elitum.elitebar Wie entfernen?

#0
12.02.2005, 23:03
...neu hier

Beiträge: 1
#1 Hallo!

Seit einiger Zeit habe ich nun diesen Spy Bot auf meiner Festplatte,weiß leider nicht wie ich ihn löschen kann!
Ich kann mit Ad-Aware oder S&D so oft scannen wie ich will,jedoch passiert nichts.
Ad-Aware erkennt ihn überhaupt nicht,S&D schon,kann ihn aber nicht löschen.
Bin etwas ratlos und erhoffe mir durch euch Erfolg,weil es nervt schon arg,wenn alle 2 mins ein Popup kommt...


Danke für eure Hilfe!

Grüße,
Andreas
Seitenanfang Seitenende
11.03.2005, 17:32
...neu hier

Beiträge: 1
#2 ich hab das gleiche prob .... alle 10 sekunden nen neues http:\\www.searchmirical.de ....... und soweiter ... hab mit spybot s&d gelöscht ... danach mit adaware 6 . 0 die IE files durchgescannt ... da dann auch alles gelöscht ... dann mit xp clean drüber .. alles betreffende gelöscht ... mit Norten Antivirus 2004 vollen scan gemacht ... dann ins Startmenü und ausführen regedit ... die entsprechenden files LQ und Elitum gelöscht ... dann is alles raus ... und 10 sec später isses wioeder überall drin ... wie bekomm ich denn das ding raus
Seitenanfang Seitenende
11.03.2005, 18:47
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#3 Versuch mal EliteToolbar Remover V.1.1.B http://www.simplytech.it/ETRemover/
__________
MfG Argus
Seitenanfang Seitenende
21.03.2005, 00:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->

Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

---------------------------------------------------------------------
•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

•Beim Start von e-scan sollten folgende Optionen aktiviert sein:

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten

-------------------------------------------------------------------------------

TR/Dldr.Agent.GD.1/Trojan.StartPage.NK
#04 - HKLM\..\Run: [antiware] C:\winnt\system32\elitemmr32.exe
File: elitemmr32.exe

infected by "Trojan.Win32.StartPage.nk"
<C:\windows\system\elitenun32.exe
<C:\WINDOWS\system32\elitemmr32.exe
<C:\WINDOWS\protector_update.exe
<C:\WINDOWS\TEMP\tmp9099.tmp
<C:\WINDOWS\SYSTEM32\eliteerror32.dat

Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir TR/Dldr.Agent.GD.1 (0.70 seconds taken)
Avast No viruses found (3.03 seconds taken)
AVG Antivirus No viruses found (1.54 seconds taken)
BitDefender Trojan.StartPage.NK (0.87 seconds taken)
ClamAV Trojan.Startpage-212 (0.83 seconds taken)
Dr.Web Trojan.Click.233 (0.84 seconds taken)
F-Prot Antivirus No viruses found (0.20 seconds taken)
Fortinet No viruses found (0.39 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.StartPage.nk (0.99 seconds taken)
mks_vir Trojan.Startpage.Nk (0.21 seconds taken)
NOD32 Win32/StartPage.NK (0.46 seconds taken)
Norman Virus Control Sandbox: W32/Malware; [ General information
* Creating several executable files on hard-drive.
* File length: 15872 bytes.
[ Changes to filesystem ]
* Creates file C:\windows\system\elitenun32.exe.
* Creates directory C:\WINDOWS\EliteToolBar.
* Creates file C:\WINDOWS\TEMP\tmp9099.tmp.
* Creates file C:\WINDOWS\SYSTEM\eliteerror32.dat.
[ Changes to registry ]
* Creates key "HKCU\Software\LQ".
* Creates key "HKLM\Software\ohbbackup".
* Creates key "HKLM\Software\Elitum".
* Sets value "AD"="0" in key "HKCU\Software\LQ".
* Sets value "AC"="0" in key "HKCU\Software\LQ".
* Sets value "U"="0" in key "HKCU\Software\LQ".
* Sets value "I"="{000000-0000-000000" in key "HKCU\Software\LQ".
* Sets value "TM"="10" in key "HKCU\Software\LQ".
* Creates value "antiware"="c:\windows\system\elitenun32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
[ Network services ]
* Looks for an Internet connection.
* Downloads file from *http://update32.searchmiracle.com/update.php?0&c=L&os=XP&init=1&id={000000-0000-000000&v=3.2&country=&state=&city=* as C:\WINDOWS\TEMP\tmp9099.tmp.
[ Process/window information ]
* Creates a mutex l4ajgfGb.
* Enumerates running processes.
* Enumerates running processes several parses....
* Modifies other process memory.
* Creates a remote thread.
* Will automatically restart after boot (I'll be back...). (1.56 seconds taken)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.03.2005, 14:26
...neu hier

Beiträge: 2
#5 Hallo !

