\Uninstall-Mcload.exe
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.1)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Navilog1 3.6.5-->"C:\Programme\Navilog1\unins000.exe"
Need for Speed Underground 2-->C:\Programme\EA GAMES\Need for Speed Underground 2\EAUninstall.exe
OpenOffice.org 2.3-->MsiExec.exe /I{A625D45F-1DC4-47FB-ABCF-6B27684AA717}
Pando Toolbar-->rundll32 C:\PROGRA~1\PandoBar\bar\1.bin\PandoBar.dll,O
PCTEL 2304WT V.92 MDC Modem Drivers-->ptuninst.exe
Photo Loader 3.0G-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{70B45586-B51E-4947-A258-A895596C5CED}\Setup.exe" -uninst
Photohands 1.0G-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{544FB392-069D-4BA5-9DC7-FFD47230AEE5}\Setup.exe"
Popsicle-->"C:\Dokumente und Einstellungen\All Users\Dokumente\Popsicle\unins000.exe"
SC Audio DJ Mixer 2.2.0.0-->"C:\Programme\SoftwareClub.ws\SC Audio DJ Mixer\unins000.exe"
Sumo_torrent Toolbar-->C:\PROGRA~1\SUMO_T~1\UNWISE.EXE C:\PROGRA~1\SUMO_T~1\INSTALL.LOG
SUPERAntiSpyware Professional-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
SYBEX Profi-Bewerbungen-->C:\PROGRA~1\Sybex\PROFI-~1\UNWISE.EXE C:\PROGRA~1\Sybex\PROFI-~1\INSTALL.LOG
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
WinRAR-->C:\Programme\WinRAR\uninstall.exe
Zattoo 3.2.4 Beta-->C:\Programme\Zattoo\uninst.exe

======Security center information======

AV: Avira AntiVir PersonalEdition

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\Sybex\Profi-Bewerbungen
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=0207
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------

sry aber log.txt kann ich nur als link schicken....
das daurt bei mir
mom also

hier kommt der link von log.txt. das info ist schon da, weils klein genug war

File-Upload.net - log.txt

Die beiden Logs sehen schon ganz gut aus.

• Rufe bitte Hijackthis erneut auf.
• Klick auf Do a system scan only
• Setzen einen Haken vor folgende Einträge (wenn sie noch vorhanden sind. ;) )
  
  Zitat:

  R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [lphcck7j0ejba] C:\WINDOWS\system32\lphcck7j0ejba.exe O4 - HKLM\..\Run: [SMrhc9k7j0ejba] C:\Programme\rhc9k7j0ejba\rhc9k7j0ejba.exe

• Klicke unten auf Fix checked
• Poste danach ein neues Hijackthislog hier.

Hast du die Option 2 von Navilog durchlaufen lassen?

lg myrtille

hier kommt das scan ergebnis cleannavi


Navipromo Removal version 3.6.5 started on 29.09.2008 at 18:44:30,22

Fix running from C:\Programme\navilog1
Actual User Account : "Eric"

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" *


* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *


*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Eric\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Eric\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Eric\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" *


cqqgkmc.dat found !
Copy cqqgkmc.dat done !
cqqgkmc.dat deleted !

cqqgkmc_nav.dat found !
Copy cqqgkmc_nav.dat done !
cqqgkmc_nav.dat deleted !

cqqgkmc_navps.dat found !
Copy cqqgkmc_navps.dat done !
cqqgkmc_navps.dat deleted !


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate deleted !
Electronic-Group Certificate deleted !
Montorgueil Certificate not found !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 29.09.2008 at 18:53:02,74 ***

das hier ist das neue log von hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:04:04, on 29.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\notepad.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\ICQ6\ICQ.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = IESearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Programme\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Programme\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Popsicle - {A67B8FE1-8E6D-44D6-8D74-9C28E7BFF35C} - C:\Dokumente und Einstellungen\All Users\Dokumente\Popsicle\ADVPro.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll
O2 - BHO: Pando Toolbar BHO - {E3EA4FD1-CADE-4ae5-84F7-086EEE888BE4} - C:\Programme\PandoBar\bar\1.bin\PANDOBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll
O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Programme\PandoBar\bar\1.bin\PANDOBAR.DLL
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7995F657-BEE6-43C8-BB37-8D33E00F9AE2}: NameServer = 195.50.140.178 195.50.140.114
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe

--
End of file - 6797 bytes

Hi,

das sieht gut aus. :) Hast du noch Probleme mit dem Rechner?

Ansonsten könnte man anfangen die genutzten Programme wieder zu deinstallieren:
Hijackthis, SuperAntiSpyware und Navilog über Start->systemsteuerung->software deinstallieren.

