Hallo

Bei mir hat sich ne Toolbar im IE installiert. Hieß "elite.bar" und "miracle-search" oder so. Das Problem hab ich mittlerweile mit hijack und Adaware in Griff bekommen, aber ein Sache bleibt. Es öffnen sich gelegentlich ungewollte Popups!

Hier ma mein Log:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos Security Suite 6\spm.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Steganos Security Suite 6\sss.exe
C:\Programme\Arcor\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\ULTIMA~1.7\uzip.exe
C:\DOKUME~1\VOLKER~1\LOKALE~1\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/ERwkwoCrng5rsUlw...ent/index.html
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB002" /M "Stylus C62"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winowv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Zitatomat 2.1.lnk = C:\Programme\Zitatomat 2.1\zitatomat.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB

Hab hier im Archiv schon gelesen das die 04 - HKLM ..... [Sys29] der Übeltäter ist. Im Archiv stand auch das man das mit Hijack fixen und dann manuell löschen soll, das klappt aber nich!!! Die "winowv32.exe" lässt sich einfach nicht löschen!!!!
Bitte helft mir!!! Dringend!!! Sonst killt mein Papa mich (ist nämlich sein Compi)

Wie kann ich das Problem lösen? Wie kann ich die Datei löschen????

Danke für eure Hilfe

MfG MrTreck

O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winowv32.exe

Lass die Datei mal heir checken:

http://virusscan.jotti.org/de

Der Virusscan sagt folgendes:
File: winowv32.exe
Status: INFECTED/MALWARE
Packers detected: FSG

AntiVir No viruses found (3.39 seconds taken)
Avast Win32:StartPage-042 (6.51 seconds taken)
BitDefender Trojan.Clicker.BA (12.76 seconds taken)
ClamAV Trojan.Startpage-78 (9.68 seconds taken)
Dr.Web Trojan.StartPage.256 (4.93 seconds taken)
F-Prot Antivirus W32/Startpage.CJ (0.42 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.StartPage.nk (5.32 seconds taken)
mks_vir Trojan.Startpage.Nk (2.58 seconds taken)
NOD32 No viruses found (3.00 seconds taken)
Norman Virus Control Sandbox: W32/Malware; [ General information ]

* File might be compressed.
* Creating several executable files on hard-drive.
* File length: 12441 bytes.

[ Changes to filesystem ]
* Creates file C:\windows\system\winnun32.exe.
* Creates directory C:\WINDOWS\EliteBar.
* Creates file C:\WINDOWS\TEMP\tmp9099.tmp.
* Creates file C:\WINDOWS\SYSTEM\bkmsf32.dat.

[ Changes to registry ]
* Creates key "HKCU\Software\LQ".
* Creates key "HKLM\Software\backup".
* Creates key "HKLM\Software\Elitum".
* Sets value "AD"="0" in key "HKCU\Software\LQ".
* Sets value "AC"="0" in key "HKCU\Software\LQ".
* Sets value "U"="0" in key "HKCU\Software\LQ".
* Sets value "I"="{000000-0000-000000" in key "HKCU\Software\LQ".
* Sets value "TM"="10" in key "HKCU\Software\LQ".
* Creates value "Sys29"="c:\windows\system\winnun32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Looks for an Internet connection.
* Downloads file from http://searchmiracle.com/update.php?0&c=L&os=ME&init=1&id={000000-0000-000000&v=2.9&country=&state=&city= as C:\WINDOWS\TEMP\tmp9099.tmp.

[ Process/window information ]
* Creates a mutex K_! * Enumerates running processes.
* Enumerates running processes several parses....
* Modifies other process memory.
* Creates a remote thread.
* Will automatically restart after boot (I'll be back...). (9.53 seconds taken)

Bei Adaware taucht auch jedesmal wieder (trotz löschen`s) folgendes auf:
WIN32.BACKDOOR.AGOBOT - RegValue - HKEY/localMachine _ software/microsoft/windows/currentversion/run

Das läßt sich einfach nicht löschen!!! Mist!!

E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Ab jetzt den IE NICHT mehr öffnen, Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html


Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winowv32.exe

Boote in den abgesicherten Modus:

http://www.trojaner-board.de/63335-w...s-starten.html

lösche die Datei, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.
Beim neuen Log im normalen Modus das KOMPLETTE Log inklusive Information über das Windows posten.

Edit: In welcher Datei wird Agobot denn entdeckt? In diesem Fall solltest du dich schon mal mit dem Gedanken befassen, das System neu aufzusetzen.

Moin Moin

Sooooo , also erstma vielen Dank MountainKing, du hast mir sehr geholfen!! Bin vorgegangen wie du beschrieben hast, und das hat gefunzt! Im abgesicherten Modus konnte ich die winowv32.exe endlich löschen. Jetzt taucht die O4 - HKLM\..\Run: [Sys29]... nicht mehr bei HiJack auf, aber vorsichtshalber hier nochma ein aktuelles Log (für mich als Amateur sieht das recht sauber aus ):

Scan saved at 10:48:49, on 01.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos Security Suite 6\spm.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Arcor\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\ULTIMA~1.7\uzip.exe
C:\DOKUME~1\VOLKER~1\LOKALE~1\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/content/index.html
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB002" /M "Stylus C62"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Zitatomat 2.1.lnk = C:\Programme\Zitatomat 2.1\zitatomat.exe

Zudem taucht der Win32.Backdoor.Agobot jetzt nicht mehr bei AdAware auf. *puh* .

Scheint also alles wieder fit zu sein, vielen Dank nochmal für deine großartige Hilfe!!

MfG MrTreck

Was hat E-Scan denn genau gefunden? Ansonsten sieht es gut aus (wobei es, wenn der Agobot lief, keine 100%ige Sicherheit mehr gibt). Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Da ich nicht bis zum Ende des eScan-Vorgangs geblieben bin, sondern mein Vater das alles zu Ende ausgeführt hat, weiß ich nicht was genau er alles gefunden hat. Aber ich kann ihn später mal fragen.

Was ist denn ein "Agobot"? bzw. warum/inwiefern gibt es keine 100% Sicherheit mehr?

http://www.f-secure.de/v-desk/agobot.shtml

Agobot gibt einem Angreifer die Möglichkeit der Manipulation deines Systems, im Extremfall können getarnte Verzeichnisse, versteckte Registryeinträge und weitere, nicht ohne weiteres zu entdeckende Backdoorprogramme auf dem Rechner sein. Das lässt sich mit Virenscannern nach einer erfolgten Infizierung dann nicht mehr wirklich ausschließen.

Und was heißt das? Format C:\ oder wie?
Na da wird sich ja einer freuen dann...
Zum Glück hat er erst vor kurzem nen BackUp gemacht.