Ich bin mir nicht sicher, ob das das richtige Forum für dieses Problem ist, falls nicht, kann man den Thread closen oder einfach verschieben.
Ich habe folgendes Problem. Seit geraumer Zeit springt bei mir, wenn ich im Internet bin ein Pop-Up Fenster auf: Web Offer.
Darunter steht: WEb Offer ist not displayed by any page you are visiting.
Ich könnte einen Pop-Up blocker einschalten, aber ads möchte ich nicht wirklich.
Neulich habe ich auch einen Ordner auf C:/Programme/Web Offer gefunden.
Darin befindet sich auch eine txt Datei.
Da steht folgendes drin:

Zitat:

*** Installation Started 10/25/2004 20:40 ***
Title: Web Offer Installation
Source: C:\WINDOWS\woinstall.exe | 10-25-2004 | 20:39:54 | 127812
Made Dir: C:\Programme\Web Offer
File Copy: C:\Programme\Web Offer\UNWISE.EXE | 05-24-2001 | 12:59:30 | | 162304 | 432c52a3
File Copy: C:\Programme\Web Offer\apev.exe | 09-27-2004 | 16:04:06 | 1.0.0.1 | 81920 | 3e57b688
File Copy: C:\Programme\Web Offer\wo.exe | 09-27-2004 | 16:05:48 | 2.0.80.0 | 139264 | 1cccdcf0
File Copy: C:\Programme\Web Offer\wndbannnp.src | 09-27-2004 | 16:06:42 | | 453 | 2e43387f
File Copy: C:\Programme\Web Offer\basisp.dst | 09-24-2004 | 11:09:24 | | 170196 | 5f6c4ed4
File Copy: C:\Programme\Web Offer\basisp.kwd | 09-24-2004 | 11:09:54 | | 34750 | a7156d38
File Copy: C:\Programme\Web Offer\basisp.pu | 09-24-2004 | 11:10:22 | | 4563 | 31e873ce
File Copy: C:\Programme\Web Offer\basisp.rst | 09-24-2004 | 11:10:08 | | 23513 | 8c0ae203
File Copy: C:\Programme\Web Offer\CHPON.dll | 09-27-2004 | 16:03:50 | 1.0.0.1 | 49152 | f9e628b8
File Copy: C:\Programme\Web Offer\eapbh.dll | 09-27-2004 | 16:06:36 | 2.0.80.0 | 225345 | 68d0dd94
File Copy: C:\Programme\Web Offer\gendis.ez | 09-27-2004 | 16:06:42 | | 1485 | 3d519005
File Copy: C:\Programme\Web Offer\paramp.ez | 09-27-2004 | 16:06:42 | | 232 | 4d83147e
File Copy: C:\Programme\Web Offer\rwdsp.rst | 09-27-2004 | 16:06:42 | | 1110 | ed3e89e2
File Copy: C:\Programme\Web Offer\sepng.dll | 09-27-2004 | 16:05:22 | 2.0.80.0 | 233472 | 9b5efeb0
File Copy: C:\Programme\Web Offer\upgradep.vrn | 10-14-2003 | 17:54:52 | | 3 | f570d16c
File Copy: C:\Programme\Web Offer\versionp.vrn | 09-27-2004 | 13:49:42 | | 3 | f7366f35
File Copy: C:\WINDOWS\system32\ezPopStub.exe | 09-27-2004 | 16:04:28 | 1.0.80.0 | 69632 | ec7326b8
File Copy: C:\WINDOWS\system32\oleacc.dll | | | | 176128 | feea1003
RegDB Key: Software\Web Offer\Setup\Path
RegDB Val: C:\PROGRA~1\Web Offer\
RegDB Root: 1
RegDB Key: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Web Offer
RegDB Val: Web Offer
RegDB Name: DisplayName
RegDB Root: 2
RegDB Key: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Web Offer
RegDB Val: C:\WINDOWS\System32\ezPopStub.exe /uninstall
RegDB Name: UninstallString
RegDB Root: 2
RegDB Key: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Web Offer
RegDB Val:
RegDB Root: 2
Self-Register: C:\PROGRA~1\WEBOFF~1\apev.exe
Self-Register: C:\PROGRA~1\WEBOFF~1\wo.exe
Self-Register: C:\Programme\Web Offer\CHPON.dll
Self-Register: C:\Programme\Web Offer\eapbh.dll
Self-Register: C:\Programme\Web Offer\sepng.dll
Self-Register: C:\WINDOWS\system32\EZPOPS~1.EXE
Self-Register: C:\WINDOWS\system32\oleacc.dll
RegDB Key: Software\Microsoft\Windows\CurrentVersion\Run
RegDB Val: C:\PROGRA~1\Web Offer\wo.exe
RegDB Name: eZWO
RegDB Root: 1
File Tree: C:\PROGRA~1\Web Offer\
File Tree: C:\WINDOWS\woinstall.exe
RegDB Tree: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Web Offer
RegDB Root: 2
Success

Ich habe keine Ahnung was das bedeutet. In der Systemsteuerung unter Software befindet sich kein WEb Offer ads man deinstallieren könnte und den Ordnern Web Offer kann ich auch nicht in den Papierkorb verschieben, weil angeblich eine Datei Schreibgeschützt ist. Als ich bei der enstprechenden Datei auf Eigenschaften gegangen bin war da jedoch nix schreibgeschützt.
Wäre für Hilfe sehr verbunden.
Thx im Vorraus

Bye Katana

P.s. bitte nicht mit Fachwörtern nach mir werfen, ich bin kein Exprete für solche Sachen und kann nur einige grundlegende Sachen auf'm PC

Hi, poste doch einfach mal ein HiJackThis Logfile rein, dann sieht man mehr.

Okay, also hier ist das Teil. Ganz ehrlich gesagt, könnte dort auch ein koreanisches Kochrezept stehen. Ich verstünde genauso viel -_-
Hoffe ihr werdet schlau draus.

Zitat:

Logfile of HijackThis v1.98.2
Scan saved at 17:20:14, on 14.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\winguard.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\ICO.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\Pelmiced.exe
C:\WINDOWS\System32\system32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Web Offer\wo.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Katana\Desktop\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\ishgqyh.exe
O4 - HKLM\..\Run: [winusb.dll] winguard.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] system32.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\tcart.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [winusb.dll] winguard.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] system32.exe
O4 - HKLM\..\RunOnce: [winusb.dll] winguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
O4 - HKCU\..\Run: [winusb.dll] winguard.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] system32.exe
O4 - HKCU\..\RunOnce: [winusb.dll] winguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF1C19A8-7A2D-4ABD-8D0A-F46DDA095511}: NameServer = 217.237.151.97 217.237.150.33

Ja, Katana,
Du hast nicht nur mit WEb Offer ein Problem, das ist eines der vielen kleinsten....
Gemeinerweise hast du WORM_WOOTBOT.M drauf. Dieser Wurm kann Antivirenprogramme auschalten, Backdoors installieren, Tastenfolgen speichern usw.
Deshalb mein Rat: System neu aufsetzen. Bei den ganzen Problemen ist nicht mehr drin.
cacatoa

Da ich den PC nicht alleine benutze, musste ich das mit dem "System neu aufsetzen" absprechen und die Mitbenutzer sind dagegen -_-
Meine Mutter hat mal ein bisschen rumgeforscht und verschiedene Programme aus dem Netz geladen.
Ich habe sie nun angewandt, die entsprechenden Dateien gelöscht und nochmal HiJack drüberlaufen lassen. Dabei kam folgendes Ergebnis raus:

Zitat:

Logfile of HijackThis v1.98.2
Scan saved at 21:50:31, on 16.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\winguard.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\ICO.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\Pelmiced.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Web Offer\wo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Katana\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\ishgqyh.exe
O4 - HKLM\..\Run: [winusb.dll] winguard.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] system32.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\tcart.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [winusb.dll] winguard.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] system32.exe
O4 - HKLM\..\RunOnce: [winusb.dll] winguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
O4 - HKCU\..\Run: [winusb.dll] winguard.exe
O4 - HKCU\..\RunOnce: [winusb.dll] winguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF1C19A8-7A2D-4ABD-8D0A-F46DDA095511}: NameServer = 217.237.151.97 217.237.150.33

Ist das System neu aufsetzen, nach diesem Bericht immer noch notwendig?

Bye Katana

Hallo Katana,

bei dem WORM_WOOTBOT.M handelt es sich um einen Wurm mit Backdoor-Charakter, der Zahlenfolgen speichert, Daten stiehlt, sich mit Einträgen in der Registry festsetzt, die nicht so ohne Weiteres zu löschen sind und Dritten den Zugriff auf den Rechner ermöglicht. Löschen des Wurm genügt sehr wahrscheinlich nicht ... das System Deines Rechners ist verseucht ... eine Reparatur des Systems ist sehr zeitaufwendig. Du kannst davon ausgehen, dass E-Mail-Adressen, Kontonamen und Kennwörter Fremden bekannt sind, die sich Eures Rechners bedienen können mit Dateiübertragungen, Proxyserver und Distributed-Denial-of-Service-Attacken.

Es empfiehlt sich, Würmer dieser Art nicht zu löschen, sondern das System aus dem Netz zu nehmen, um eine Gefahr anderer ausschliessen zu können und sich selbst zu schützen. Sollte Deine Mutter sich so perfekt auskennen, dass sie Euren Rechner selbst reinigen kann, frage ich mich, was Du hier an Board machst ... denn wenn Ihr Euch selbst helfen könnt, braucht Ihr uns doch nicht.

Entfernung von Schädlingen und Kompromittierung unvermeidbar?

Shadowdance

Ich kann mich nicht erinnern geschrieben zu haben, dass sich meine Mutter so perfekt auskennen würde. Habe ich?
Es ist so: Ich habe dieses Problem erst einmal hier her gepostet. Nachdem ich mir die Antwort durchgelesen habe, habe ich es mit ihr abgesprochen und sie wollte es erstmal auf andere Weise probieren, bevor wir das System vielleicht wirklich neu aufsetzen. Deshalb kann ich es nicht verstehen, dass Sie mich jetzt so scharf anfahren.
Danke für die Hilfe, aber ich bitte Sie diese Bemerkungen zu unterlassen, da ich Ihnen keinen Grund dafür gegeben habe, so zu reagieren.

Bye Katana

Am Verseuchungsgrad des PC´s hat sich leider auch beim zweiten Log nichts geändert. Die besondere Gefährlichkeit der vorhandenen Schädlinge besteht darin, dass ein Angreifer das System von Außen nach Belieben manipulieren kann und zwar auch derart, dass neue Schädlinge auch von Virenscannern nicht mehr ohne weiteres entdeckt werden können. Die bisher entdeckten Schädlinge dienen dabei nur als Möglichkeit, weitere, dann nicht mehr sichtbare Nachfolger auf das System zu holen, deswegen wäre auch ein Log, in dem erstere nicht mehr zu finden sind, NICHT automatisch bedeuten, dass der Rechner sauber ist.
Das bedeutet, dass ich jetzt zwar aufschreiben könnte, wie die sichtbaren Schädlinge zu entfernen wären, aber es trotzdem keine Garantie gibt, dass wirklich alles erfasst wurde.

Darüber sollten sich alle Mitbenutzer klar sein, wenn sie sich gegen eine Neuinstallation, die richtig durchgeführt (siehe obigen Link) das einfachste und effektivste Mitte ist, ein sauberes System zu erhalten, aussprechen.
Auf der Basis eines frischen Systems sollten dann alle Mitbenutzer die geposteten Links durcharbeiten und umsetzen, denn die Existenz aller möglichen Schädlingssorte zeigt, dass dort einiges im Argen liegt und wenn grundsätzliche Fehler gemacht werden, ist eine Neuinfektion nur eine Frage der Zeit. Diverse Sicherheitssoftware kann das, entgegen allgemeinem Glauben, NICHT ausgleichen.

Am Verseuchungsgrad des PC´s hat sich leider auch beim zweiten Log nichts geändert. Die besondere Gefährlichkeit der vorhandenen Schädlinge besteht darin, dass ein Angreifer das System von Außen nach Belieben manipulieren kann und zwar auch derart, dass neue Schädlinge auch von Virenscannern nicht mehr ohne weiteres entdeckt werden können. Die bisher entdeckten Schädlinge dienen dabei nur als Möglichkeit, weitere, dann nicht mehr sichtbare Nachfolger auf das System zu holen, deswegen wäre auch ein Log, in dem erstere nicht mehr zu finden sind, NICHT automatisch bedeuten, dass der Rechner sauber ist.
Das bedeutet, dass ich jetzt zwar aufschreiben könnte, wie die sichtbaren Schädlinge zu entfernen wären, aber es trotzdem keine Garantie gibt, dass wirklich alles erfasst wurde.

Darüber sollten sich alle Mitbenutzer klar sein, wenn sie sich gegen eine Neuinstallation, die richtig durchgeführt (siehe obigen Link) das einfachste und effektivste Mitte ist, ein sauberes System zu erhalten, aussprechen.
Auf der Basis eines frischen Systems sollten dann alle Mitbenutzer die geposteten Links durcharbeiten und umsetzen, denn die Existenz aller möglichen Schädlingssorte zeigt, dass dort einiges im Argen liegt und wenn grundsätzliche Fehler gemacht werden, ist eine Neuinfektion nur eine Frage der Zeit. Diverse Sicherheitssoftware kann das, entgegen allgemeinem Glauben, NICHT ausgleichen.