Elitetoolbar eingefangen |
||
---|---|---|
#0
| ||
17.08.2005, 19:31
Member
Beiträge: 13 |
||
|
||
17.08.2005, 20:13
Member
Beiträge: 4730 |
#2
Da ist mächtig was im Kasten. Messenger Plus! und vermutlich Win32/Rbot.AHP, Nautical-A, Fagot IRC und noch ein paar mehr. Säuberung oder formatieren? Formatieren wäre wohl eine brauchbare Lösung.
Ansonsten fixe folgendes mit HijackThis (HJT). Dazu mache vor jeden genannten Eintrag ein Häkchen und klicke nach vollendeter Arbeit auf "fix checked". O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\System32\spoolsv32.exe O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\System32\ntdll.exe O4 - HKLM\..\Run: [Windows DLL Host] C:\WINDOWS\System32\dllhost32.exe O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitecxt32.exe O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB O20 - AppInit_DLLs: MsgPlusLoader.dll O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe (file missing) PC neustarten. Deinstalliere Messenger Plus! Führe folgende Schritte aus: Deaktiviere die Systemwiederherstellung: Start -> Systemsteuerung -> System -> Systemwiederherstellung Lade Killbox und entpacke das Programm. Starte es und aktiviere die Option "Delete on Reboot". Füge folgendes in das Eingabefeld ein und klicke jeweils rechts auf das Kreuz. Die Frage nach dem Reboot erst nach dem letzten Eintrag mit YES bestätigen: C:\WINDOWS\System32\Netlib.exe c:\windows\system32\navupdate64.exe C:\WINDOWS\System32\spoolsv32.exe C:\WINDOWS\System32\ntdll.exe C:\WINDOWS\System32\dllhost32.exe C:\windows\system32\elitecxt32.exe C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll #folgende Liste enthält typische Dateinamen für W32/Nautical-A, sie müssen nicht auf Deinem Rechner vorhanden sein, prüfe aber nach und lasse die gefundenen ebenfalls durch Killbox löschen: c:\windows\system32\Win32.exe c:\windows\system32\Explore.exe c:\windows\system32\Kernel32.exe c:\windows\system32\krnl286.exe c:\windows\system32\MSTCP.exe c:\windows\system32\CRSS.exe c:\windows\system32\Winlogon32.exe c:\windows\system32\winsrvc.exe c:\windows\system32\ntoskrn.exe c:\windows\system32\Vmm32.exe c:\windows\system32\Sysmon.exe c:\windows\system32\System32.exe c:\windows\system32\Sys.exe c:\windows\system32\Win.exe c:\windows\system32\Rundil32.exe c:\windows\system32\Msrvcp.exe c:\windows\system32\Msgmsr.exe c:\windows\system32\Mscde32.exe c:\windows\system32\Regsvclib.exe c:\windows\system32\Reg32.exe c:\windows\system32\Registry32.exe c:\windows\system32\Service.exe c:\windows\system32\Rpcsrvc.exe Start -> Ausführen -> cmd Kopiere dort folgendes rein (es wird sich jeweils ein Notepad-Fenster öffnen - davon kopierst Du alle Einträge der letzten 14 Tage hier rein - mehr nicht, da es sonst zu lang werden würde) cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit Wenn Du das Ergebnis gepostet hast, können wir schauen, wie wir den Rest beseitigt kriegen. Außerdem meine Empfehlung: ServicePack2 und alle nachfolgenden Updates installieren. Eine Firewall benutzen und Antivir regelmäßig (also mindestens alle 2 Tage) aktualisieren. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 17.08.2005 um 20:16 Uhr von Managor editiert.
|
|
|
||
17.08.2005, 20:35
Member
Themenstarter Beiträge: 13 |
#3
Hallo, schon mal vielen Dank für die Antwort. Hat mich aber dennoch sehr überrascht, weil gestern noch alles funktioniert hat, ich war heute nur kurz 5 Minuten ohne Firewall mal online und schon wars passiert.
