Öffnung ständiger Popupfenster, gerne eine direkte Problemanalyse

#1 Hey, ich hab jetzt schon viel probiert....aber irgendwie bekomme ich diese Popups nicht weg. Es öffnet sich alle 4 Minuten etwa ein neues Fenster mit Werbung. Virenscan und spyspot haben keinerlei anzeichen....auch meine Fireware Zonealarm zeigt keinerlei Anzeichen. Könnt ihr mir vielleicht helfen. Hier mal eine aktueller Hijackscan.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:04:26, on 23.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\BenQ\Q-MediaBar\QBar.exe
C:\Programme\BenQ\QPower\QPower.exe
C:\Programme\BenQ\QPresentation\QPresentation.exe
C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe
C:\Programme\BenQ\QMusic2\QMAgent.exe
C:\Programme\BenQ\Common\Bin\iviRCService.exe
C:\Programme\BenQ\IMCSvr\IMCSvr.exe
C:\WINDOWS\system32\drivers\CIR.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\BASE&E-PLUS\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\QIP\qip.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\ZoneLabs\UpdClient.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe /stop
O4 - HKLM\..\Run: [QPower] C:\Programme\BenQ\QPower\QPower.exe /s
O4 - HKLM\..\Run: [QPresentation] C:\Programme\BenQ\QPresentation\QPresentation.exe /s
O4 - HKLM\..\Run: [Q-HotkeyMgr] C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QMusic2] C:\Programme\BenQ\QMusic2\QMAgent.exe
O4 - HKLM\..\Run: [IviRCService] C:\Programme\BenQ\Common\Bin\iviRCService.exe
O4 - HKLM\..\Run: [IMCServerAutoStart] C:\Programme\BenQ\IMCSvr\IMCSvr.exe
O4 - HKLM\..\Run: [CIR] C:\WINDOWS\system32\drivers\CIR.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192198618656
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FC7AEA0-5FF3-4E3D-9B40-9EF4FA66BE09}: NameServer = 212.23.97.2 212.23.97.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7481 bytes

#2 Hallo,
wende bitte Combofix an + poste hier das Log, was erscheint
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Es scheint sich irgendwie gegeben zu haben....nach dem ich ad aware mehrmals drüber laufen lassen habe, macht er keine weiteren Mucks....ich danke aber für die Hilfe und melde mich....falls wieder was ist.
DANKE trotzdem

Hier aber trotzdem den Log, vielleicht ist ja noch was nicht oki.

ComboFix 08-02-23.2 - Sauer 2008-02-23 19:56:40.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1189 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sauer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\Dokumente und Einstellungen\Sauer\Lokale Einstellungen\Anwendungsdaten\vkripftb.dat
C:\Dokumente und Einstellungen\Sauer\Lokale Einstellungen\Anwendungsdaten\vkripftb.exe
c:\Dokumente und Einstellungen\Sauer\Lokale Einstellungen\Anwendungsdaten\vkripftb_nav.dat
c:\Dokumente und Einstellungen\Sauer\Lokale Einstellungen\Anwendungsdaten\vkripftb_navps.dat

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-23 bis 2008-02-23 ))))))))))))))))))))))))))))))
.

2008-02-23 18:21 . 2008-02-23 18:21 <DIR> d-------- C:\Programme\Lavasoft
2008-02-23 18:21 . 2008-02-23 18:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-23 18:20 . 2008-02-23 18:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-23 16:34 . 2008-02-23 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\Sauer\Anwendungsdaten\MailFrontier
2008-02-23 14:05 . 2008-02-23 19:57 700,704 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-23 14:05 . 2008-02-23 17:11 3,428 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-02-23 14:02 . 2008-02-23 18:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-02-23 14:02 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-02-23 14:02 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2008-02-23 14:02 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2008-02-23 14:02 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-02-23 14:02 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-02-23 14:02 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-02-23 13:59 . 2008-02-23 13:59 <DIR> d-------- C:\Programme\Zone Labs
2008-02-22 21:05 . 2008-02-22 21:05 <DIR> d-------- C:\Programme\Trend Micro
2008-02-17 22:10 . 2008-02-17 22:10 0 --a------ C:\LOG24.tmp
2008-02-17 21:19 . 2008-02-17 21:19 0 --a------ C:\LOG20.tmp
2008-02-17 20:07 . 2008-02-17 20:07 0 --a------ C:\LOG14.tmp
2008-02-11 15:45 . 2008-02-11 15:41 691,545 --a------ C:\WINDOWS\unins000.exe
2008-02-11 15:45 . 2008-02-11 15:45 3,457 --a------ C:\WINDOWS\unins000.dat
2008-02-09 12:57 . 2008-02-23 18:11 <DIR> d-------- C:\Programme\Mozilla Thunderbird
2008-02-09 12:57 . 2008-02-09 12:57 <DIR> d-------- C:\Dokumente und Einstellungen\Sauer\Anwendungsdaten\Thunderbird

