(Elitum.EliteBar und Ebates MoneyMaker)

#1 Hi brauche da mal Hilfe, habe da gleich 2 Probleme mit meinem Lap (Elitum.EliteBar und Ebates MoneyMaker)
Hier die logs habe den Hijackthislog schon durch die Automatic gejagt aber nichts wirklich gutes erhallten na ja und den von Ad-Aware SE Build 1.05
Danke euch jetzt schon mal für eure Hilfe.



Logfile of HijackThis v1.99.1
Scan saved at 15:57:55, on 06.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\DATA BECKER\Maximum Protection Antivirus 2004_2005\AntiVirus\POP_P.exe
C:\Programme\DATA BECKER\Maximum Protection Antivirus 2004_2005\AntiVirus\avw.exe
C:\Programme\DATA BECKER\Maximum Protection Antivirus 2004_2005\AntiVirus\sp.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Soulseek\slsk.exe
C:\Programme\InterVideo\WinRip\WinRip.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Dokumente und Einstellungen\Firefly\Desktop\Neuer Ordner (2)\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliteuvo32.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DATA BECKER - E-Mail Schutz.lnk = C:\Programme\DATA BECKER\Maximum Protection Antivirus 2004_2005\AntiVirus\POP_P.exe
O4 - Global Startup: DATA BECKER - Virenwächter.lnk = C:\Programme\DATA BECKER\Maximum Protection Antivirus 2004_2005\AntiVirus\avw.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112747399233
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{78FF07E3-0B17-4CB9-AC69-247EFF18F1CD}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe





Ad-Aware SE Build 1.05
Protokolldatei erstellt am:Mittwoch, 6. April 2005 15:57:21
Created with Ad-Aware SE Personal, free for private use.
Verwendete Definitionsdatei:SE1R36 01.04.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Während des Scannings identifizierte Referenzen:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ebates MoneyMaker(TAC-Index:4):22 Referenzen insgesamt
MRU List(TAC-Index:0):7 Referenzen insgesamt
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Festlegen : Nach unbedeutenden Risikoeinträgen suchen
Festlegen : Sicherer Modus (stets Bestätigung abfragen)
Festlegen : Aktive Prozesse scannen
Festlegen : Registrierung scannen
Festlegen : Registrierung gründlich scannen
Festlegen : IE-Favoriten nach gesperrten URLs durchsuchen
Festlegen : Hosts-Datei scannen

Extended Ad-Aware SE Settings
===========================
Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf.
Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen
Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen
Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf.
Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen
Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen
Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren
Festlegen : Erweiterte Ad-Aware-Einstellungen protokollieren
Festlegen : Referenz-Zusammenfassung protokollieren
Festlegen : Details zu alternativen Datenströmen protokollieren
Festlegen : Wenn kritische Objekte identifiziert wurden, Scanlauf durch akustisches Signal abschließen


06.04.2005 15:57:21 - Scanning wurde gestartet. (Vollständiger Systemscan)

MRU List Objekt erkannt!
Pfad: : S-1-5-21-1343024091-261478967-839522115-1004\software\microsoft\windows\currentversion\explorer\runmru
Beschreibung : mru list for items opened in start | run


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1343024091-261478967-839522115-1004\software\microsoft\windows\currentversion\explorer\recentdocs
Beschreibung : list of recent documents opened


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1343024091-261478967-839522115-1004\software\microsoft\directinput\mostrecentapplication
Beschreibung : most recent application to use microsoft directinput


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1343024091-261478967-839522115-1004\software\microsoft\directinput\mostrecentapplication
Beschreibung : most recent application to use microsoft directinput


MRU List Objekt erkannt!
Pfad: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Beschreibung : windows media sdk


MRU List Objekt erkannt!
Pfad: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Beschreibung : windows media sdk


MRU List Objekt erkannt!
Pfad: : C:\Dokumente und Einstellungen\Firefly\recent
Beschreibung : list of recently opened documents


Liste der laufenden Prozesse
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 556
ThreadCreationTime : 06.04.2005 10:33:06
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 604
ThreadCreationTime : 06.04.2005 10:33:07
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 628
ThreadCreationTime : 06.04.2005 10:33:09
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 676
ThreadCreationTime : 06.04.2005 10:33:09
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 688
ThreadCreationTime : 06.04.2005 10:33:10
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 848
ThreadCreationTime : 06.04.2005 10:33:10
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 872
ThreadCreationTime : 06.04.2005 10:33:10
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [smc.exe]
FilePath : C:\Programme\Sygate\SPF\
ProcessID : 916
ThreadCreationTime : 06.04.2005 10:33:10
BasePriority : Normal
FileVersion : 5.5.00.2364
ProductVersion : 5.5.00.2364
ProductName : Sygate(R) Security Agent und Personal Firewall
CompanyName : Sygate Technologies, Inc.
FileDescription : Sygate Agent Firewall
InternalName : Smc
LegalCopyright : Copyright (c) 1999 - 2003 Sygate Technologies, Inc. Alle Rechte vorbehalten.
OriginalFilename : Smc.EXE

