Bitte um Rat bei auswertung der Log date . Danke

#1 Hallo zusammen ich hab mein system erst wider vor 5 Tagen neu gemacht also neu Installiert seit gestern hab ich wider diese Firefox fehlermeldung nssappshell ...
ich hab unteranderen das problem das Firefox(3.0.8 ) lange braucht um sich zu öffnen ca 40 sek.und das der seiten aufbau auch nicht besonders schnell geht . Ich hab mal Malewarebyts durchlaufen lassen mit 3 fehler danach den cc cleaner und alles bereinigt und mit hijackThis die log datei erstellt aber ich kann damit nicht viel anfangen .
danke für eure hilfe . mario2008


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:42:10, on 22.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21020)
Boot mode: Normal

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://google.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [yeowc] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\yeowc.exe" yeowc
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5032 bytes

#2 Was hat Malwarebytes gefunden? Poste das Log.
Hast du das ganze System neu aufgesetzt?

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O4 - HKCU\..\Run: [yeowc] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\yeowc.exe" yeowc

und wähle fix checked.

Starte den Rechner neu.

>>
Ist das wirklich das ganze HJT Log??? Denke nicht.


Gruss swiss

#3 @tonstudio das ist das ganze log denke ich. fängt mit dem kopf an und endet hier:
--
End of file - 5032 bytes
ist bestimmt navipromo auf dem system.

#4 Hmm das mit dem Log habe ich mir auch gedacht aber hatte das Gefühl da fehlt was!?!

#5 naja n neues kann ja net schaden ;-)

#6 Hallo ja ich hab die platte neu gekauft darum auch neues system .
Ich poste gleich das neue log .
Was meinst du mit
/// Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate: ///

versteh ich nicht sorry .

#7 du sollst den link anklicken der auch noch da steht, dann wirst du verstehen ;-)

#8 Ja sorry hab gesehen und übigens hab ich mich vertan die alte platte ist die wo ich das system neu drauf gemacht hab die neue läuft als zweite mit . Und was für bat und dat datei soll ich jetzt posten oder von dem das ganze im editor bei datfind bat. ?

#9 von jedem verzeichniss ein monat

#10 So hier das verzeichniss hoffe es ist richtig .

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C5C-9775

Verzeichnis von c:\

22.04.2009 18:43 0 dirdat.txt
22.04.2009 18:37 1.609.617.408 hiberfil.sys
22.04.2009 18:37 2.145.386.496 pagefile.sys
16.04.2009 17:45 268 sqmdata00.sqm
16.04.2009 17:45 244 sqmnoopt00.sqm
16.04.2009 13:50 0 CONFIG.SYS
16.04.2009 13:50 0 IO.SYS
16.04.2009 13:50 0 MSDOS.SYS
16.04.2009 13:50 0 AUTOEXEC.BAT
16.04.2009 13:43 211 boot.ini


Verzeichnis von C:\WINDOWS\system32

22.04.2009 18:38 2.206 wpa.dbl
21.04.2009 18:47 148.888 javaws.exe
21.04.2009 18:47 144.792 javaw.exe
21.04.2009 18:47 73.728 javacpl.cpl
21.04.2009 18:47 144.792 java.exe
21.04.2009 18:47 410.984 deploytk.dll
21.04.2009 18:40 6.944 jupdate-1.6.0_07-b06.log
18.04.2009 08:46 440.684 perfh009.dat
18.04.2009 08:46 71.002 perfc009.dat
18.04.2009 08:46 458.402 perfh007.dat
18.04.2009 08:46 84.500 perfc007.dat
18.04.2009 08:46 1.069.336 PerfStringBackup.INI
18.04.2009 08:42 93.480 FNTCACHE.DAT
16.04.2009 18:52 3.457 jupdate-1.6.0_13-b03.log
16.04.2009 18:23 16.832 amcompat.tlb
16.04.2009 18:23 23.392 nscompat.tlb
16.04.2009 17:07 604.416 TUProgSt.exe
16.04.2009 17:06 360.704 TuneUpDefragService.exe
16.04.2009 14:43 0 h323log.txt
16.04.2009 14:38 4.444 pid.PNF
16.04.2009 14:14 211.660 TZLog.log
16.04.2009 14:12 791 $winnt$.inf
16.04.2009 13:50 2.951 CONFIG.NT
16.04.2009 13:49 488 WindowsLogon.manifest
16.04.2009 13:49 488 logonui.exe.manifest
16.04.2009 13:48 749 wuaucpl.cpl.manifest
16.04.2009 13:48 749 sapi.cpl.manifest
16.04.2009 13:48 749 cdplayer.exe.manifest
16.04.2009 13:48 749 nwc.cpl.manifest
16.04.2009 13:48 749 ncpa.cpl.manifest
16.04.2009 13:46 21.740 emptyregdb.dat