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-23 17:54 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-02-23 09:29 --------- d-----w C:\Dokumente und Einstellungen\Sauer\Anwendungsdaten\AVG7
2008-02-22 22:06 3,356 ----a-w C:\WINDOWS\system32\tmp.reg
2008-02-22 17:44 86,016 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-02-17 21:11 --------- d-----w C:\Dokumente und Einstellungen\Sauer\Anwendungsdaten\U3
2008-02-17 11:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-02-11 14:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-11 14:49 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-08 09:37 82,432 ----a-w C:\WINDOWS\system32\IEDFix.exe
2008-01-20 10:29 --------- d-----w C:\Programme\FlashGet
2008-01-08 14:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF 4
2008-01-08 14:14 --------- d-----w C:\Programme\Visagesoft
2008-01-08 14:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF Jobs
2008-01-08 14:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF
2008-01-04 17:17 --------- d-----w C:\Dokumente und Einstellungen\Sauer\Anwendungsdaten\Skype
2007-12-13 18:27 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-12-07 02:04 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
1999-03-11 17:22 99,840 ----a-w C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w C:\Programme\Gemeinsame Dateien\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 20:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-02-07 01:36 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-02-07 01:40 118784]
"RTHDCPL"="RTHDCPL.EXE" [2006-02-10 11:25 15969280 C:\WINDOWS\RTHDCPL.exe]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 12:51 53248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-10-28 10:58 761945]
"Q-MediaBar"="C:\Programme\BenQ\Q-MediaBar\QBar.exe" [2005-11-28 08:20 282713]
"QPower"="C:\Programme\BenQ\QPower\QPower.exe" [2006-01-26 16:07 155648]
"QPresentation"="C:\Programme\BenQ\QPresentation\QPresentation.exe" [2006-02-13 16:45 65613]
"Q-HotkeyMgr"="C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe" [2006-01-26 15:26 155648]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"QMusic2"="C:\Programme\BenQ\QMusic2\QMAgent.exe" [2005-03-07 14:40 151552]
"IviRCService"="C:\Programme\BenQ\Common\Bin\iviRCService.exe" [2006-03-11 05:39 73728]
"IMCServerAutoStart"="C:\Programme\BenQ\IMCSvr\IMCSvr.exe" [2006-02-22 03:48 802816]
"CIR"="C:\WINDOWS\system32\drivers\CIR.exe" [2006-02-13 16:20 28672]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 11:37 667718]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 10:41 602182]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-21 11:15 579072]
"vspdfprsrv.exe"="C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe" [2006-05-04 06:58 998912]
"RegistryMechanic"="" []
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 20:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-23 09:37 219136]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 03:44:06 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:54 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\QIP\\qip.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\BenQ\\QMedia Center\\QMC.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"= %windir%\\Network Diagnostic\\xpnetdiag.exe:@xpsp3res.dll,-20000
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Dokumente und Einstellungen\\Sauer\\Anwendungsdaten\\U3\\000158705203378C\\0DE4F643-C398-46ec-9339-2362F2311932\\Exec\\skype.exe"=
"C:\\Programme\\FlashGet\\FlashGet.exe"=

R2 MTC0301_CIR;CIR Device;C:\WINDOWS\system32\drivers\CIR.sys [2004-11-26 14:41]
R3 QBIOSHw.dll;QBIOSHw.dll;C:\Programme\BenQ\QPower\QBIOSHw.dll [2006-01-23 19:25]
S3 aver7700;AVerMedia aver7700 DVB-T;C:\WINDOWS\system32\Drivers\aver7700.sys [2006-02-20 14:12]
S3 QDtvHw.dll;QDtvHw.dll;C:\Programme\BenQ\QMedia Center\QDtvHw.dll [2006-02-06 08:27]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{021dfb0a-6470-11dc-839d-0040d0a306cf}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{552877fe-7581-11dc-83c4-0040d0a306cf}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66727998-6130-11dc-8395-0040d0a306cf}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6672799a-6130-11dc-8395-0040d0a306cf}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c029f84-bae8-11dc-848a-0040d0a306cf}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6e38cb7c-c04f-11dc-8496-0040d0a306cf}]
\Shell\AutoRun\command - F:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8880390e-614f-11dc-8396-0040d0a306cf}]
\Shell\AutoRun\command - F:\AutoRun.exe

*Newly Created Service* - AAWSERVICE
*Newly Created Service* - HTTPFILTER
*Newly Created Service* - QBIOSHW.DLL
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-23 19:58:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-23 19:58:35
.
2008-02-17 11:31:43 --- E O F ---