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1064
ThreadCreationTime : 06.04.2005 10:33:12
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1116
ThreadCreationTime : 06.04.2005 10:33:12
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:11 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1272
ThreadCreationTime : 06.04.2005 10:33:13
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:12 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1364
ThreadCreationTime : 06.04.2005 10:33:13
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:13 [ati2evxx.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1376
ThreadCreationTime : 06.04.2005 10:33:13
BasePriority : Normal


#:14 [cisvc.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1392
ThreadCreationTime : 06.04.2005 10:33:13
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Content Index service
InternalName : cisvc.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : cisvc.exe

#:15 [gearsec.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1424
ThreadCreationTime : 06.04.2005 10:33:13
BasePriority : Normal
FileVersion : 1, 0, 0, 3
ProductVersion : 1, 0, 0, 3
ProductName : gearsec
CompanyName : GEAR Software
FileDescription : gearsec
InternalName : gearsec
LegalCopyright : Copyright © 2001 GEAR Software
OriginalFilename : gearsec.exe

#:16 [mspmspsv.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1512
ThreadCreationTime : 06.04.2005 10:33:14
BasePriority : Normal
FileVersion : 7.00.00.1954
ProductVersion : 7.00.00.1954
ProductName : Microsoft (R) DRM
CompanyName : Microsoft Corporation
FileDescription : WMDM PMSP Service
InternalName : MSPMSPSV.EXE
LegalCopyright : Copyright (C) Microsoft Corp. 1981-2000
OriginalFilename : MSPMSPSV.EXE

#:17 [pqv2isvc.exe]
FilePath : C:\Programme\PowerQuest\Drive Image 7.0\Agent\
ProcessID : 1672
ThreadCreationTime : 06.04.2005 10:33:15
BasePriority : Normal
FileVersion : 2.0.0.305
ProductVersion : 2.0.0.305
ProductName : V2i Protector
CompanyName : PowerQuest Corporation
FileDescription : V2i Protector Service Module
InternalName : PQV2iSvc
LegalCopyright : Copyright© PowerQuest Corporation 2003.
OriginalFilename : PQV2iSvc.exe
Comments : V2i Protector Agent

#:18 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1820
ThreadCreationTime : 06.04.2005 10:33:17
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:19 [atiptaxx.exe]
FilePath : C:\Programme\ATI Technologies\ATI Control Panel\
ProcessID : 1916
ThreadCreationTime : 06.04.2005 10:33:18
BasePriority : Normal
FileVersion : 6.13.10.3027
ProductVersion : 6.13.10.3027
ProductName : ATI Desktop Component
CompanyName : ATI Technologies, Inc.
FileDescription : ATI Desktop Control Panel
InternalName : Atiptaxx.exe
LegalCopyright : Copyright (C) 1998-2001 ATI Technologies Inc.
OriginalFilename : Atiptaxx.exe

#:20 [soundman.exe]
FilePath : C:\WINDOWS\
ProcessID : 1928
ThreadCreationTime : 06.04.2005 10:33:18
BasePriority : Normal
FileVersion : 5.0.02
ProductVersion : 5.0.02
ProductName : Avance Sound Manager
CompanyName : Avance Logic, Inc.
FileDescription : Avance Sound Manager
InternalName : ALSMTray
LegalCopyright : Copyright (c) 2001-2002 Avance Logic, Inc.
OriginalFilename : ALSMTray.exe
Comments : Avance AC97 Audio Sound Manager

#:21 [pctspk.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1936
ThreadCreationTime : 06.04.2005 10:33:18
BasePriority : Normal
FileVersion : 1, 0, 0, 1
ProductVersion : 1, 0, 0, 1
ProductName : pctvoice Application
FileDescription : pctvoice MFC Application
InternalName : pctvoice
LegalCopyright : Copyright (C) 2001
OriginalFilename : pctvoice.EXE

#:22 [profiler.exe]
FilePath : C:\Programme\Saitek\Software\
ProcessID : 1952
ThreadCreationTime : 06.04.2005 10:33:18
BasePriority : Normal
FileVersion : 4.3.1.44
ProductVersion : 4.3.1.44
ProductName : Configuration Software
CompanyName : Saitek
FileDescription : Manual Configuration
InternalName : Profiler
LegalCopyright : Copyright (C) Saitek plc 2002
OriginalFilename : Profiler.exe

