Bitte helft mir! Habe eZula und WebOffer auf meinem PC. Trojaner angezeigt!
 

Hi habe ein ernsthaftes Problem und würde mich freuen wenn man mir helfen könnte. Folgendes, bei mir haben sich 2 Programme namens eZula und WebOffer installiert :snyper: , die sich deinstaliern lassen aber nach neustarten des PC wieder selbst instalieren. :koch: Dazu zeigt mir meine AntiVir noch einen Trojaner an, was mir Sorgen bereitet. Um schnelle Hilfe gebetten, Thx im vorraus. Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:18:29, on 04.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sistray.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\qttask.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\ezula\mmod.exe
C:\PROGRA~1\Web Offer\wo.exe
C:\Programme\SAM\SAM.exe
C:\Programme\NetPumper\NetPumper.exe
C:\Programme\LimeWire\LimeWire.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Software\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Real Alternative\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [shell32] C:\WINDOWS\system32\wuauclt10.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\system32\smmss.exe
O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\system32\wudupdate.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
O4 - HKCU\..\RunOnce: [Web Offer] C:\WINDOWS\system32\smmss.exe
O4 - Startup: SAM.lnk = C:\Programme\SAM\SAM.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .amr: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Servus!
So wie es aussieht hast Du ein gröberes Problem!
.
Lass´ mal diese Dateien bei http://virusscan.jotti.org/de prüfen und poste das Ergebnis anschließend hier. Achte auf die genaue Schreibweise. Falls Du eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder dekativiere temporär Dein PFW.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur
bis dann, stupormundi

danke für die schnelle hilfe. ne frage ist das ein Problem das ich alleine lösen kann oder muss ich vielleicht sogar mein PC formatieren?
danke schon im vorraus

hier die ergebnisse:

Datei: wuauclt10.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: ARMADILLO

AntiVir Keine Viren gefunden
ArcaVir Trojan.Dropper.Pakes gefunden
Avast Win32:Trojano-1918 gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Adware.Winad gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/WinAd gefunden
Kaspersky Anti-Virus Trojan-Dropper.Win32.Pakes gefunden
NOD32 Win32/Adware.WUpd application gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan-Dropper.Win32.Pakes gefunden



und die ander datei:

Datei: smmss.exe_
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: ARMADILLO

AntiVir Keine Viren gefunden
ArcaVir Adware.Ezula.Bg gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Adware.Ezula-2 gefunden
Dr.Web Trojan.Isbar gefunden
F-Prot Antivirus W32/Agent.WS gefunden
Fortinet Adware/Ezula gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.EZula.bg gefunden
NOD32 Win32/Adware.Ezula.BG application gefunden
Norman Virus Control W32/EZula.BS gefunden
UNA Adware.EZula gefunden
VBA32 AdWare.EZula.bg gefunden

p.s: was ich bemerkt habe, ich verwende das programm anti-vir, was bei den analysen hier aber keinen der trojaner gefunden hat, wäre es ratsam ein anderes programm zu benutzen? wenn ja welches? thx für jede antwort

gruß lars

Lasse diese Datei ebenfalls bei Jotti prüfen und teile das Ergebnis mit:

C:\PROGRA~1\Web Offer\wo.exe

hab ich gemacht:

Datei: wo.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Adware.Ezula gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/Ezula gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.EZula.aw gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/EZula.AW gefunden
UNA Adware.EZula gefunden
VBA32 AdWare.EZula.aw gefunden

Lade und update Ad-aware und lasse das Programm laufen.
http://www.comsafe.de/download.html
Installiere Clearprog, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Installiere:
http://www.ewido.net/de/download/

Poste das Ergebnis des Scans mit ewido.

hi ich habe diesen Scan gemacht, doch ich schaff es irgendwie nicht ihn zu kopieren. Es waren 5 Funde, die ich alle entfernt habe.

Ist das jetzt alles gewesen?

Danke für die Hilfe, ohne euch wär ich echt aufgeschmissen gewesen :daumenhoc :aplaus:

Gruß Lars