#4 hi, hierbei handelt es sich um navipromo verwende dieses removal:
Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.• Doppel-klicke
navilog1.exe, um es auf dem PC zu installieren.
(Wenn Du die Zip Datei heruntergeladen hast, dann doppel-klicke diese und mache einen erneuten Doppel-klick auf die im Archiv befindende
Navilog1.exe)• Wenn die Installation abgeschlossen ist, wird das Programm automatisch starten.• Sollte es nicht automatisch starten, so mache
einen Doppel-klick auf Navilog1 shortcut auf deinem desktop um es auszufuehren.• Druecke E fuer Englisch im Sprachenmenue-• Druecke
1 in dem naechsten Menue umd "Suche" auszuwaehlen. Bestaetige mit Enter.• Warte bis der Scan fertig ist (Es koennte etwas laenger
dauern)• Druecke eine beliebige Taste, wie aufgefordert.• Ein neues Dokument wird erstellt und oeffnet sich: fixnavi.txt.• Bitte kopiere/fuege
den Inhalt dieser Datei in deine naechste Antwort ein.Der Bericht wird außerdem Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:

Navilog1.exe und andere Dateien, werden aehnlich wie process.exe, von einigen Antiviren Herstellern / Firewall Herstellern als sogenannte
Risktools erkannt. Es ist kein Virus, sondern ein Programm zur Reinigung dieser Infizierung.[noparse]

• Doppel-klicke auf den Navilog1 Shortcut auf deinem Desktop um es auszufuehren.• Klicke E fuer Englisch im Sprachenmenue• Tippe
2 in dem naechsten Menue und druecke Enter.• Das Programm wird dich dann darauf hinweisen, das der PC neugestartet wird.• Schliesse alle
offenen Fenster und speichere alle offenene privaten Dokumente, falls diese geoeffnet sind.• Falls dein PC nicht neustartet, mache einen manuellen
Neustart.• Waehle dein normales Benutzerprofil.• Warte auf die *** Cleaning stage complete! *** Nachricht (es koennte etwas laenger
dauern)• Ein neues Dokument wird erstellt.• Bitte kopiere/fuege den Inhalt dieses Dokuments in deine naechste Antwort ein.• Dein Desktop wird
nun wieder erscheinen.NB : Im Falle eines Desktop Verlustes, betaetige Strg+Alt+Entf und lasse Explorer.exe als einen neuen Task laufen.

Der Bericht wird außerdem im Hauptverzeichnis gespeichert.[noparse]

#5 vom ersten Durchlauf

Search Navipromo version 3.4.6 began on 23.02.2008 at 20:51:58,79

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Updated on 20.02.2008 at 20h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Done in normal mode

*** Searching for installed Software ***




*** Search folders in C:\WINDOWS ***



*** Search folders in C:\Programme ***



*** Search folders in C:\DOKUME~1\ALLUSE~1\ANWEND~1 ***




*** Search folders in "C:\Dokumente und Einstellungen\Sauer\anwend~1" ***



*** Search folders in "C:\Dokumente und Einstellungen\Sauer\lokale~1\anwend~1" ***



*** Search folders in "C:\Dokumente und Einstellungen\Sauer\STARTM~1\PROGRA~1" ***


*** Search folders in C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1 ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in C:\WINDOWS\system32 *

* Scan in "C:\Dokumente und Einstellungen\Sauer\lokale~1\anwend~1" *



*** Search files ***




*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In C:\WINDOWS\system32 :


* In "C:\Dokumente und Einstellungen\Sauer\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !

4)Search known files :



*** Search completed on 23.02.2008 at 20:54:54,07 ***

zweiter durchlauf:

Navipromo Removal version 3.4.6 started on 23.02.2008 at 20:56:23,95

Fix running from C:\Programme\navilog1
Updated on 20.02.2008 at 20h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Automatic removal
with Catchme and GNS results



*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in C:\WINDOWS\System32 *


* Deletion in "C:\Dokumente und Einstellungen\Sauer\lokale~1\anwend~1" *



*** Deleting folders in C:\WINDOWS ***


*** Deleting folders in C:\Programme ***


*** Deleting folders in C:\DOKUME~1\ALLUSE~1\ANWEND~1 ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Sauer\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Sauer\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Sauer\STARTM~1\PROGRA~1" ***


*** Deleting folders in C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1 ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Sauer\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In C:\WINDOWS\system32 *


* In "C:\Dokumente und Einstellungen\Sauer\lokale~1\anwend~1" *


*** Copy Registry to Backupnavi folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !

*** Cleaning stage complete on 23.02.2008 at 20:59:24,09 ***

#6 KANNST WIEDER RUTNER TUN:::

#7 oki danke....ist jetzt alles klar...oder werde ich weiter belästigt? Also es scheint alles wieder fit zu sein!