#:23 [saismart.exe]
FilePath : C:\Programme\Saitek\Software\
ProcessID : 1960
ThreadCreationTime : 06.04.2005 10:33:18
BasePriority : Normal
FileVersion : 4.3.1.44
ProductVersion : 4.3.1.44
ProductName : SaiSmart Application
CompanyName : Saitek
FileDescription : Smart Button Special Sauce
InternalName : SaiSmart
LegalCopyright : Copyright (C) 2002
OriginalFilename : SaiSmart.exe

#:24 [pop_p.exe]
FilePath : C:\Programme\DATA BECKER\Maximum Protection Antivirus 2004_2005\AntiVirus\
ProcessID : 2000
ThreadCreationTime : 06.04.2005 10:33:18
BasePriority : Normal
FileVersion : 1.0.0.0
ProductVersion : 1.0.0.0
CompanyName : DATA BECKER
FileDescription : DATA BECKER Antivirus

#:25 [avw.exe]
FilePath : C:\Programme\DATA BECKER\Maximum Protection Antivirus 2004_2005\AntiVirus\
ProcessID : 2012
ThreadCreationTime : 06.04.2005 10:33:19
BasePriority : Normal
FileVersion : 1.0.0.0
ProductVersion : 1.0.0.0
CompanyName : DATA BECKER
FileDescription : DATA BECKER Antivirus

#:26 [sp.exe]
FilePath : C:\Programme\DATA BECKER\Maximum Protection Antivirus 2004_2005\AntiVirus\
ProcessID : 924
ThreadCreationTime : 06.04.2005 10:33:27
BasePriority : Normal


#:27 [cidaemon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 3944
ThreadCreationTime : 06.04.2005 10:40:53
BasePriority : Idle
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Indexing Service filter daemon
InternalName : cidaemon.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : cidaemon.exe

#:28 [smartsurfer.exe]
FilePath : C:\Programme\WEBDE\SmartSurfer2.3\
ProcessID : 3748
ThreadCreationTime : 06.04.2005 11:45:53
BasePriority : Normal
FileVersion : 2.30.008
ProductVersion : 2.30
ProductName : SmartSurfer
CompanyName : WEB.DE AG
FileDescription : Least Cost Router
InternalName : SmartSurfer2x
LegalCopyright : Copyright (C) 2000 WEB.DE AG
OriginalFilename : SmartSurfer2x.EXE

#:29 [slsk.exe]
FilePath : C:\Programme\Soulseek\
ProcessID : 2772
ThreadCreationTime : 06.04.2005 12:27:40
BasePriority : Normal
FileVersion : 0.3.4
ProductVersion : 1, 0, 0, 1
ProductName : UI4 Application
FileDescription : SoulSeek
InternalName : SoulSeek
LegalCopyright : Copyright Nir Arbel (C) 2001
OriginalFilename : UI4.EXE

#:30 [winrip.exe]
FilePath : C:\Programme\InterVideo\WinRip\
ProcessID : 2352
ThreadCreationTime : 06.04.2005 12:50:17
BasePriority : Normal


#:31 [firefox.exe]
FilePath : C:\Programme\Mozilla Firefox\
ProcessID : 2452
ThreadCreationTime : 06.04.2005 12:50:57
BasePriority : Normal


#:32 [notepad.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2284
ThreadCreationTime : 06.04.2005 13:40:16
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Editor
InternalName : Notepad
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : NOTEPAD.EXE

#:33 [regedit.exe]
FilePath : C:\WINDOWS\
ProcessID : 3900
ThreadCreationTime : 06.04.2005 13:54:54
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Registrierungs-Editor
InternalName : REGEDIT
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : REGEDIT.EXE

#:34 [wuauclt.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 2108
ThreadCreationTime : 06.04.2005 13:57:00
BasePriority : Normal
FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)
ProductVersion : 5.4.3790.2182
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Automatische Updates
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe

#:35 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 3308
ThreadCreationTime : 06.04.2005 13:57:11
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Ergebnis des Arbeitsspeicherscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 7


Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar : "AC"
ROOTKEY : HKEY_USERS
Objekt : S-1-5-21-1343024091-261478967-839522115-1004\software\lq
Wert : AC

Ergebnis des Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 1
Bisher gefundene Objekte: 8


Gründlicher Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des gründlichen Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 8


Tracking Cookie-Scan wurde gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Ergebnis des Tracking Cookie-Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 8



Dateien werden gründlich gescannt und überprüft (C
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 8


Hosts-Datei wird gescannt......
Pfad der Hosts-Datei:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Scanergebnis für Hosts-Datei:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
3243 Einträge gescannt.
Neue kritische Objekte:0
Bisher gefundene Objekte: 8




