Wer kann mir helfen? Trotz löschen der Toolbar installiert sich der Mist immer wieder auf meinem Rechner. Ich kann das Miniprogramm auch mit alllen bekannten Tools fixen, aber nach jedem Neustart ist es wieder da...

Hallo Zwerch,

erstelle bitte ein Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste, entsprechend der Anleitung in diesem Link, hier ins Forum.

SD

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\Razer\razertra.exe
C:\WINDOWS\System32\wuam.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\MOZILLA\MOZILLA\MOZILLA.EXE
C:\Dokumente und Einstellungen\VC Süchtiger\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 50.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 50.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winjng32.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

Scanne mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte ein neues HijackThis-Log.

Du hast aktive Backdoorprogramme auf deinem PC laufen, u.a.:

http://www.sophos.de/virusinfo/analyses/w32rbotm.html

Es ist kompromittiert:

http://oschad.de/wiki/index.php/Kompromittierung

Du solltest daher am besten die folgenden Punkte befolgen:




1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen

Okay... mit "escan" bin ich diese Wuam.exe losgeworden, aber diese "Elitebar" ist immer noch da... In der Systemsteuerung (Software) war sonst ein Eintrag zu finden, der ist nun weg... Aber im Windows-Ordner ist immer noch der "Elitebar"-Ordner
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\MOZILLA\MOZILLA\MOZILLA.EXE
C:\Dokumente und Einstellungen\VC Süchtiger\Desktop\HijackThis.exe

O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 50.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

Fixe dies mit HijackThis:
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 50.dll

Danach lösche den Ordner EliteBar unter Windows.

Du solltest dir aber die Ratschläge von Moutainking wirklich zu Herzen nehmen.
Dies ist wirklich kein Witz.

Meine Erfahrungen mit Elitebar Internet Explorer Toolbar
das u.a. www searchmiracle... automatisch aufruft und wie ich diesen Hijacker los wurde:

Von mir eingesetzte Anti-Spy- und Registry-Programme:
Spy Sweeper, Ad-Aware, Spybot Search & Destroy, RegSeeker

Mit Anti-Spy Programmen die Registry soweit es geht säubern.

Elitebar.exe (und otzo.exe, das offenbar dazugehört) lässt sich damit jedoch nicht entfernen.

Ein permanent laufender Prozess verhindert dies und verhindert auch, dass sämtliche Dateien, die mit ELITE... beginnen, mit dem Explorer überhaupt angezeigt werden. (Trotz der Option, auch System- und versteckte Dateien anzuzeigen.)
Auch ein fremder Dateimanager zeigte diese nicht an.
(Testen: eine ...txt Datei umbenennen in ELITE... Sie verschwindet.)
Jedoch mit dem DOS-Befehl
DIR c:\windows\system32\elite*.*
waren diese sichtbar.

Wenn versucht wird per DOS Befehl dieses Programm zu löschen, kommt die Meldung: „Zugriff verweigert“.
Bei „Störungen“ legt Elitebar jedoch weitere Programme an

Elitebar hat sich vermutlich in den ersten SVCHOST-Prozess dazugeladen.
Wenn man diesen Prozess killt, fährt das System jedoch runter.

Von einer Boot-Diskette oder einer Boot-CD ist zu booten, sodass Windows von der Platte nicht ausgeführt wird.
Wer noch das Dateisystem FAT32 hat, kann mit einer Windows-98 boot-Diskette booten.

(Damit von CD gebootet wird, ist entsprechend das BIOS zu ändern.)

Eine bootfähige CD hat man (auch) durch die Windows (XP) CD selbst.
Wenn man Windows-Setup mit „R“ abbricht, kann man sogar auf dem Dateissystem NTFS nicht nur lesen sondern auch löschen.

Anschliessend das Programm c:\windows\system32\eliteozw32.exe löschen.
Da EliteToolBar noch weitere Programme angelegt hat sind alle zu löschen.
z.B. mit dem DOS-Befehl „del c:\windows\system32\elite*.* /F /Q“
( Ich hatte 21 Elite???32.exe Dateien und eine ELITEERROR.dat)

Die Registry ist, z.B. mit RegSeeker, nach folgenden Begriffen zu durchsuchen und zu löschen:
ELITE, OTZO, QTTASK, NEWSD
Zumindest Elite und OTZO waren sehr hartnäckig und liesen sich mit Anti-Spy-Programmen nicht dauerhaft löschen.

EliteToolBat hatte meine Software-Firewall auch dahingehend verändert, dass ELITE???.exe geöffnet wurde.

Berbu

Guten Morgen, berbu !
Nur zur Info und Ergänzung:
seit Feb.2005 gibt's bei :
http://www.majorgeeks.com/download4465.html
einen Elite Toolbar Remover (z.Z. V.1.2.0).

Dieser Remover hilft oftmals, aber nicht bei jeder Elite Toolbar-Variante. Dazu gibts offenbar zuviele Varianten, allein dieser Remover wurde seit Februar
dreimal upgedatet bis nun zur V.1.2.0.
Aber ein Versuch ist es immer wert. Aber du hast es auch so bereinigen können.