TR/StartPage.nk.8.A (c:\windows\system32\elitehlz32.exe)

#1 falls ihr noch mehr infos braucht fragt einfach.
ansonsten schonmal vielen dank im vorraus!
hier mein logfile:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 22:46:46, on 04.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Stefan\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows Shell] C:\WINDOWS\system32\shell32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitehlz32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ProRat V1.8 - {89999700-cba3-4071-b251-47cb894244cd} - C:\haxxor\prorat\ProRat.exe (file missing)
O9 - Extra 'Tools' menuitem: ProRat V1.8 - {89999700-cba3-4071-b251-47cb894244cd} - C:\haxxor\prorat\ProRat.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} (TurnTool Scene) - http://www.turntool.com/ViewerInstall.exe
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

#2 Also, als böse konnte identifiziert werden:

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitehlz32.exe
O4 - HKLM\..\Run: [Windows Shell] C:\WINDOWS\system32\shell32.exe
O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} (TurnTool Scene) - http://www.turntool.com/ViewerInstall.exe
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll (file missing)

Das mal fixen und schauen, dass Du die Shell32.exe im System32-Ordner wieder los wirst - auf nem sauberen System gibt es die nicht.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hallo@

du solltest das alles heute zusammen mit mir abarbeiten, denn ab morgen bin ich in Urlaub

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten


C:\WINDOWS\system32\shell32.exe
C:\windows\system32\elitehlz32.exe

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitehlz32.exe
O4 - HKLM\..\Run: [Windows Shell] C:\WINDOWS\system32\shell32.exe
O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} (TurnTool Scene) - http://www.turntool.com/ViewerInstall.exe
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll (file missing)

PC neustarten

Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 40 Tage aus dem sich öffnenden Editor raus

einzeln in das schwarze DOS-Fenster reinkopierendann öffnet sich der Editor)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit


---------------------
Online-Virenscans
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#4 also für die shell32.exe kam folgendes raus

AntiVir 6.31.0.7 07.05.2005 no virus found
AVG 718 07.04.2005 no virus found
Avira 6.31.0.7 07.05.2005 ADSPY/WinAD.AG
BitDefender 7.0 07.05.2005 Application.Adware.Winad
ClamAV devel-20050501 07.05.2005 Adware.Winad-12
DrWeb 4.32b 07.05.2005 no virus found
eTrust-Iris 7.1.194.0 07.04.2005 no virus found
eTrust-Vet 11.9.1.0 07.05.2005 no virus found
Fortinet 2.36.0.0 07.05.2005 Adware/WinAd
Ikarus 2.32 07.05.2005 no virus found
Kaspersky 4.0.2.24 07.05.2005 no virus found
McAfee 4527 07.04.2005 potentially unwanted program Adware-WinAd
NOD32v2 1.1161 07.04.2005 a variant of Win32/Adware.WUpd
Norman 5.70.10 07.05.2005 no virus found
Panda 8.02.00 07.04.2005 Adware/WinAD
Sybari 7.5.1314 07.05.2005 no virus found
Symantec 8.0 07.04.2005 no virus found
TheHacker 5.8.2.065 07.04.2005 no virus found
VBA32 3.10.4 07.05.2005 suspected of Embedded.AdWare.WinAD.ai



und die elitehlz find ich garnet.
versteckte dateien sind natürlich sichtbar!
vielleicht hab ichs aber au tatsächlich gestern noch selber gschafft den zu killen mit antivir und dann hab ich in der registry die keys manuell entfernt...

#5 Hallo@

http://virus-protect.org/escan.html
arbeite das ab und loesche es dann , was als Infected angezeigt wird....entweder mit escan (zum Loeschen zufuegen+ PC neustarten) oder manuell


dann mache onlinescans-->z.B: McAfee -->Panda (wenn der Antivirus beim Panda "meckert"--> nicht beachten, Bitdefender..............
http://virus-protect.org/onlinescan.html

Lade und scanne:
NOD32 Antivirus System
http://virus-protect.org/antivirenshareware.html

Viel Glueck
__________
MfG Sabina

rund um die PC-Sicherheit