elitum.elitebar Wie entfernen? |
||
---|---|---|
#0
| ||
12.02.2005, 23:03
...neu hier
Beiträge: 1 |
||
|
||
11.03.2005, 17:32
...neu hier
Beiträge: 1 |
#2
ich hab das gleiche prob .... alle 10 sekunden nen neues http:\\www.searchmirical.de ....... und soweiter ... hab mit spybot s&d gelöscht ... danach mit adaware 6 . 0 die IE files durchgescannt ... da dann auch alles gelöscht ... dann mit xp clean drüber .. alles betreffende gelöscht ... mit Norten Antivirus 2004 vollen scan gemacht ... dann ins Startmenü und ausführen regedit ... die entsprechenden files LQ und Elitum gelöscht ... dann is alles raus ... und 10 sec später isses wioeder überall drin ... wie bekomm ich denn das ding raus
|
|
|
||
11.03.2005, 18:47
Ehrenmitglied
Beiträge: 6028 |
||
|
||
21.03.2005, 00:00
Ehrenmitglied
Beiträge: 29434 |
#4
HijackThis
http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" --------------------------------------------------------------------- •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory •Beim Start von e-scan sollten folgende Optionen aktiviert sein: -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten ------------------------------------------------------------------------------- TR/Dldr.Agent.GD.1/Trojan.StartPage.NK #04 - HKLM\..\Run: [antiware] C:\winnt\system32\elitemmr32.exe File: elitemmr32.exe infected by "Trojan.Win32.StartPage.nk" <C:\windows\system\elitenun32.exe <C:\WINDOWS\system32\elitemmr32.exe <C:\WINDOWS\protector_update.exe <C:\WINDOWS\TEMP\tmp9099.tmp <C:\WINDOWS\SYSTEM32\eliteerror32.dat Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT AntiVir TR/Dldr.Agent.GD.1 (0.70 seconds taken) Avast No viruses found (3.03 seconds taken) AVG Antivirus No viruses found (1.54 seconds taken) BitDefender Trojan.StartPage.NK (0.87 seconds taken) ClamAV Trojan.Startpage-212 (0.83 seconds taken) Dr.Web Trojan.Click.233 (0.84 seconds taken) F-Prot Antivirus No viruses found (0.20 seconds taken) Fortinet No viruses found (0.39 seconds taken) Kaspersky Anti-Virus Trojan.Win32.StartPage.nk (0.99 seconds taken) mks_vir Trojan.Startpage.Nk (0.21 seconds taken) NOD32 Win32/StartPage.NK (0.46 seconds taken) Norman Virus Control Sandbox: W32/Malware; [ General information * Creating several executable files on hard-drive. * File length: 15872 bytes. [ Changes to filesystem ] * Creates file C:\windows\system\elitenun32.exe. * Creates directory C:\WINDOWS\EliteToolBar. * Creates file C:\WINDOWS\TEMP\tmp9099.tmp. * Creates file C:\WINDOWS\SYSTEM\eliteerror32.dat. [ Changes to registry ] * Creates key "HKCU\Software\LQ". * Creates key "HKLM\Software\ohbbackup". * Creates key "HKLM\Software\Elitum". * Sets value "AD"="0" in key "HKCU\Software\LQ". * Sets value "AC"="0" in key "HKCU\Software\LQ". * Sets value "U"="0" in key "HKCU\Software\LQ". * Sets value "I"="{000000-0000-000000" in key "HKCU\Software\LQ". * Sets value "TM"="10" in key "HKCU\Software\LQ". * Creates value "antiware"="c:\windows\system\elitenun32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". [ Network services ] * Looks for an Internet connection. * Downloads file from *http://update32.searchmiracle.com/update.php?0&c=L&os=XP&init=1&id={000000-0000-000000&v=3.2&country=&state=&city=* as C:\WINDOWS\TEMP\tmp9099.tmp. [ Process/window information ] * Creates a mutex l4ajgfGb. * Enumerates running processes. * Enumerates running processes several parses.... * Modifies other process memory. * Creates a remote thread. * Will automatically restart after boot (I'll be back...). (1.56 seconds taken) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.03.2005, 14:26
...neu hier
Beiträge: 2 |
#5
Hallo !