RSIT kannst du einfach so löschen. (Sowie den Ordner C:\rsit)

Wenn du all diese Schritte durchgeführt hast, und keine Probleme aufgetreten sind, dann kannst du noch die Systemwiederherstellung de- und reaktivieren, indem du unter Start->Systemsteuerung->System->Systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt und später wieder rausnimmst.
Damit werden alle Wiederherstellungspunkte und darin eventuell vorhandene Reste der Infektion gelöscht.

lg myrtille

ich kann halt unter eigenschaften das hintergrundbild nicht ändern , also wie vorher.
was hast du denn gefunden?

Hi,

dann lass bitte mal noch Malwarebytes über deinen Rechner laufen und poste das Log hier.

lg myrtille

wie jetz malwarebites?
als ich avira durchlaufen ließ hat der nur noch einen virus angezeigt und der hieß anders
nämlich TR/Dldr.Small.adwv'
is das vllt. der wahre grund für meinen vermurksten desktop?
ich hab den deleted und das prob is noch immer da

Hi,

das Problem mit dem Desktophintergrund stammt von Fakealert, das ist eine Einstellung, die man unter Windows vornehmen kann, wenn man nicht will, dass der Desktophintergrund von jedem verändert werden kann.

Ich weiß dass das Programm Malwarebytes diesen Eintrag entfernt, daher denke ich, dass du dein Problem damit lösen können solltest.

Wo hat Antivir den Befall denn gemeldet? (Welche Datei)

lg myrtille

Die Datei 'C:\System Volume Information\_restore{55243C3A-DBAE-43BF-944B-4F8057F37D00}\RP35\A0009096.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Small.adwv' [trojan].

unter der datei war das

soll ich malwarebytes jetz durchlaufn lassen ???

Hi,

ja bitte.

Um den Ordner System Volume Information kümmenr wir uns noch. ;) Den hätte ich dir eh noch bereinigt ;)
EDIT: Das ist eine Art Backup das Windows von sich selbst anlegt. Was da einmal reinkommt, kann nur von Windows selbst wieder herausgeholt werden.
Das heißt der Befall ist zwar noch auf deinem Rechner, kann sich aber nicht mehr ausführen und ist daher ungefährlich

lg myrtille

als welche funktion den ?
vollständiger suchlauf ?

Nein, der schnelle Scan sollte reichen, dauert etwa 5 Minuten.

lg myrtille

ok was soll ich machn dir den bericht schickn ??

Ja bitte.

lg myrtille

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1134
Windows 5.1.2600 Service Pack 2

30.09.2008 00:13:16
mbam-log-2008-09-30 (00-13-09).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 38831
Laufzeit: 5 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc9k7j0ejba (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\rhc9k7j0ejba (Rogue.Multiple) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PlayMP3Z) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Eric\Lokale Einstellungen\Temp\Rar$EX00.708\Setup.exe (Adware.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> No action taken.
C:\WINDOWS\system32\blphcck7j0ejba.scr (Trojan.FakeAlert) -> No action taken.

Hi,

lass malwarebytes die funde löschen danach solltest du den hintergrund verstellen können.

lg myrtille

du hast es geschafft!!!
vielen vielen vielen ...............lieben Dank!!!
kann ich die ganzen pogramme löschen oder sind die noch nützlich ???

wenn ja wie ???
thx

Hi,
Hijackthis, SuperAntiSpyware, Malwarebytes und Navilog kannst du über Start->systemsteuerung->software deinstallieren.

RSIT kannst du einfach so löschen. (Sowie den Ordner C:\rsit)

Wenn du all diese Schritte durchgeführt hast, und keine Probleme aufgetreten sind, dann kannst du noch die Systemwiederherstellung de- und reaktivieren, indem du unter Start->Systemsteuerung->System->Systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt und später wieder rausnimmst.
Damit werden alle Wiederherstellungspunkte und darin eventuell vorhandene Reste der Infektion gelöscht.

Ich würde Mawalrebytes und/oder Superantispyware als Scanner behalten und den Rest löschen.

lg myrtille

habe ein neues problem
als ich "Systemwiederherstellung auf allen Laufwerken deaktivieren wollte hab ich unten nach dem haken setzen auf ok gedrückt
das kan man yetz nich direkt ändern wie krieg ich das wieder hin ?

Ich versteh die Frage nicht?

Du hast die Systemwiederherstellung deaktiviert? Kannst sie aber nicht wieder aktivieren?

lg myrtille

ich hab den haken gesetzt und dann unten auf ok gedrückt
kam die frage sind sie siche ich auf ja
wie soll ich das yetz wieder so machn wie vorher, also so wies sein soll ?
wenn ich auf systemsteuerung> system gehe kann man das nich mehr ändern weils da nich mehr steht

danke ist ok ich habs gefunden
man musste system nur neu öffnen *schäm*
nya
Danke für alles du bist die beste =)

Na schön zu hören, dass das alles noch geklappt hat. :D Ich kann nämlich nicht mehr gerade aus denken. :blabla:

Ich werd daher jetzt auch verschwinden, alle weiteren Fragen werden dann irgendwann morgen beantwortet. ;)

lg myrtille