Bedingte Scans werden durchgeführt...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ebates MoneyMaker Objekt erkannt!
Typ : Regkey
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : AT

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : AC

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : TM

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : AD

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : AM

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : U

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : I

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : TR

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : country

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : city

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : state

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : RX

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : RX2.8

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : RX2.9

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : RX3.0

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : RX3.1

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : RX3.2

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : RX3.3

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : FU3.4

Ebates MoneyMaker Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\lq
Wert : FU3.5

Ergebnis des bedingten Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 21
Bisher gefundene Objekte: 29

16:01:12 Scan abgeschlossen

Scanzusammenfassung
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Scandauer insges.:00:03:51.233
Gescannte Objekte:94356
Identifizierte Objekte:22
Ignorierte Objekte:0
Neue kritische Objekte:22
__________
---------------------------------------------------------------------------------------------------
Es gibt Tage da verliert man, und es gibt Tage da gewinnen eben die Anderen.

#2 Hallo@Firefly

m Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

virustotal -->einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

C:\windows\system32\eliteuvo32.exe
•
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

C:\windows\system32\eliteuvo32.exe
----------------------------------------------------------------------------

•Download NOD32 Antivirus System--> erst im abgesicherten Modus scannen
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.


•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

Gehe in die registry
Start<Ausfuehren<regedit

mit rechtsklick loeschen:
HKCU\Software\LQ
HKLM\Software\ohbbackup
HKLM\Software\Elitum


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliteuvo32.exe

neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

<C:\windows\system32\eliteuvo32.exe<--loeschen
<C:\windows\system\elite <----alle exe mit elite suchen und loeschen
<C:\WINDOWS\protector_update.exe<--loeschen
<C:\WINDOWS\TEMP\tmp9099.tmp <----alle tmp loeschen (auch mit anderen Nummern)
<C:\WINDOWS\SYSTEM32\eliteerror32.dat<---alle *dat (mit: elite loeschen)
<C:\WINDOWS\EliteToolBar<--loeschen

#scanne mit NOD32

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten

--------------------------------------------------------------------------------------
INFO
TR/Dldr.Agent.GD.1/Trojan.StartPage.NK
#04 - HKLM\..\Run: [antiware] C:\winnt\system32\elitemmr32.exe
File: elitemmr32.exe

infected by "Trojan.Win32.StartPage.nk"
<C:\windows\system\elitenun32.exe
<C:\WINDOWS\system32\elitemmr32.exe
<C:\WINDOWS\protector_update.exe
<C:\WINDOWS\TEMP\tmp9099.tmp
<C:\WINDOWS\SYSTEM32\eliteerror32.dat

Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir TR/Dldr.Agent.GD.1 (0.70 seconds taken)
Avast No viruses found (3.03 seconds taken)
AVG Antivirus No viruses found (1.54 seconds taken)
BitDefender Trojan.StartPage.NK (0.87 seconds taken)
ClamAV Trojan.Startpage-212 (0.83 seconds taken)
Dr.Web Trojan.Click.233 (0.84 seconds taken)
F-Prot Antivirus No viruses found (0.20 seconds taken)
Fortinet No viruses found (0.39 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.StartPage.nk (0.99 seconds taken)
mks_vir Trojan.Startpage.Nk (0.21 seconds taken)
NOD32 Win32/StartPage.NK (0.46 seconds taken)
Norman Virus Control Sandbox: W32/Malware; [ General information
* Creating several executable files on hard-drive.
* File length: 15872 bytes.
[ Changes to filesystem ]
* Creates file C:\windows\system\elitenun32.exe.
* Creates directory C:\WINDOWS\EliteToolBar.
* Creates file C:\WINDOWS\TEMP\tmp9099.tmp.
* Creates file C:\WINDOWS\SYSTEM\eliteerror32.dat.
[ Changes to registry ]
* Creates key "HKCU\Software\LQ".
* Creates key "HKLM\Software\ohbbackup".
* Creates key "HKLM\Software\Elitum".
* Sets value "AD"="0" in key "HKCU\Software\LQ".
* Sets value "AC"="0" in key "HKCU\Software\LQ".
* Sets value "U"="0" in key "HKCU\Software\LQ".
* Sets value "I"="{000000-0000-000000" in key "HKCU\Software\LQ".
* Sets value "TM"="10" in key "HKCU\Software\LQ".
* Creates value "antiware"="c:\windows\system\elitenun32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
[ Network services ]
* Looks for an Internet connection.
* Downloads file from *http://update32.searchmiracle.com/update.php?0&c=L&os=XP&init=1&id={000000-0000-000000&v=3.2&country=&state=&city=* as C:\WINDOWS\TEMP\tmp9099.tmp.
[ Process/window information ]
* Creates a mutex l4ajgfGb.
* Enumerates running processes.
* Enumerates running processes several parses....
* Modifies other process memory.
* Creates a remote thread.
* Will automatically restart after boot (I'll be back...). (1.56 seconds taken)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke erst mal für deine Tips.
und sorry das die antwort etwas gedauert hat aber hir erst mal die scans