Verzeichnis von C:\WINDOWS

22.04.2009 18:38 590.267 WindowsUpdate.log
22.04.2009 18:38 0 0.log
22.04.2009 18:37 2.048 bootstat.dat
22.04.2009 18:37 32.446 SchedLgU.Txt
22.04.2009 16:38 8.441 setupapi.log
21.04.2009 21:49 116 NeroDigital.ini
16.04.2009 17:41 0 nsreg.dat
16.04.2009 14:38 231 system.ini
16.04.2009 14:13 8.192 REGLOCS.OLD
16.04.2009 13:50 0 control.ini
16.04.2009 13:50 507 win.ini
16.04.2009 13:50 316.640 WMSysPr9.prx
16.04.2009 13:50 4.161 ODBCINST.INI
16.04.2009 13:48 749 WindowsShell.Manifest
16.04.2009 13:45 37 vbaddin.ini
16.04.2009 13:45 36 vb.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C5C-9775

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

22.04.2009 18:41 311.296 ~DF526A.tmp
22.04.2009 18:38 16.384 Perflib_Perfdata_9e0.dat
22.04.2009 18:38 16.384 Perflib_Perfdata_8ac.dat
22.04.2009 17:33 16.646 jusched.log
22.04.2009 14:55 917.504 MFPL7014.DLL
22.04.2009 12:48 12.304 etilqs_hmJo2JWdFyBV4KvDm0ql
22.04.2009 12:41 16.384 Perflib_Perfdata_4c0.dat
22.04.2009 12:41 16.384 Perflib_Perfdata_764.dat
22.04.2009 00:16 1.416 wmplog00.sqm
21.04.2009 20:20 132.576 jar_cache7763073457134332697.tmp
21.04.2009 20:19 0 jar_cache2742544317385420421.tmp
21.04.2009 20:18 0 jar_cache2757494570672958077.tmp
21.04.2009 20:18 64.115 jar_cache8520402238272834517.tmp
21.04.2009 20:18 14.919 java_install_reg.log
21.04.2009 20:17 0 jar_cache7277280411786947110.tmp
21.04.2009 20:17 132.576 jar_cache1506670656052099807.tmp
21.04.2009 20:16 0 jar_cache6377593126434283480.tmp
21.04.2009 20:16 0 jar_cache4698881640070988080.tmp
21.04.2009 20:04 2.693 jar_cache2123260358263586744.tmp
21.04.2009 20:04 2.693 jar_cache2215853708293559358.tmp
21.04.2009 18:48 28.953 java_install.log
21.04.2009 18:37 3.736 java_install_sp.log
21.04.2009 18:35 9.633 jinstall.cfg
20.04.2009 19:22 1.388.548 3-3.mpg
20.04.2009 19:20 2.170.884 3-2.mpg
20.04.2009 19:17 0 1qdB2.tmp
20.04.2009 19:13 3.610.628 4-2.mpg
20.04.2009 19:13 3.639.300 3-1.mpg
20.04.2009 19:12 3.612.676 2-1.mpg
20.04.2009 19:03 2.480.132 4-1.mpg
20.04.2009 19:03 2.465.796 3.mpg
20.04.2009 19:02 2.486.276 2.mpg
20.04.2009 19:01 2.484.228 1.mpg
20.04.2009 19:00 0 puaAB.tmp
20.04.2009 18:56 0 2a5AA.tmp
20.04.2009 18:48 0 hguA9.tmp
20.04.2009 18:47 0 6b8A8.tmp
20.04.2009 18:38 0 1dcA5.tmp
20.04.2009 18:35 0 pi2A4.tmp
20.04.2009 18:34 2.318.340 03-1.mpg
20.04.2009 18:32 1.183.748 shannen204.mpg
20.04.2009 18:27 847.876 V05113_t12_650.mpg
20.04.2009 18:27 847.876 V05113_t11_650.mpg
20.04.2009 18:21 0 nebA3.tmp
20.04.2009 18:12 1.345.540 4.mpg
20.04.2009 18:08 0 l3597.tmp
20.04.2009 18:07 0 wa196.tmp
20.04.2009 18:05 2.021.498 www.facialabuse.com_fa_taylor_mae2.wmv
20.04.2009 18:04 1.941.498 www.facialabuse.com_fa_taylor_mae1.wmv
20.04.2009 17:47 2.137.704 ztod-wrecked-em-43.mpg
20.04.2009 17:46 2.023.963 ztod-wrecked-em-42.mpg
20.04.2009 17:41 339.030 onIdle.wmv
20.04.2009 17:41 129.676 font1b.ttf
20.04.2009 17:41 137.568 font1.ttf
20.04.2009 17:41 538.806 webmediaplayer_skin.dat
20.04.2009 17:41 254.694 webmediaplayer_exe.dat
20.04.2009 17:41 164.768 sqlite_dll.dat
20.04.2009 17:36 1.657.431 03.mpg
20.04.2009 17:35 1.635.755 02.mpg
18.04.2009 16:14 36.308 AAX10.tmp
16.04.2009 18:44 439.720 ca_106.tmp.dll
16.04.2009 18:42 651 snapman_nt2kdel.inf
16.04.2009 18:41 184 tmpC8.tmp