Ich habe das gleich Problem, hier der logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:20:53, on 24.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\download\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll (file missing)
O2 - BHO: (no name) - {7CF4EA66-A4E3-4201-A817-5BB651F9E6A6} - C:\WINNT\system32\beoi.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINNT\EliteSideBar\EliteSideBar 08.dll (file missing)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [etbrun] C:\winnt\system32\eliteunu32.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/VLkMxRTR5hg_f4PZ1YPk.chm::/on-line.exe
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://webcam5.hrz.tu-darmstadt.de/activex/AMC.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O18 - Filter: text/html - {812A62A1-FD2F-47D6-844E-BBE260B9F78E} - C:\WINNT\system32\beoi.dll
O18 - Filter: text/plain - {812A62A1-FD2F-47D6-844E-BBE260B9F78E} - C:\WINNT\system32\beoi.dll
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS


Habe auch mit S&D probiert, nichts hat sich getan. Auch mit dem ETRemover habe ich keine Erfolge gehabt.

Danke für eine Antwort,

::mark
Seitenanfang Seitenende
24.03.2005, 15:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@yxcvbnm

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/

C:\winnt\system32\eliteunu32.exe (oder eine andere "elite...exe"

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

gehe in die Registry
Start<Ausfuehren<regedit

HKCU\Software\LQ <-- mit rechtsklick loeschen
HKLM\Software\ohbbackup <-- mit rechtsklick loeschen
HKLM\Software\Elitum <-- mit rechtsklick loeschen

Hijacker about:blank - se.dll\sp.html--> scannen
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

•Download NOD32 Antivirus System(erst im abgesicherten Modus scannen)
http://www.nod32.de/download/download.php

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll (file missing)
O2 - BHO: (no name) - {7CF4EA66-A4E3-4201-A817-5BB651F9E6A6} - C:\WINNT\system32\beoi.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINNT\EliteSideBar\EliteSideBar 08.dll (file missing)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll (file missing)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/VLkMxRTR5hg_f4PZ1YPk.chm::/on-line.exe
O18 - Filter: text/html - {812A62A1-FD2F-47D6-844E-BBE260B9F78E} - C:\WINNT\system32\beoi.dll
O18 - Filter: text/plain - {812A62A1-FD2F-47D6-844E-BBE260B9F78E} - C:\WINNT\system32\beoi.dll

PC neustarten
gehe in den abgesicherten Modus

http://www.tu-berlin.de/www/software/virus/savemode.shtml

#scanne mit NOD32
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

#scanne mit deinem Virenscanner Sophos

#mwav.exe--> anklicken--> setze alle Haekchen und scanne

•Gehe wieder in den Normalmodus:

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)


•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein
•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten Smile

Onlinescanns
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackThis

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.03.2005, 16:20
...neu hier

Beiträge: 2
#7 Hallo Sabina !

Eine elite.exe oder sowas gibt es nicht. aber ich habe eine protector_update.exe gefunden, die ich mit der Seite überprüft habe. Hier das Ergebnis:



File: protector_update.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE_PATCH.MORPHINE, MORPHINE, FSG

AntiVir TR/StartPage.NK
Avast No viruses found
AVG Antivirus No viruses found
BitDefender No viruses found
ClamAV No viruses found
Dr.Web Trojan.StartPage.564
F-Prot Antivirus No viruses found
Fortinet W32/StartPage-tr
Kaspersky Anti-Virus Trojan.Win32.StartPage.nk
mks_vir Trojan.Startpage.Nk
NOD32 Win32/StartPage.NK
Norman Virus Control W32/Startpage.AUV


Auch von den vorgeschlagenen Änderungen in der Registry konnte ich nur den ersten Eintrag vornehmen. Ich werde jetzt die Änderungen mit HiJack übernehmen und dann erstmal neu starten.
Seitenanfang Seitenende