Scan von Virus Total

This is a report processed by VirusTotal on 04/06/2005 at 17:23:21 (CET) after scanning the file "eliteuvo32.exe" file.
Antivirus Version Update Result
AntiVir 6.30.0.7 04.06.2005 TR/StartPage.nk.7
AVG 718 04.05.2005 Startpage.19.G
BitDefender 7.0 04.06.2005 Trojan.StartPage.NK
ClamAV devel-20050307 04.05.2005 Trojan.Startpage-240
DrWeb 4.32b 04.06.2005 Trojan.StartPage.592
eTrust-Iris 7.1.194.0 04.06.2005 no virus found
eTrust-Vet 11.7.0.0 04.06.2005 no virus found
Fortinet 2.51 04.05.2005 W32/StartPa.FK-tr
F-Prot 3.16a 04.06.2005 destructive program named W32/Startpage.QZ
Ikarus 2.32 04.06.2005 Trojan.Win32.StartPage.NK
Kaspersky 4.0.2.24 04.06.2005 Trojan.Win32.StartPage.nk
McAfee 4463 04.06.2005 StartPage-GW
NOD32v2 1.1048 04.05.2005 Win32/StartPage.NK
Norman 5.70.10 04.06.2005 W32/Startpage.AVW
Panda 8.02.00 04.05.2005 Adware/StartPage.DD
Sybari 7.5.1314 04.06.2005 Trojan.Win32.StartPage.nk
Symantec 8.0 04.05.2005 no virus found
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.


Scan von Online malware

Datei: eliteuvo32.exe Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
FSG
AntiVir
TR/StartPage.nk.7 gefunden
Avast
Win32:StartPage-084 gefunden
AVG Antivirus
Startpage.19.G gefunden
BitDefender
Trojan.StartPage.NK gefunden
ClamAV
Trojan.Startpage-240 gefunden
Dr.Web
Trojan.StartPage.592 gefunden
F-Prot Antivirus
W32/Startpage.QZ gefunden
Fortinet
W32/StartPa.FK-tr gefunden
Kaspersky Anti-Virus
Trojan.Win32.StartPage.nk gefunden
mks_vir
Trojan.Startpage.Nk gefunden
NOD32
Win32/StartPage.NK gefunden
Norman Virus Control
W32/Startpage.AVW gefunden
VBA32
Trojan.Win32.StartPage.nk gefunden


So noch der log von Micro World AntiVirus Toolkit Utility (Ver 6.0.6)

Objects Scanned

Wed Apr 06 20:54:56 2005 => ***** Checking for specific ITW Viruses *****
Wed Apr 06 20:54:56 2005 => Checking for Welchia Virus...
Wed Apr 06 20:54:56 2005 => Checking for LovGate Virus...
Wed Apr 06 20:54:56 2005 => Checking for CodeRed Virus...
Wed Apr 06 20:54:56 2005 => Checking for OpaServ Virus...
Wed Apr 06 20:54:56 2005 => Checking for Sobig.e Virus...
Wed Apr 06 20:54:56 2005 => Checking for Winupie Virus...
Wed Apr 06 20:54:56 2005 => Checking for Swen Virus...
Wed Apr 06 20:54:56 2005 => Checking for JS.Fortnight Virus...
Wed Apr 06 20:54:56 2005 => Checking for Novarg Virus...
Wed Apr 06 20:54:56 2005 => Checking for Pagabot Virus...
Wed Apr 06 20:54:56 2005 => Checking for Parite.b Virus...
Wed Apr 06 20:54:56 2005 => Checking for Parite.a Virus...

Wed Apr 06 20:54:56 2005 => ***** Scanning complete. *****
Wed Apr 06 20:54:56 2005 => Total Objects Scanned: 38110
Wed Apr 06 20:54:56 2005 => Total Virus(es) Found: 5
Wed Apr 06 20:54:56 2005 => Total Disinfected Files: 0
Wed Apr 06 20:54:56 2005 => Total Files Renamed: 0
Wed Apr 06 20:54:56 2005 => Total Deleted Objects: 0
Wed Apr 06 20:54:56 2005 => Total Errors: 12
Wed Apr 06 20:54:56 2005 => Time Elapsed: 00:20:30
Wed Apr 06 20:54:56 2005 => Virus Database Date: 2005/04/06
Wed Apr 06 20:54:56 2005 => Virus Database Count: 124827

Wed Apr 06 20:54:56 2005 => Scan Completed.





