|
EliteToolBar Hallo! Habe einen sehr hartnäckigen Trojaner und bin schon ganz verzweifelt. :headbang: Sorry falls das Problem schon mal gepostet worden ist. Unten hab ich den Log von HijackThis gepostet. Ich bekomme immer irgendwelche Porn Pop-Ups etc. Habe schon versucht die Einträge von "EliteToolBar" mit HijackThis und AdAware im abgesicherten Modus zu fixen. Doch nach dem nächsten Booten sind sie wieder da. Beim Starten von Netscape bekomme ich auch immer ein WinRar Fenster angezeigt, obwohl ich kein WinRar installiert habe. Beende dies dann immer mit Cancel. Wäre toll wenn ihr mir da helfen könntet. MFG celtic96 Logfile of HijackThis v1.98.2 Scan saved at 18:36:48, on 05.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\wupda32.exe C:\Programme\Winamp\Winampa.exe C:\WINNT\system32\winole.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\system32\wmplayer612.exe C:\WINNT\system32\Wmplayer.exe C:\WINNT\system32\internat.exe C:\Programme\Skype\Phone\Skype.exe C:\WINNT\system32\wuauclt.exe C:\Dokumente und Einstellungen\WN1\Desktop\HijackThis.exe R3 - Default URLSearchHook is missing O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar.dll O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [win update] wupda32.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Windows Compliant] winole.exe O4 - HKLM\..\Run: [hpfsched] C:\WINNT\hpfsched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKLM\..\Run: [Windows Media Player] Wmplayer.exe O4 - HKLM\..\Run: [kalvsys] C:\winnt\system32\kalvycr32.exe O4 - HKLM\..\RunServices: [win update] wupda32.exe O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe O4 - HKLM\..\RunServices: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKLM\..\RunServices: [Windows Media Player] Wmplayer.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [win update] wupda32.exe O4 - HKCU\..\Run: [Windows Compliant] winole.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKCU\..\Run: [Windows Media Player] Wmplayer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O17 - HKLM\System\CCS\Services\Tcpip\..\{FA94634C-67A9-4B73-91A7-511EE185C977}: NameServer = 217.237.150.141 217.237.150.97 |
Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis: C:\WINNT\system32\wupda32.exe C:\WINNT\system32\winole.exe C:\WINNT\system32\wmplayer612.exe C:\WINNT\system32\Wmplayer.exe C:\winnt\system32\kalvycr32.exe |
hallo celtic96, hatte auch ähnliches problem und konnte es mit hjt nicht in ordnung bringen. was auf jeden von nutzen ist; du solltest die systemwiederherstellung deaktivieren und dann im abgesicherten modus versuchen zu fixen. falls das nicht geht sieh mal nach was das programm "spybot" so macht ist freeware und eigentlich ein must have. bei mir kam die elitetoolbar auch immer und immer wieder. bis ich auf den eintrag O4 - HKLM\..\Run: [kalvsys] C:\winnt\system32\kalvycr32.exe reagiert habe. dieser sollte auf deinem system höchstens einmal vorhanden sein falls nicht siehts schon mal böse aus. mache ein backup und fixe den mal und kuck was passiert. was mir geholfen hat war der "security task manager" da gibt es eine vollfunktionstüchtige freeware die sehr einfach zu handeln ist. vergiss nicht abgesicherter modus, systemwiederherstellung deaktivieren und los gehts. danach neu starten und im normalen modus die wiederherstellunfg aktivieren. das ganze machst du unter arbeitsplatz, eigenschaften viel glück da dies mein erster post hier ist hoffe ich jetzt nicht das hier einige leute sagen was für ein klugscheisser. ich wollte nur helfen und das mit den methoden welche mir geholfen haben und welche mir bekannt sind |
Zitat:
Nur glaube ich, dass bei dem konkreten Fall "fixen" nichts mehr bringt, da viele der Dateien im Logfile auf aktive Backdoors schließen lassen! |
Zitat:
Zitat:
Zitat:
Erfahrungsaustausch http://www.trojaner-board.com/images...daumenhoch.gif apropos klugscheiß http://www.trojaner-board.com/images...es/biggrin.gif Zitat:
|
Hallo, vielen Dank für Eure Hilfe. Ich melde mich soweit ich weitergekommen bin. Aber wie mach ich das mit der Systemwiederherstellung deaktivieren? Könnte mir das jemand bitte erklären. Danke! Gruß Celtic96 |
Mach bitte erst das was Cidre gepostet hat, dann kannst du dir den Rest wahrscheinlich schenken. |
Hallo, habe mal ausprobiert was Cidre geschrieben hat. Bei den Dateien Winole.exe und kalvycr.exe hat die Seite einen Wurm entdeckt. Die anderen Dateien hab ich nicht auf meinem PC gefunden. Habe daraufhin mal im abgesicherten Modus alle Einträge mit diesen Dateien gefixt und die Dateien manuell gelöscht. Leider kommt nach dem Neustart diese EliteToolbar wieder. Die anderen Sachen tauchen nicht mehr auf. Hätte ich vorher die Systemwiederherstellung deaktivieren sollen? Vielen Dank im Voraus. MFG Celtic96 Hier das neue Log von HijackThis. Logfile of HijackThis v1.98.2 Scan saved at 18:45:33, on 08.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\system32\internat.exe C:\Programme\Skype\Phone\Skype.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\Dokumente und Einstellungen\WN1\Desktop\HijackThis.exe R3 - Default URLSearchHook is missing O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar.dll O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [hpfsched] C:\WINNT\hpfsched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [kalvsys] C:\winnt\system32\kalveef32.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O17 - HKLM\System\CCS\Services\Tcpip\..\{FA94634C-67A9-4B73-91A7-511EE185C977}: NameServer = 217.237.150.141 217.237.150.97 |
Zitat:
Zitat:
Wenn du Hilfe erwartest, dann musst du uns zumindest mehr und vor allem mit genaueren Informationen versorgen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board