Ich lass auch jede woche Antivir und Ad-Aware durchlaufen...Formatiert hab ich auch erst letzten Monat mal. Also das Problem mit Hijackthis ist ja, dass die Dateien nach dem neustart auch wieder da sind. Hab betroffene Dateien schon öfter gefixt, aber hat nichts gebracht. Das Problem mit der Killbox ist, dass die ganzen dateien in system32 nicht gefunden werden, die sind nicht da obwohl sie da sind...und lassen sich daher mit nichts entfernen...hab auch schon in dos versucht betroffenes zu löschen, aber auch da wirds nicht gefunden... |
|
|
||
17.08.2005, 20:50
Member
Beiträge: 4730 |
#4
Bist Du Dir sicher, dass Du alle betreffenden Einträge gefixt hast? Wenn man einen übersieht, dann kommt der Rest meist von alleine wieder.
Aufgrund des doch überraschend hohen Virenaufkommens nach 5 Minuten ohne Firewall - Du musst Dir diese Viren irgendwie anders eingefangen haben. Was für eine Firewall verwendest Du? Ich sehe jedenfalls nichts von einer Firewall (nichts im Autostart, keine eingetragenen Services, keine aktiven Prozesse). Fahre erstmal so fort, wie ich es vorgeschlagen habe. Messenger Plus! deinstallieren. Killbox überspringen wir erstmal - Du meinst ja, dass das nicht funktioniert. Poste das Ergebnis aus dem DOS-Krams, den ich Dir aufgeschrieben habe. Und wie gesagt: Formatieren ist wohl hier die beste Lösung. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
17.08.2005, 20:55
Member
Themenstarter Beiträge: 13 |
#5
Hab tortzdem das mit der Killbox gemacht obwohl der viele Dateien nicht gefunden hat, aber es waren ein paar dabei die hat er erkannt und wow ich bin 20 minuten im Internet und keine Pop ups... scheint wieder zu funktionieren...
Also die einzige Firewall die ich verwende ist die Windows eigene, weil ich sonst über Icq (z.b.) keine Dateien verschicken kann...aber wenn du eine kostenlose kennst die gut ist, dann bin ich natürlich gern bereit sie mal auszuprobieren...geht ja schließlich um die Sicherheit von meinem PC... hier sind die Dos Sachen: Verzeichnis von C:\WINDOWS\system32 17.08.2005 20:42 29.282 nvapps.xml 17.08.2005 20:42 449.776 FNTCACHE.DAT 17.08.2005 20:41 19.788 OODBS.lor 17.08.2005 16:55 23.392 nscompat.tlb 17.08.2005 16:55 16.832 amcompat.tlb 17.08.2005 00:39 2.206 wpa.dbl 15.08.2005 23:12 45.192 MsgPlusLoader.dll temp: 17.08.2005 20:42 14.560 jusched.log 17.08.2005 20:40 1.646 kb.log 17.08.2005 20:40 1.765 tmp30.tmp 17.08.2005 20:26 16.384 ~DFBBB4.tmp 17.08.2005 19:58 379 tmp1C.tmp 17.08.2005 19:23 1.825 tmp3A.tmp 17.08.2005 19:12 379 tmp19.tmp 17.08.2005 19:01 379 tmp17.tmp 17.08.2005 