Virus Log Information

File C:\windows\system32\eliteuvo32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File System Found infected by "lq Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "ezula Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
__________
---------------------------------------------------------------------------------------------------
Es gibt Tage da verliert man, und es gibt Tage da gewinnen eben die Anderen.

#4 Loesche:

C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll
C:\windows\system32\eliteuvo32.exe

deinstalliere den NOD32 wieder (nachdem du mit ihm gescannt hast und lade:

•Antivirus (free)
http://www.free-av.de/

Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-Heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

gehe in den abgesicherten Modus und scanne (dann poste mir das log vom Scann + das neue Log vom HijackThis)
__________
MfG Sabina

rund um die PC-Sicherheit

#5 NOD32 hm habe ich gar nicht oder ich kann dir nur nicht folgen.
ah hatte dn link übersehen sorry hole ich nach
hatte die 2 einträge im log gesehen und schon vernichtet
C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll
C:\windows\system32\eliteuvo32.exe

(mwav.exe log)
Leider hatte ich die Zusammenfassung vergessen na ja jetzt is rum aber der 2te log ist hoffe ich vollständig.


Wed Apr 06 20:35:22 2005 => File C:\windows\system32\eliteuvo32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.

Wed Apr 06 20:35:31 2005 => System found infected with lq Spyware/Adware! Action taken: No Action Taken.

Wed Apr 06 20:35:31 2005 => File System Found infected by "lq Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed Apr 06 20:35:31 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.

Wed Apr 06 20:35:31 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed Apr 06 20:35:31 2005 => System found infected with ezula Spyware/Adware (bbchk.exe)! Action taken: No Action Taken.

Wed Apr 06 20:35:31 2005 => File System Found infected by "ezula Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed Apr 06 20:40:21 2005 => Scanning File C:\Eigene Musik\CD´s\TranceMaster 32\Trancemaster 32 - CD2\03 - Barthezz - Infected.mp3 [**]

Wed Apr 06 20:48:54 2005 => File C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.

Thu Apr 07 00:16:30 2005 => System found infected with lq Spyware/Adware! Action taken: No Action Taken.

Thu Apr 07 00:16:30 2005 => File System Found infected by "lq Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 00:16:30 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.

Thu Apr 07 00:16:30 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 00:16:30 2005 => System found infected with ezula Spyware/Adware (bbchk.exe)! Action taken: No Action Taken.

Thu Apr 07 00:16:30 2005 => File System Found infected by "ezula Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 00:22:37 2005 => Scanning File C:\Eigene Musik\CD´s\TranceMaster 32\Trancemaster 32 - CD2\03 - Barthezz - Infected.mp3 [**]

Thu Apr 07 00:24:16 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.

Thu Apr 07 00:24:16 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 00:24:16 2005 => System found infected with ezula Spyware/Adware (bbchk.exe)! Action taken: No Action Taken.

Thu Apr 07 00:24:16 2005 => File System Found infected by "ezula Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 00:27:52 2005 => File C:\Dokumente und Einstellungen\Firefly\Desktop\sachen gegen hijacks\hijackthis\backups\backup-20050406-032803-246 infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Thu Apr 07 00:35:50 2005 => Scanning File C:\Eigene Musik\CD´s\TranceMaster 32\Trancemaster 32 - CD2\03 - Barthezz - Infected.mp3

Thu Apr 07 01:02:25 2005 => File C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.

Thu Apr 07 01:14:12 2005 => File C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.







Der neue Log nach der Behebung aller mir bekannten Quellen.

Thu Apr 07 02:49:23 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.

Thu Apr 07 02:49:23 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 02:59:54 2005 => Scanning File C:\Eigene Musik\CD´s\TranceMaster 32\Trancemaster 32 - CD2\03 - Barthezz - Infected.mp3

Thu Apr 07 03:51:11 2005 => ***** Scanning complete. *****

Thu Apr 07 03:51:11 2005 => Total Objects Scanned: 45492
Thu Apr 07 03:51:11 2005 => Total Virus(es) Found: 1
Thu Apr 07 03:51:11 2005 => Total Disinfected Files: 0
Thu Apr 07 03:51:11 2005 => Total Files Renamed: 0
Thu Apr 07 03:51:12 2005 => Total Deleted Objects: 0
Thu Apr 07 03:51:12 2005 => Total Errors: 10
Thu Apr 07 03:51:12 2005 => Time Elapsed: 01:21:37
Thu Apr 07 03:51:12 2005 => Virus Database Date: 2005/04/06
Thu Apr 07 03:51:12 2005 => Virus Database Count: 124827

Thu Apr 07 03:51:12 2005 => Scan Completed.





bis jetzt habe ich schon mal ruhe hoffent lich bleibt das auch so :-)
und auch bis hier hin ein ganz großes DANKESCHÖN von mir.
und die anderren sachen fixe ich dann so schnell wie möglich.
__________
---------------------------------------------------------------------------------------------------
Es gibt Tage da verliert man, und es gibt Tage da gewinnen eben die Anderen.