#11 Bitte poste das Log von malwarebytes:
Malwarebytes öffnen --> Reiter: Scanberichte --> neustes Log öffnen --> posten

Gruss Swiss

#12 OK hier bitte das log von malwarebytes

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2025
Windows 5.1.2600 Service Pack 3

22.04.2009 17:25:53
mbam-log-2009-04-22 (17-25-53).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 96445
Laufzeit: 1 hour(s), 36 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\web-mediaplayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{ADFDF701-1639-40A7-8EF5-4FA341375732}\RP26\A0003527.exe (Adware.Navipromo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{ADFDF701-1639-40A7-8EF5-4FA341375732}\RP26\A0003528.exe (Adware.Navipromo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{ADFDF701-1639-40A7-8EF5-4FA341375732}\RP26\A0003531.exe (Adware.Navipromo) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\WebMediaPlayer.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources\wmp_translation_file.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins\classic.skn (Adware.EGDAccess) -> Quarantined and deleted successfully.

#13 Da scheine ich mit meiner Vermutung richtig gelegen zu haben.
füre Navilog Option 1 aus, poste das Log:
http://virus-protect.org/artikel/tools/navilog.html

#14 hier der log von Navilog

Search Navipromo version 3.7.6 began on 23.04.2009 at 15:25:43,03

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.80GHz )
BIOS : Version 5.00 R2.03.1561.01
USER : Administrator ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:28 Go)
D:\ (Local Disk) - FAT32 - Total:19 Go (Free:16 Go)
E:\ (Local Disk) - NTFS - Total:14 Go (Free:13 Go)
F:\ (Local Disk) - NTFS - Total:48 Go (Free:19 Go)
G:\ (Local Disk) - NTFS - Total:80 Go (Free:73 Go)
H:\ (Local Disk) - NTFS - Total:4 Go (Free:0 Go)
I:\ (CD or DVD)


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

...\WebMediaPlayer found !

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" :

yeowc.exe found !
yeowc.dat found !
yeowc_nav.dat found !
yeowc_navps.dat found !

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 23.04.2009 at 15:30:17,28 ***

#15 Nun im abgesicherten Modus weiter mit Option 2.
poste das log + hjt-log + berichte wie dein PC läuft.