![]() |
Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten Hallo zusammen. bin wohl mit den oben genannten viren infiziert, bzw. der rechner. ;-) würd mich über hilfe sehr freuen... hab leider wenig ahnung bei der bekämpfung und werd mich mal so gut ich's hinbekomme an die grundregeln halten... laut AVG befinden sich die beiden in den anwendungsdaten. löschen bringt nix: NaviPromo.AF laut AVG in: c:\Dokumente und Einstellungen/***/Lokale Einstellungen/Anwendungsdaten/ikycc_navps.dat NaviPromo.AA in: c:\Dokumente und Einstellungen/***/Lokale Einstellungen/Anwendungsdaten/ikycc.dat also, dann mal los, werde als nächstes den report von malwarebytes anti-malware posten, wenn es endlich durchgelaufen ist... schon mal vielen dank!!! |
Hi, Navilog Folge folgender Anleitung: http://www.trojaner-board.de/69713-e...navipromo.html oder Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines Virescanners sin zu ignorieren (Anwendung erlauben!) Alle anderen Anwendungen bitte beenden! Danach sollte navilog automatsich starten, sonst per Doppelklick dem Desktop starten. Im Sprachmenü bitte English auswählen, ausser Du kannst eine der angegebenen Sprachen ;o) Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter. Während der Suche nichts am Rechner machen, nur auf Programmaufforderung! Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen, Inhalt kopieren und in Thread einfügen. Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\"). http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe chris |
so, hier schon mal der log von malwarebytes: Code: Malwarebytes' Anti-Malware 1.37 |
so, jetzt auch navilog: Code: Search Navipromo version 3.7.7 began on 16.06.2009 at 14:23:46,78 |
HJT log: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo, falls noch nicht erfolgt, MAM alles bereinigen lassen und danach Navilog: Starte das Programm und wähle Option 2 aus! Der Rechner wird nun neu gestartet, bestätige den ggf. den Neustart. Beim Neustart läuft NaviFix automatisch an (nichts am Rechner machen bis der Scan zu Ende ist!). Ist NaviFix beendet, öffnet sich wieder ein Editorfenster mit dem Log, das abkopieren und Posten ggf. Zwischenspeichern. Was mir Sorgen macht, ist das hier: 701a00761.dll Der hängt sich überall rein... zu finden sein müsste das u.a. auch hier: C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\[zufälligerName].dll c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\[zufälligerName].dll c:\dokume~1\USER\ANWEND~1\MACROM~1\Common\[zufälligerName].DLL c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common\[zufälligerName].DLL Wobei der zufällige Name 701a00761 ist und User Dein Benutzername ... Prüfe mal noch ob Du das liebe Teil dort noch findest, dann hat MAM nicht alles gefunden und die Bereinigung bringt nichts... Zusätzlich noch: RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
vielen vielen dank erstmal! aber die datei ist in der tat noch zu finden. und nun??? |
Hi, Hardcore: Hier der Versuch einer "generischen" Lösung, bitte USER im Script gegen den richtigen Pfad tauschen (Benutzername) und [zufälligerName] gegen den angegebenen Name (ohne "dll")! Avenger: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete: 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. chris |
so: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Hi, bitte noch RSIT... chris |
kommt sofort ;) Code: Logfile of random's system information tool 1.06 (written by random/random) |
teil 2: Code: ======Scheduled tasks folder====== |
Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\rasqervy.dll
Einen haben wir noch: Code: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] Sonst kopiere das und speichere es als wabweg.reg auf dem Desktop, mit Doppelklick ausführen, Frage "..zusammenführen..." abnicken... Code: REGEDIT4 Dein Adobe und Dein Java sind veraltet, bitte updaten; Adobe: Alten deinstallieren (Systemsteuerung->SW) und neuen Installieren: http://www.adobe.com/de/products/reader/ JAVA Download http://www.java.com/de/download/manual.jsp Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle älteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus die neue Version! Abschließend noch ein Scan mit Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
folgendes ergebnis: Code: sdfinacs.dll |
und: Code: sdfixwcs.dll |
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board