#6 Hallo@Firefly

poste bitte das neue Log vom HijackThis (nach dem scannen mit NOD32 und Antivirus)

(den NOD32 deinstallieren, bevor du den Antivirus installierst und korrekt konfigurieren, ....bitte alles genau lesen, was ich schreibe
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Logfile of HijackThis v1.99.1
Scan saved at 13:36:01, on 16.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Firefly\Desktop\sachen gegen hijacks\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: DATA BECKER - E-Mail Schutz.lnk = C:\Programme\DATA BECKER\Maximum Protection Antivirus 2004_2005\AntiVirus\POP_P.exe
O4 - Global Startup: DATA BECKER - Virenwächter.lnk = C:\Programme\DATA BECKER\Maximum Protection Antivirus 2004_2005\AntiVirus\avw.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112747399233
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F87F3C2-853F-4280-9468-46831C4C319B}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe



habe da mal ne kleine Frage zum schluß:

mein rechner verliert an dauernt irgent welche wichtigen sachen (von windows)
z.b. lautstärke regulierung, die kartenspiele, die möglichkeit im lan was frei zu geben und anderre kleinichkeiten die ich aber leider nicht Repariert bekomme ohne gleich windows neu aufzusetzen. hast du da noc nen Ass im Ärmel ?

Ach so herzlichen Dank für deine Hilfe :-)
__________
---------------------------------------------------------------------------------------------------
Es gibt Tage da verliert man, und es gibt Tage da gewinnen eben die Anderen.

#8 Hallo@Firefly

•Antivirus (free)
http://www.free-av.de/

Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

mache einen Komplettscann mit dem Antivirus (dann gehe wieder in den Normalmodus und poste mir den Report vom Scann)

(ueber die anderen Probleme sprechen wir danach)
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Erstellungsdatum der Reportdatei: Sonntag, 17. April 2005 03:32

AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005
Hauptptogramm 6.30.00.17 vom 07.03.2005
VDF-Datei 6.30.0.106 (0) vom 16.04.2005


Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 ()
Benutzername: Firefly
Prozessor: Pentium
Arbeitsspeicher: 783856 KB frei

Versionsinformationen:
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVEWIN32.DLL : 6.30.0.7 815616 11.03.2005 12:40:48
AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50
AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20
GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32
AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26
AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26
AVPACK32.DLL : 6.30.0.8 323664 23.03.2005 16:35:52
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:12
AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32
AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18
AVRep.DLL : 6.30.00.100 1065000 17.04.2005 03:23:08
INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26
INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26
CTL3D32.DLL : 2.31.000 27136 18.08.2001 14:00:00
MFC42.DLL : 6.00.8665.0 995383 18.08.2001 14:00:00
MSVCRT.DLL : 7.0.2600.0 (xpclient.010817-1148
MSVCRT.DLL : 7.0.2600.0 (xp 322560 18.08.2001 14:00:00
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Firefly\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[ ] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
C: Festplatte
D: CDRom
E: CDRom

Start des Suchlaufs: Sonntag, 17. April 2005 03:32

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
ElitumEliteBar.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ElitumEliteBar1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
QHosts.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
QHosts1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
QHosts2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\Firefly
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Firefly\Eigene Dateien\Eigene Bilder\Patrick Paß\cdnero
nero551028.exe
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR: ACCESS_VIOLATION EIP = 01348EF4
C:\Dokumente und Einstellungen\Firefly\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Programme\PowerQuest\Drive Image 7.0\SHARED\EN
Tour.exe
ArchiveType: ZIP SFX (self extracting)
--> v2i.swf
HINWEIS! Unerwartetes Dateiende erreicht
--> computer.swf
HINWEIS! Unerwartetes Dateiende erreicht
--> Topic5.swf
HINWEIS! Unerwartetes Dateiende erreicht
--> Topic4.swf
HINWEIS! Unerwartetes Dateiende erreicht
--> Topic3.swf
HINWEIS! Unerwartetes Dateiende erreicht
--> Topic2.swf
HINWEIS! Unerwartetes Dateiende erreicht
--> Topic1.swf
HINWEIS! Unerwartetes Dateiende erreicht
--> Drive Image.swf
HINWEIS! Unerwartetes Dateiende erreicht
C:\RECYCLER\S-1-5-21-1343024091-261478967-839522115-1004\Dc4\dateien\Media\PACKPROGRAMME
WRAR300D.EXE
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 0134BCBF
C:\RECYCLER\S-1-5-21-1343024091-261478967-839522115-1004\Dc4\dateien\Media\PACKPROGRAMME\WINRAR
WINRAR.EXE
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 0134BCBF
C:\RECYCLER\S-1-5-21-1343024091-261478967-839522115-1004\Dc4\dateien\NERO 6.6
Nero6601.exe
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 0134BCBF
NVE3014.exe
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 0134BCBF
C:\RECYCLER\S-1-5-21-1343024091-261478967-839522115-1004\Dc4\von alien\N-gage spiele neu\Requiem of Hell
0027 - [N-Gage] Requiem Of Hell.rar
ArchiveType: RAR
Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 0134BCBF
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
default.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!