19:01 1.825 tmp16.tmp 17.08.2005 18:45 1.765 tmp20.tmp 17.08.2005 18:40 379 tmp18.tmp 17.08.2005 18:27 0 tmp15.tmp 17.08.2005 18:27 0 tmp11.tmp 17.08.2005 18:21 1.765 tmp49.tmp 17.08.2005 18:00 379 tmp14.tmp 17.08.2005 18:00 16.384 ~DF1AFB.tmp 17.08.2005 17:42 4.533 plf116.tmp 17.08.2005 17:11 184.787 _rf.log 17.08.2005 16:53 16.384 ~DFBDC9.tmp 17.08.2005 16:34 0 uis3E.tmp 17.08.2005 16:23 16.384 ~DF3782.tmp 17.08.2005 16:06 1.745 tmp1E.tmp 17.08.2005 15:40 379 tmp13.tmp 17.08.2005 15:28 379 tmp12.tmp 17.08.2005 15:28 1.765 tmp10.tmp 17.08.2005 15:18 0 tmpE.tmp 17.08.2005 15:18 0 tmpD.tmp 17.08.2005 15:02 0 tmpC.tmp 17.08.2005 15:02 0 tmpA.tmp 17.08.2005 14:25 0 tmpB.tmp 17.08.2005 14:24 0 tmp9.tmp 17.08.2005 14:08 0 tmp8.tmp 17.08.2005 14:08 0 tmp1.tmp 17.08.2005 14:02 1.785 tmpF.tmp 17.08.2005 13:47 379 tmp6.tmp 17.08.2005 13:39 1.825 tmp47.tmp 17.08.2005 12:56 379 tmp7.tmp 17.08.2005 12:44 379 tmp5.tmp 17.08.2005 12:44 1.825 tmp2.tmp 17.08.2005 12:02 0 tmp4.tmp 17.08.2005 12:02 0 tmp3.tmp 17.08.2005 01:42 10.321 java_install_reg.log 17.08.2005 00:57 16.384 ~DF40D7.tmp 17.08.2005 00:39 77.824 bitcoll.dll 17.08.2005 00:39 32.768 shutdown.exe 17.08.2005 00:39 31.232 cmdo.exe 17.08.2005 00:39 593 link2.lnk 17.08.2005 00:39 590 link1.lnk 17.08.2005 00:39 122.880 upd.exe 16.08.2005 22:00 16.384 ~DFC51D.tmp 16.08.2005 21:25 717 control.xml 16.08.2005 20:49 3 Twain001.Mtx 16.08.2005 20:38 72.714 mps034A0.tmp 16.08.2005 18:36 1.126.400 a005.tmp 16.08.2005 13:44 480.522 mps05151.tmp 16.08.2005 13:11 16.384 ~DF3A51.tmp 16.08.2005 12:20 16.384 ~DFC24F.tmp 16.08.2005 12:20 16.384 ~DF8E88.tmp 16.08.2005 11:22 16.384 ~DF6C4C.tmp 16.08.2005 11:17 16.384 ~DF3A2C.tmp 16.08.2005 11:17 512 ~DF2945.tmp 16.08.2005 11:17 16.384 ~DF2938.tmp 15.08.2005 23:25 222.474 mps058B9.tmp 15.08.2005 23:00 71.680 GLB39.tmp 15.08.2005 21:08 16.384 ~DF8D52.tmp 15.08.2005 21:08 16.384 ~DF80B6.tmp 15.08.2005 21:01 16.384 ~DF9E4E.tmp 15.08.2005 21:01 512 ~DF9539.tmp 15.08.2005 21:01 16.384 ~DF952C.tmp 15.08.2005 11:01 16.384 ~DF43F6.tmp 15.08.2005 10:44 16.384 ~DF10BC.tmp 15.08.2005 10:44 16.384 ~DFFE35.tmp 14.08.2005 15:39 67.560 TFR2B.tmp 14.08.2005 15:39 21.122 TFR2A.tmp 14.08.2005 15:39 23.427 TFR29.tmp 14.08.2005 15:39 71.682 TFR27.tmp 14.08.2005 15:39 10.225 TFR25.tmp 14.08.2005 15:39 35.574 TFR23.tmp 14.08.2005 15:39 32.204 TFR22.tmp 14.08.2005 15:39 27.777 TFR21.tmp 14.08.2005 12:29 0 ~DF5.tmp 14.08.2005 11:40 16.384 ~DFB432.tmp 14.08.2005 11:35 16.384 ~DFE3EC.tmp 14.08.2005 11:35 16.384 ~DFCD85.tmp 13.08.2005 10:36 16.384 ~DFF24E.tmp 13.08.2005 10:36 16.384 ~DFE6C2.tmp 12.08.2005 14:27 21.508 AAX8.tmp 12.08.2005 11:39 21.508 AAX2.tmp 12.08.2005 11:10 16.384 ~DF25AC.tmp 12.08.2005 11:10 16.384 ~DF1C78.tmp 11.08.2005 13:55 1.126.400 a00E6.tmp 10.08.2005 11:09 16.384 ~DF4B3.tmp 10.08.2005 11:09 16.384 ~DFF4A0.tmp 10.08.2005 00:22 38.396 AAX12.tmp 09.08.2005 09:10 16.384 ~DF1DDC.tmp 09.08.2005 09:10 16.384 ~DF16BA.tmp 08.08.2005 12:03 16.384 ~DF147D.tmp 08.08.2005 12:03 16.384 ~DF6AF.tmp 07.08.2005 17:28 16.384 ~DF7588.tmp 07.08.2005 17:28 16.384 ~DF565B.tmp 07.08.2005 10:58 16.384 ~DF3465.tmp 07.08.2005 10:57 16.384 ~DF294D.tmp 06.08.2005 10:46 16.384 ~DFF5F9.tmp 06.08.2005 10:46 16.384 ~DFEA6C.tmp 06.08.2005 00:46 0 fla40.tmp 06.08.2005 00:46 0 fla3F.tmp 06.08.2005 00:46 0 fla3E.tmp 06.08.2005 00:46 0 fla3D.tmp 05.08.2005 10:08 16.384 ~DF413D.tmp 05.08.2005 10:08 16.384 ~DF2484.tmp 04.08.2005 18:34 17.644 AAX1F.tmp 04.08.2005 18:34 17.644 AAX1E.tmp 04.08.2005 10:38 16.384 ~DF2C5F.tmp 04.08.2005 10:38 16.384 ~DF1D5C.tmp 03.08.2005 16:48 16.384 ~DFA0F7.tmp 03.08.2005 11:05 16.384 ~DF1F61.tmp 03.08.2005 11:05 16.384 ~DF118C.tmp Verzeichnis von C:\WINDOWS 17.08.2005 20:42 0 0.log 17.08.2005 20:42 159 wiadebug.log 17.08.2005 20:42 0 wiaservc.log 17.08.2005 20:42 2.048 bootstat.dat 17.08.2005 20:41 20.504 SchedLgU.Txt 17.08.2005 20:31 928.268 setupapi.log 17.08.2005 19:06 217.436 ntbtlog.txt 17.08.2005 19:06 227 system.ini 17.08.2005 19:06 1.173 win.ini 17.08.2005 17:45 316.280 wmsetup.log 17.08.2005 16:56 994 wmsetup10.log 17.08.2005 16:54 316.640 WMSysPr9.prx 17.08.2005 16:50 253.952 Setup1.exe 17.08.2005 16:50 74.752 ST6UNST.EXE 16.08.2005 20:50 1.523 pstudio.ini 16.08.2005 20:50 28 album.ini 16.08.2005 17:16 10 popcinfo.dat 15.08.2005 21:35 14.328 ntdtcsetup.log 15.08.2005 21:35 26.254 comsetup.log 15.08.2005 21:35 5.509 iis6.log 15.08.2005 21:35 1.917 imsins.log 15.08.2005 21:35 30.583 ocgen.log 15.08.2005 21:35 21.662 tsoc.log 15.08.2005 21:35 2.252 ocmsn.log 15.08.2005 21:35 2.526 msgsocm.log 15.08.2005 21:35 43.058 FaxSetup.log 07.08.2005 17:07 54.156 QTFont.qfn 05.08.2005 00:07 137 ScrShotManager.cfg 03.08.2005 17:20 737.280 iun6002.exe 03.08.2005 01:36 424.960 WRServices.dll Verzeichnis von C:\ 17.08.2005 20:50 0 sys.txt 17.08.2005 20:49 6.316 system.txt 17.08.2005 20:47 14.831 systemtemp.txt 17.08.2005 20:45 92.257 system32.txt 17.08.2005 20:42 1.207.959.552 pagefile.sys 17.08.2005 19:06 192 boot.ini 14.08.2005 14:33 4.276 adp_inst.log |
|
|
||
17.08.2005, 21:03
Member
Beiträge: 4730 |
#6
hmmm... die Infektion scheint ja schon älter zu sein.
Im Verzeichnis C:\ hast Du folgende Dateien: sys.txt system.txt systemtemp.txt system32.txt Öffne die system32.txt und suche dort nach den oben genannten exe-Dateien. Poste hier nochmals den Inhalt der vier Text-Dateien ab dem ältesten Datum der Infektion (bspw. die dllhost32.exe wurde am 01.08.2005 erstellt, die Netlib.exe aber schon am 28.07.2005 - also brauchen wir die Einträge ab dem 28.07.2005 - ich hoffe, ich hab das verständlich erklärt *unsicher*?) ZoneAlarm ist eine gute BasisFirewall. Eher zu empfehlen ist aber die Sygate-Firewall. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
17.08.2005, 21:17
Member
Themenstarter Beiträge: 13 |
#7
Bin mir nicht sicher ob ich das richtig verstanden hab, aber ich hab jetzt einfach mal die vier Dateien komplett hochgeladen, dann ist ja auf jedenfall das wichtige auch dabei.
http://members.lycos.co.uk/carryangel/sys.txt http://members.lycos.co.uk/carryangel/system.txt http://members.lycos.co.uk/carryangel/system32.txt http://members.lycos.co.uk/carryangel/systemtemp.txt |
|
|
||
17.08.2005, 21:30
Member
Beiträge: 4730 |
#8
Oh sch***... das sieht ja verdammt übel aus!
Da sind ein Haufen Einträge vom 18.08.2001 um 14:00 Uhr - in der Regel variiert das Datum und die Uhrzeit der Einträge. Ich fürchte, der Virus hat sich schon sehr gut in Deinem System breit gemacht. Hier hilft eigentlich nur noch formatieren. Vielleicht kann Sabina noch etwas dazu sagen? Ich jedenfalls habe Angst, da noch irgendwas anderes zu empfehlen... __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 17.08.2005 um 21:35 Uhr von Managor editiert.
|
|
|
||
17.08.2005, 21:34
Member
Themenstarter Beiträge: 13 |
#9
Was bedeutet es denn wenn zu einem bestimmten Datum viele Einträge gemacht wurden und was wird der Virus noch für Auswirkungen haben? Momentan hab ich nämlich keine Probleme, I-net geht wieder und Pop-ups sind auch keine mehr da, und wenn ich Antivir durchlaufen lass findet der auch nichts mehr...
|
|
|
||
17.08.2005, 21:36
Member
Beiträge: 4730 |
#10
Lass Dich nicht durch meinen Gefühlsausbruch verunsichern. Ich kann mich auch irren. Aber sowas in der Art habe ich bisher noch nie gesehen. Warten wir am besten auf Sabinas Meinung dazu.
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
17.08.2005, 21:45
Member
Themenstarter Beiträge: 13 |
#11
Nö keine Sorge, ich mein formatieren muss ich sowieso irgendwann mal wieder, aber solang das hier nicht schlimmer wird werd ich erstmal nicht formatieren, das kann ich ja auch später noch machen wenn ich wieder irgendein unlösbares Problem hab.
Jedenfalls nochmal danke an dich, denn jetzt kann ich wenigstens wieder normal arbeiten |
|
|
||
17.08.2005, 21:59
Member
Beiträge: 4730 |
#12
Na ja, bei einer - wie ich befürchte - dermaßen schlimmen Vireninfektion bist Du ein Sicherheitsrisiko. Einfach aus dem Grund, weil Du die Viren unbewusst übers Internet weiterverbreiten könntest. Die Viren sind ggf. auch in der Lage, Benutzernamen, Passwörter und andere sensible Daten auszuspionieren und in alle Welt zu verschicken. Außerdem könnten sie Dir wichtige Daten (Dokumente, Bilder, etc.) zerstören.
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
17.08.2005, 23:26
Ehrenmitglied
Beiträge: 29434 |
#13
SilverSand
zu loeschen waere unbedingt: •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR2B.tmp C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR2A.tmp C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR29.tmp C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR27.tmp C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR25.tmp C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR23.tmp C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR22.tmp C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR21.tmp C:\WINDOWS\system32\TFTP3360 C:\WINDOWS\system32\TFTP3632 C:\WINDOWS\system32\TFTP3352 C:\WINDOWS\system32\TFTP3688 C:\WINDOWS\system32\TFTP2940 C:\WINDOWS\system32\TFTP1172 C:\WINDOWS\system32\TFTP1344 C:\WINDOWS\system32\TFTP1732 PC neustarten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html FindT.zip http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip in C:\ entpacken -- öffne "Find T" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.08.2005, 00:04
Member
Themenstarter Beiträge: 13 |
#14
ok, temp war eh fast leer hab ich erst gestern gelöscht und die anderen mit der killbox sind auch weg, aber es hat sich mit dem FindT zwar eine txt datei geöffnet aber da steht nur 'Please note that all files ...usw.'
hab jetzt mal das kopiert was das DOS fenster sagt... C:\Find T>if exist file.txt del file.txt C:\Find T>echo PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES , There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UN SURE OF WHAT IT IS LEAVE THEM ALONE. 1>>file.txt C:\Find T>echo ╗╗╗╗╗ Search by size & name's... 1>>file.txt ╗╗╗╗╗ Search by size Der Befehl "name's..." ist entweder falsch geschrieben oder konnte nicht gefunden werden. C:\Find T>echo. 1>>file.txt C:\Find T>LOCATE C:\WINDOWS\System32\*.exe /D- /D:T-10M /S:55304! /NR /N 1>>fil e.txt C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:5-11-03! /S:43528! /NR /N 1> >file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:T-10M /S:4096! /NR /N 1>>fil e.txt C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:6-19-03! /S:43528! /NR /N 1> >file.txt /D+ find Directories only /D- files only, no Directories /D both files and Directories (default) /D:[start][,end] only Dates in range /D:date! only one specific date /D:T only items dated today /US show dates in US format: Jan 31 1996 /UK show dates in UK format: 31 Jan 1996 /UJ show dates in ISO format: 1996-01-31 Local date format: DD-MM-YYYY C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:T-10M /S:28680! /NR /N 1>>fi le.txt C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:6-19-03! /S:11264! /NR /N 1> >file.txt /D+ find Directories only /D- files only, no Directories /D both files and Directories (default) /D:[start][,end] only Dates in range /D:date! only one specific date /D:T only items dated today /US show dates in US format: Jan 31 1996 /UK show dates in UK format: 31 Jan 1996 /UJ show dates in ISO format: 1996-01-31 Local date format: DD-MM-YYYY C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:T-10M /S:43528! /NR /N 1>>fi le.txt C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.ren /D- /D:T-10M /S:43528! /NR /N 1>>fi le.txt C:\FINDT~1>LOCATE C:\WINDOWS\System32\ntfsnlpa.exe /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System32\cisvvc.exe /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System32\drv2cltr.dll /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System32\hybsys32.dll /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System32\loadctr.exe /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System32\rdsndin.exe /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System32\pxpcya64.exe /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:T-10M /S:55304! /NR /N 1>>file .txt C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:5-11-03! /S:43528! /NR /N 1>>f ile.txt C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:T-10M /S:4096! /NR /N 1>>file. txt C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:6-19-03! /S:43528! /NR /N 1>>f ile.txt /D+ find Directories only /D- files only, no Directories /D both files and Directories (default) /D:[start][,end] only Dates in range /D:date! only one specific date /D:T only items dated today /US show dates in US format: Jan 31 1996 /UK show dates in UK format: 31 Jan 1996 /UJ show dates in ISO format: 1996-01-31 Local date format: DD-MM-YYYY C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:T-10M /S:28680! /NR /N 1>>file .txt C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:6-19-03! /S:11264! /NR /N 1>>f ile.txt /D+ find Directories only /D- files only, no Directories /D both files and Directories (default) /D:[start][,end] only Dates in range /D:date! only one specific date /D:T only items dated today /US show dates in US format: Jan 31 1996 /UK show dates in UK format: 31 Jan 1996 /UJ show dates in ISO format: 1996-01-31 Local date format: DD-MM-YYYY C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:T-10M /S:43528! /NR /N 1>>file .txt C:\FINDT~1>LOCATE C:\WINDOWS\System\ntfsnlpa.exe /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System\cisvvc.exe /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System\drv2cltr.dll /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System\hybsys32.dll /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System\loadctr.exe /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System\rdsndin.exe /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\System32\pxpcya64.exe /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\*.exe /D- /D:T-10M /S:55304! /NR /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\*.exe /D- /D:T-10M /S:43528! /NR /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\*.exe /D- /D:T-10M /S:4096! /NR /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\rdt.ini /NR /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\balloon.wav /NR /N 1>>file.txt C:\FINDT~1>LOCATE C:\WINDOWS\startm~1\programs\startup\*.exe /NR /N 1>>file.txt C:\FINDT~1>LOCATE C:\docume~1\alluse~1\startm~1\programs\startup\*.exe /NR /N 1 >>file.txt C:\FINDT~1>echo. 1>>file.txt C:\FINDT~1>notepad.exe file.txt |
|
|
||
18.08.2005, 02:16
MerlinX
zu Gast
|
#15
Poste mal dein log hier hin> http://www.hijackthis.de/
Wenn es dann immer noch nicht funktioniert.Ist Sabina angesagt!! Mfg Merlinx |
|
|
||
Die betroffenen Dateien sind in system32\elite...32.exe statt der drei Punkte sind es bei jedem neustart drei andere Buchstaben. Ausserdem ist der Ordner Elitetoolbar in \Windows. Löschen ist unmöglich, da die exe datei gar nicht angezeigt wird. Hab schon mit diversen Programmen versucht es zu löschen, aber gebracht hat es gar nichts. Durch diesen Trojaner erscheinen ständig Pop-ups vom IE und länger als 10 Minuten online sein funktioniert auch nicht...
Ich hoff sehr das mir jemand helfen kann, weil die Platte nur im äußersten Notfall formatieren würde. Ich bin über absolut jede Hilfe dankbar...
Hier noch das Hijackthis log file:
Logfile of HijackThis v1.99.1
Scan saved at 19:29:32, on 17.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
F:\Internet\ICQ\ICQ 2002\NDetect.exe
C:\WINDOWS\System32\cmd.exe
F:\Internet\MSN Messenger Plus\MsgPlus.exe
F:\Multimedia\iTunes\iTunesHelper.exe
F:\Software\HARDWA~1\Keyboard\Ikeymain.exe
F:\Internet\AntiVir\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
F:\Internet\ICQ\ICQPlus\vplus.exe
C:\WINDOWS\system32\netdde.exe
F:\Internet\AntiVir\AVGUARD.EXE
F:\Internet\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
F:\Tools\Spy Sweeper\WRSSSDK.exe
C:\Programme\iPod\bin\iPodService.exe
F:\Tools\hijackthis_199\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Internet\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\System32\spoolsv32.exe
O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\System32\ntdll.exe
O4 - HKLM\..\Run: [Windows DLL Host] C:\WINDOWS\System32\dllhost32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Mirabilis ICQ] F:\Internet\ICQ\ICQ 2002\NDetect.exe
O4 - HKLM\..\Run: [MessengerPlus3] "F:\Internet\MSN Messenger Plus\MsgPlus.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "F:\Multimedia\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [iKeyWorks] f:\Software\HARDWA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [AVGCtrl] "F:\Internet\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitecxt32.exe
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ICQ Plus] "F:\Internet\ICQ\ICQPlus\vplus.exe"
O4 - Global Startup: Logitech Desktop Messenger.lnk = F:\Software\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Software\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Formulare speichern - file://F:\Tools\RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Internet\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - F:\Internet\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Aus&füllen - file://F:\Tools\RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Hervorheben - F:\Internet\Avant Browser\Highlight.htm
O8 - Extra context menu item: Menü a&npassen - file://F:\Tools\RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Suchen - F:\Internet\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - F:\Internet\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - F:\Internet\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://F:\Tools\RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Aus&füllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://F:\Tools\RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://F:\Tools\RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: &Formulare speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://F:\Tools\RoboForm\RoboFormComSavePass.html
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Internet\ICQ\ICQ 2002\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Internet\ICQ\ICQ 2002\ICQ.exe
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://F:\Tools\RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Robo Symbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://F:\Tools\RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Internet\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Internet\ICQ\ICQLite\ICQLite.exe
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120330845592
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Internet\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Internet\AntiVir\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - F:\Tools\Spy Sweeper\WRSSSDK.exe