Ich habe das gleich Problem, hier der logfile: Logfile of HijackThis v1.99.1 Scan saved at 14:20:53, on 24.03.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\drivers\CDAC11BA.EXE C:\Programme\Sophos\Remote Update\cachemgr.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINNT\system32\rundll32.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Spamihilator\spamihilator.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Sophos SWEEP for NT\ICMON.EXE C:\Programme\Sophos\Remote Update\imonitor.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\download\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll (file missing) O2 - BHO: (no name) - {7CF4EA66-A4E3-4201-A817-5BB651F9E6A6} - C:\WINNT\system32\beoi.dll O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINNT\EliteSideBar\EliteSideBar 08.dll (file missing) O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [etbrun] C:\winnt\system32\eliteunu32.exe O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll,DllInstall O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/VLkMxRTR5hg_f4PZ1YPk.chm::/on-line.exe O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://webcam5.hrz.tu-darmstadt.de/activex/AMC.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O18 - Filter: text/html - {812A62A1-FD2F-47D6-844E-BBE260B9F78E} - C:\WINNT\system32\beoi.dll O18 - Filter: text/plain - {812A62A1-FD2F-47D6-844E-BBE260B9F78E} - C:\WINNT\system32\beoi.dll O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\system32\drivers\CDAC11BA.EXE O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS Habe auch mit S&D probiert, nichts hat sich getan. Auch mit dem ETRemover habe ich keine Erfolge gehabt. Danke für eine Antwort, ::mark |
|
|
||
24.03.2005, 15:11
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@yxcvbnm
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/ C:\winnt\system32\eliteunu32.exe (oder eine andere "elite...exe" Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten gehe in die Registry Start<Ausfuehren<regedit HKCU\Software\LQ <-- mit rechtsklick loeschen HKLM\Software\ohbbackup <-- mit rechtsklick loeschen HKLM\Software\Elitum <-- mit rechtsklick loeschen Hijacker about:blank - se.dll\sp.html--> scannen http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html •Download NOD32 Antivirus System(erst im abgesicherten Modus scannen) http://www.nod32.de/download/download.php •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll (file missing) O2 - BHO: (no name) - {7CF4EA66-A4E3-4201-A817-5BB651F9E6A6} - C:\WINNT\system32\beoi.dll O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINNT\EliteSideBar\EliteSideBar 08.dll (file missing) O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll (file missing) O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/VLkMxRTR5hg_f4PZ1YPk.chm::/on-line.exe O18 - Filter: text/html - {812A62A1-FD2F-47D6-844E-BBE260B9F78E} - C:\WINNT\system32\beoi.dll O18 - Filter: text/plain - {812A62A1-FD2F-47D6-844E-BBE260B9F78E} - C:\WINNT\system32\beoi.dll PC neustarten gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml #scanne mit NOD32 Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen. #scanne mit deinem Virenscanner Sophos #mwav.exe--> anklicken--> setze alle Haekchen und scanne •Gehe wieder in den Normalmodus: #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten Smile Onlinescanns http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.03.2005, 16:20
...neu hier
Beiträge: 2 |
#7
Hallo Sabina !
Eine elite.exe oder sowas gibt es nicht. aber ich habe eine protector_update.exe gefunden, die ich mit der Seite überprüft habe. Hier das Ergebnis: File: protector_update.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: PE_PATCH.MORPHINE, MORPHINE, FSG AntiVir TR/StartPage.NK Avast No viruses found AVG Antivirus No viruses found BitDefender No viruses found ClamAV No viruses found Dr.Web Trojan.StartPage.564 F-Prot Antivirus No viruses found Fortinet W32/StartPage-tr Kaspersky Anti-Virus Trojan.Win32.StartPage.nk mks_vir Trojan.Startpage.Nk NOD32 Win32/StartPage.NK Norman Virus Control W32/Startpage.AUV Auch von den vorgeschlagenen Änderungen in der Registry konnte ich nur den ersten Eintrag vornehmen. Ich werde jetzt die Änderungen mit HiJack übernehmen und dann erstmal neu starten. |
|
|
||
Seit einiger Zeit habe ich nun diesen Spy Bot auf meiner Festplatte,weiß leider nicht wie ich ihn löschen kann!
Ich kann mit Ad-Aware oder S&D so oft scannen wie ich will,jedoch passiert nichts.
Ad-Aware erkennt ihn überhaupt nicht,S&D schon,kann ihn aber nicht löschen.
Bin etwas ratlos und erhoffe mir durch euch Erfolg,weil es nervt schon arg,wenn alle 2 mins ein Popup kommt...
Danke für eure Hilfe!
Grüße,
Andreas