Ende des Suchlaufs: Sonntag, 17. April 2005 04:01
Benötigte Zeit: 28:55 min


2678 Verzeichnisse wurden durchsucht
61992 Dateien wurden geprüft
15 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden
__________
---------------------------------------------------------------------------------------------------
Es gibt Tage da verliert man, und es gibt Tage da gewinnen eben die Anderen.

#10 Hallo@Firefly

Download the beta* of our new anti-spyware software today
http://www.microsoft.com/athome/security/spyware/software/default.mspx

Wie kann ich das Service Pack 2 installieren?

Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.

Installation über Windows Update (Internet)

www.windowsupdate.com

1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).

2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.

Installation von CD
1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein.
2. Klicken Sie nach dem Autostart auf Weiter.
3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen.
4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken.
5. Folgen Sie den weiteren Anweisungen.

Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist.

Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 OK denke habe so weit alles wieder im Griff, SP2 werde ich mir als CD kaufen, weil ich nur über modem ins Netz gehe will ich es nur ungerne loaden na ja und windows Update ist bei meinem Rechner leider auch schon defekt also bleibt mir wohl bald nichts anderes übrig als die Kiste mal wieder neu aufzusetzen, Danke trotzdem für deine Hilfe, so kann ich wenigstens meine Daten Retten ohne die Beiden Nervensägen mit zu nehmen danke. MFG Firefly
__________
---------------------------------------------------------------------------------------------------
Es gibt Tage da verliert man, und es gibt Tage da gewinnen eben die Anderen.

#12 Hi

Ihr seid hoffentlich meine letzte Rettung !?

Soweit erfolglos angewendet:

Spybot
Ad-Aware
MS Beta1
NOD32
CWShredder
Singer
SpywareBlaster
CCleaner
hsremove
Kill2Me
AboutBuster
SpySubtract

Hier mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:54:27, on 05/05/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
c:\uk_nm.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Gordon H-K Meyburg\Desktop\Spyware Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by ArtProvision
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Machine Debug Manager] msdn.exe
O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINNT\system32\uk_nm.exe -N
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\eliteryc32.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] msdn.exe
O4 - HKCU\..\Run: [Machine Debug Manager] msdn.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

Am hartnaeckigsten ist: O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\eliteryc32.exe

Wenn Ihr das schafft brauche ich dringend eine Addresse von Euch, das die Flasche Champagner auch ankommt!

Vielen Dank!

#13 hi dave8445
ich habe elitum mit hilfe dieser anleitung entfernen können, ich kenne mich zwar nicht so gut mit windof NT aus aber im prinzip dürfte dir die anleitung von Sabina doch helfen.
ich habe alles im Abgesicherten modus hin bekommen ich muste nur wissen wo die Viecher sich verkrochen haben und das steht alles oben (tip: Drucke dir doch einfach die tips von Sabina aus).

wenn noch Probleme auftauchen einfach fragen.
ich werde gerne Probieren dir zu helfen auch ohne die Flasche Champagner in anspruch zu nehmen :-)
MFG Firefly
__________
---------------------------------------------------------------------------------------------------
Es gibt Tage da verliert man, und es gibt Tage da gewinnen eben die Anderen.

#14 Hallo@dave8445

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O4 - HKLM\..\Run: [Machine Debug Manager] msdn.exe
O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINNT\system32\uk_nm.exe -N
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\eliteryc32.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] msdn.exe
O4 - HKCU\..\Run: [Machine Debug Manager] msdn.exe

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp



Desinfektion von W32/Agobot
Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen)
http://bilder.informationsarchiv.net/Nikitas_Tools/agobtgui.com

Antivirus (free)
http://www.free-av.de/

Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

loeschen:
c:\uk_nm.exe
C:\WINNT\system32\uk_nm.exe
C:\WINNT\system32\msdn.exe
C:\WINNT\system32\userinit32.exe

agobtgui.com--> mit diesem Tool scannen
mache einen Komplettscann mit dem Antivirus und poste mir dann den Report+ das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit