Hallo!

Habe einen sehr hartnäckigen Trojaner und bin schon ganz verzweifelt. Sorry falls das Problem schon mal gepostet worden ist. Unten hab ich den Log von HijackThis gepostet. Ich bekomme immer irgendwelche Porn Pop-Ups etc. Habe schon versucht die Einträge von "EliteToolBar" mit HijackThis und AdAware im abgesicherten Modus zu fixen. Doch nach dem nächsten Booten sind sie wieder da. Beim Starten von Netscape bekomme ich auch immer ein WinRar Fenster angezeigt, obwohl ich kein WinRar installiert habe. Beende dies dann immer mit Cancel. Wäre toll wenn ihr mir da helfen könntet.

MFG
celtic96

Logfile of HijackThis v1.98.2
Scan saved at 18:36:48, on 05.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\wupda32.exe
C:\Programme\Winamp\Winampa.exe
C:\WINNT\system32\winole.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\wmplayer612.exe
C:\WINNT\system32\Wmplayer.exe
C:\WINNT\system32\internat.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINNT\system32\wuauclt.exe
C:\Dokumente und Einstellungen\WN1\Desktop\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [win update] wupda32.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\Run: [hpfsched] C:\WINNT\hpfsched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe
O4 - HKLM\..\Run: [Windows Media Player] Wmplayer.exe
O4 - HKLM\..\Run: [kalvsys] C:\winnt\system32\kalvycr32.exe
O4 - HKLM\..\RunServices: [win update] wupda32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKLM\..\RunServices: [Windows Media Player 6.1.2] wmplayer612.exe
O4 - HKLM\..\RunServices: [Windows Media Player] Wmplayer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [win update] wupda32.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe
O4 - HKCU\..\Run: [Windows Media Player] Wmplayer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA94634C-67A9-4B73-91A7-511EE185C977}: NameServer = 217.237.150.141 217.237.150.97

Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:

C:\WINNT\system32\wupda32.exe
C:\WINNT\system32\winole.exe
C:\WINNT\system32\wmplayer612.exe
C:\WINNT\system32\Wmplayer.exe
C:\winnt\system32\kalvycr32.exe

hallo celtic96,

hatte auch ähnliches problem und konnte es mit hjt nicht in ordnung bringen.

was auf jeden von nutzen ist; du solltest die systemwiederherstellung deaktivieren und dann im abgesicherten modus versuchen zu fixen. falls das nicht geht sieh mal nach was das programm "spybot" so macht ist freeware und eigentlich ein must have.

bei mir kam die elitetoolbar auch immer und immer wieder. bis ich auf den eintrag O4 - HKLM\..\Run: [kalvsys] C:\winnt\system32\kalvycr32.exe
reagiert habe. dieser sollte auf deinem system höchstens einmal vorhanden sein falls nicht siehts schon mal böse aus.
mache ein backup und fixe den mal und kuck was passiert.

was mir geholfen hat war der "security task manager" da gibt es eine vollfunktionstüchtige freeware die sehr einfach zu handeln ist.

vergiss nicht abgesicherter modus, systemwiederherstellung deaktivieren und los gehts. danach neu starten und im normalen modus die wiederherstellunfg aktivieren.
das ganze machst du unter arbeitsplatz, eigenschaften

viel glück

da dies mein erster post hier ist hoffe ich jetzt nicht das hier einige leute sagen was für ein klugscheisser. ich wollte nur helfen und das mit den methoden welche mir geholfen haben und welche mir bekannt sind

Zitat:

da dies mein erster post hier ist hoffe ich jetzt nicht das hier einige leute sagen was für ein klugscheisser. ich wollte nur helfen und das mit den methoden welche mir geholfen haben und welche mir bekannt sind

Das ist doch in Ordnung.
Nur glaube ich, dass bei dem konkreten Fall "fixen" nichts mehr bringt, da viele der Dateien im Logfile auf aktive Backdoors schließen lassen!

Zitat:

Zitat von zwark

da dies mein erster post hier ist ...

Sei herzlich willkommen

Zitat:

Zitat von zwark

...hoffe ich jetzt nicht das hier einige leute sagen was für ein klugscheisser.

Nein, warum sollte man denn.

Zitat:

Zitat von zwark

ich wollte nur helfen und das mit den methoden welche mir geholfen haben und welche mir bekannt sind

Genau darauf baut das Board doch auf:
Erfahrungsaustausch

apropos klugscheiß

Zitat:

Zitat von zwark

falls das nicht geht sieh mal nach was das programm "spybot" so macht ist freeware und eigentlich ein must have.

Das Programm heißt Spybot Search & Destroy (Spybot S&D) und ist GEGEN Spybots, Download-Quelle siehe meine Signatur.

Hallo,

vielen Dank für Eure Hilfe. Ich melde mich soweit ich weitergekommen bin.

Aber wie mach ich das mit der Systemwiederherstellung deaktivieren? Könnte mir das jemand bitte erklären. Danke!

Gruß
Celtic96

Mach bitte erst das was Cidre gepostet hat, dann kannst du dir den Rest wahrscheinlich schenken.

Hallo,

habe mal ausprobiert was Cidre geschrieben hat. Bei den Dateien Winole.exe und kalvycr.exe hat die Seite einen Wurm entdeckt. Die anderen Dateien hab ich nicht auf meinem PC gefunden. Habe daraufhin mal im abgesicherten Modus alle Einträge mit diesen Dateien gefixt und die Dateien manuell gelöscht. Leider kommt nach dem Neustart diese EliteToolbar wieder. Die anderen Sachen tauchen nicht mehr auf. Hätte ich vorher die Systemwiederherstellung deaktivieren sollen? Vielen Dank im Voraus.

MFG
Celtic96

Hier das neue Log von HijackThis.

Logfile of HijackThis v1.98.2
Scan saved at 18:45:33, on 08.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\internat.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Dokumente und Einstellungen\WN1\Desktop\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [hpfsched] C:\WINNT\hpfsched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [kalvsys] C:\winnt\system32\kalveef32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA94634C-67A9-4B73-91A7-511EE185C977}: NameServer = 217.237.150.141 217.237.150.97

Zitat:

Bei den Dateien Winole.exe und kalvycr.exe hat die Seite einen Wurm entdeckt.

Das war uns schon klar, aber welche(r) wurde denn identifiziert?

Zitat:

Die anderen Dateien hab ich nicht auf meinem PC gefunden.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Wenn du Hilfe erwartest, dann musst du uns zumindest mehr und vor allem mit genaueren Informationen versorgen.