Elitetoolbar eingefangen

#1 Hallo, ich hab ein großes Problem und zwar hab ich mir wohl irgendwo die Elitetoolbar eingefangen.
Die betroffenen Dateien sind in system32\elite...32.exe statt der drei Punkte sind es bei jedem neustart drei andere Buchstaben. Ausserdem ist der Ordner Elitetoolbar in \Windows. Löschen ist unmöglich, da die exe datei gar nicht angezeigt wird. Hab schon mit diversen Programmen versucht es zu löschen, aber gebracht hat es gar nichts. Durch diesen Trojaner erscheinen ständig Pop-ups vom IE und länger als 10 Minuten online sein funktioniert auch nicht...
Ich hoff sehr das mir jemand helfen kann, weil die Platte nur im äußersten Notfall formatieren würde. Ich bin über absolut jede Hilfe dankbar...

Hier noch das Hijackthis log file:

Logfile of HijackThis v1.99.1
Scan saved at 19:29:32, on 17.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
F:\Internet\ICQ\ICQ 2002\NDetect.exe
C:\WINDOWS\System32\cmd.exe
F:\Internet\MSN Messenger Plus\MsgPlus.exe
F:\Multimedia\iTunes\iTunesHelper.exe
F:\Software\HARDWA~1\Keyboard\Ikeymain.exe
F:\Internet\AntiVir\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
F:\Internet\ICQ\ICQPlus\vplus.exe
C:\WINDOWS\system32\netdde.exe
F:\Internet\AntiVir\AVGUARD.EXE
F:\Internet\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
F:\Tools\Spy Sweeper\WRSSSDK.exe
C:\Programme\iPod\bin\iPodService.exe
F:\Tools\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Internet\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\System32\spoolsv32.exe
O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\System32\ntdll.exe
O4 - HKLM\..\Run: [Windows DLL Host] C:\WINDOWS\System32\dllhost32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Mirabilis ICQ] F:\Internet\ICQ\ICQ 2002\NDetect.exe
O4 - HKLM\..\Run: [MessengerPlus3] "F:\Internet\MSN Messenger Plus\MsgPlus.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "F:\Multimedia\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [iKeyWorks] f:\Software\HARDWA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [AVGCtrl] "F:\Internet\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitecxt32.exe
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ICQ Plus] "F:\Internet\ICQ\ICQPlus\vplus.exe"
O4 - Global Startup: Logitech Desktop Messenger.lnk = F:\Software\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Software\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Formulare speichern - file://F:\Tools\RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Internet\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - F:\Internet\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Aus&füllen - file://F:\Tools\RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Hervorheben - F:\Internet\Avant Browser\Highlight.htm
O8 - Extra context menu item: Menü a&npassen - file://F:\Tools\RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Suchen - F:\Internet\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - F:\Internet\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - F:\Internet\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://F:\Tools\RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Aus&füllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://F:\Tools\RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://F:\Tools\RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: &Formulare speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://F:\Tools\RoboForm\RoboFormComSavePass.html
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Internet\ICQ\ICQ 2002\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Internet\ICQ\ICQ 2002\ICQ.exe
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://F:\Tools\RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Robo Symbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://F:\Tools\RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Internet\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Internet\ICQ\ICQLite\ICQLite.exe
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120330845592
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Internet\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Internet\AntiVir\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - F:\Tools\Spy Sweeper\WRSSSDK.exe

#2 Da ist mächtig was im Kasten. Messenger Plus! und vermutlich Win32/Rbot.AHP, Nautical-A, Fagot IRC und noch ein paar mehr. Säuberung oder formatieren? Formatieren wäre wohl eine brauchbare Lösung.

Ansonsten fixe folgendes mit HijackThis (HJT). Dazu mache vor jeden genannten Eintrag ein Häkchen und klicke nach vollendeter Arbeit auf "fix checked".

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\System32\spoolsv32.exe
O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\System32\ntdll.exe
O4 - HKLM\..\Run: [Windows DLL Host] C:\WINDOWS\System32\dllhost32.exe
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitecxt32.exe
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe (file missing)

PC neustarten.

Deinstalliere Messenger Plus!

Führe folgende Schritte aus:
Deaktiviere die Systemwiederherstellung: Start -> Systemsteuerung -> System -> Systemwiederherstellung

Lade Killbox und entpacke das Programm. Starte es und aktiviere die Option "Delete on Reboot". Füge folgendes in das Eingabefeld ein und klicke jeweils rechts auf das Kreuz. Die Frage nach dem Reboot erst nach dem letzten Eintrag mit YES bestätigen:

C:\WINDOWS\System32\Netlib.exe
c:\windows\system32\navupdate64.exe
C:\WINDOWS\System32\spoolsv32.exe
C:\WINDOWS\System32\ntdll.exe
C:\WINDOWS\System32\dllhost32.exe
C:\windows\system32\elitecxt32.exe
C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll

#folgende Liste enthält typische Dateinamen für W32/Nautical-A, sie müssen nicht auf Deinem Rechner vorhanden sein, prüfe aber nach und lasse die gefundenen ebenfalls durch Killbox löschen:

c:\windows\system32\Win32.exe
c:\windows\system32\Explore.exe
c:\windows\system32\Kernel32.exe
c:\windows\system32\krnl286.exe
c:\windows\system32\MSTCP.exe
c:\windows\system32\CRSS.exe
c:\windows\system32\Winlogon32.exe
c:\windows\system32\winsrvc.exe
c:\windows\system32\ntoskrn.exe
c:\windows\system32\Vmm32.exe
c:\windows\system32\Sysmon.exe
c:\windows\system32\System32.exe
c:\windows\system32\Sys.exe
c:\windows\system32\Win.exe
c:\windows\system32\Rundil32.exe
c:\windows\system32\Msrvcp.exe
c:\windows\system32\Msgmsr.exe
c:\windows\system32\Mscde32.exe
c:\windows\system32\Regsvclib.exe
c:\windows\system32\Reg32.exe
c:\windows\system32\Registry32.exe
c:\windows\system32\Service.exe
c:\windows\system32\Rpcsrvc.exe


Start -> Ausführen -> cmd

Kopiere dort folgendes rein (es wird sich jeweils ein Notepad-Fenster öffnen - davon kopierst Du alle Einträge der letzten 14 Tage hier rein - mehr nicht, da es sonst zu lang werden würde)


cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

Wenn Du das Ergebnis gepostet hast, können wir schauen, wie wir den Rest beseitigt kriegen.

Außerdem meine Empfehlung: ServicePack2 und alle nachfolgenden Updates installieren. Eine Firewall benutzen und Antivir regelmäßig (also mindestens alle 2 Tage) aktualisieren.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hallo, schon mal vielen Dank für die Antwort. Hat mich aber dennoch sehr überrascht, weil gestern noch alles funktioniert hat, ich war heute nur kurz 5 Minuten ohne Firewall mal online und schon wars passiert.
Ich lass auch jede woche Antivir und Ad-Aware durchlaufen...Formatiert hab ich auch erst letzten Monat mal.

Also das Problem mit Hijackthis ist ja, dass die Dateien nach dem neustart auch wieder da sind. Hab betroffene Dateien schon öfter gefixt, aber hat nichts gebracht.
Das Problem mit der Killbox ist, dass die ganzen dateien in system32 nicht gefunden werden, die sind nicht da obwohl sie da sind...und lassen sich daher mit nichts entfernen...hab auch schon in dos versucht betroffenes zu löschen, aber auch da wirds nicht gefunden...

#4 Bist Du Dir sicher, dass Du alle betreffenden Einträge gefixt hast? Wenn man einen übersieht, dann kommt der Rest meist von alleine wieder.

Aufgrund des doch überraschend hohen Virenaufkommens nach 5 Minuten ohne Firewall - Du musst Dir diese Viren irgendwie anders eingefangen haben. Was für eine Firewall verwendest Du? Ich sehe jedenfalls nichts von einer Firewall (nichts im Autostart, keine eingetragenen Services, keine aktiven Prozesse).

Fahre erstmal so fort, wie ich es vorgeschlagen habe. Messenger Plus! deinstallieren. Killbox überspringen wir erstmal - Du meinst ja, dass das nicht funktioniert. Poste das Ergebnis aus dem DOS-Krams, den ich Dir aufgeschrieben habe.

Und wie gesagt: Formatieren ist wohl hier die beste Lösung.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 Hab tortzdem das mit der Killbox gemacht obwohl der viele Dateien nicht gefunden hat, aber es waren ein paar dabei die hat er erkannt und wow ich bin 20 minuten im Internet und keine Pop ups... scheint wieder zu funktionieren...
Also die einzige Firewall die ich verwende ist die Windows eigene, weil ich sonst über Icq (z.b.) keine Dateien verschicken kann...aber wenn du eine kostenlose kennst die gut ist, dann bin ich natürlich gern bereit sie mal auszuprobieren...geht ja schließlich um die Sicherheit von meinem PC...

hier sind die Dos Sachen:

Verzeichnis von C:\WINDOWS\system32

17.08.2005 20:42 29.282 nvapps.xml
17.08.2005 20:42 449.776 FNTCACHE.DAT
17.08.2005 20:41 19.788 OODBS.lor
17.08.2005 16:55 23.392 nscompat.tlb
17.08.2005 16:55 16.832 amcompat.tlb
17.08.2005 00:39 2.206 wpa.dbl
15.08.2005 23:12 45.192 MsgPlusLoader.dll

temp:

17.08.2005 20:42 14.560 jusched.log
17.08.2005 20:40 1.646 kb.log
17.08.2005 20:40 1.765 tmp30.tmp
17.08.2005 20:26 16.384 ~DFBBB4.tmp
17.08.2005 19:58 379 tmp1C.tmp
17.08.2005 19:23 1.825 tmp3A.tmp
17.08.2005 19:12 379 tmp19.tmp
17.08.2005 19:01 379 tmp17.tmp
17.08.2005 19:01 1.825 tmp16.tmp
17.08.2005 18:45 1.765 tmp20.tmp
17.08.2005 18:40 379 tmp18.tmp
17.08.2005 18:27 0 tmp15.tmp
17.08.2005 18:27 0 tmp11.tmp
17.08.2005 18:21 1.765 tmp49.tmp
17.08.2005 18:00 379 tmp14.tmp
17.08.2005 18:00 16.384 ~DF1AFB.tmp
17.08.2005 17:42 4.533 plf116.tmp
17.08.2005 17:11 184.787 _rf.log
17.08.2005 16:53 16.384 ~DFBDC9.tmp
17.08.2005 16:34 0 uis3E.tmp
17.08.2005 16:23 16.384 ~DF3782.tmp
17.08.2005 16:06 1.745 tmp1E.tmp
17.08.2005 15:40 379 tmp13.tmp
17.08.2005 15:28 379 tmp12.tmp
17.08.2005 15:28 1.765 tmp10.tmp
17.08.2005 15:18 0 tmpE.tmp
17.08.2005 15:18 0 tmpD.tmp
17.08.2005 15:02 0 tmpC.tmp
17.08.2005 15:02 0 tmpA.tmp
17.08.2005 14:25 0 tmpB.tmp
17.08.2005 14:24 0 tmp9.tmp
17.08.2005 14:08 0 tmp8.tmp
17.08.2005 14:08 0 tmp1.tmp
17.08.2005 14:02 1.785 tmpF.tmp
17.08.2005 13:47 379 tmp6.tmp
17.08.2005 13:39 1.825 tmp47.tmp
17.08.2005 12:56 379 tmp7.tmp
17.08.2005 12:44 379 tmp5.tmp
17.08.2005 12:44 1.825 tmp2.tmp
17.08.2005 12:02 0 tmp4.tmp
17.08.2005 12:02 0 tmp3.tmp
17.08.2005 01:42 10.321 java_install_reg.log
17.08.2005 00:57 16.384 ~DF40D7.tmp
17.08.2005 00:39 77.824 bitcoll.dll
17.08.2005 00:39 32.768 shutdown.exe
17.08.2005 00:39 31.232 cmdo.exe
17.08.2005 00:39 593 link2.lnk
17.08.2005 00:39 590 link1.lnk
17.08.2005 00:39 122.880 upd.exe
16.08.2005 22:00 16.384 ~DFC51D.tmp
16.08.2005 21:25 717 control.xml
16.08.2005 20:49 3 Twain001.Mtx
16.08.2005 20:38 72.714 mps034A0.tmp
16.08.2005 18:36 1.126.400 a005.tmp
16.08.2005 13:44 480.522 mps05151.tmp
16.08.2005 13:11 16.384 ~DF3A51.tmp
16.08.2005 12:20 16.384 ~DFC24F.tmp
16.08.2005 12:20 16.384 ~DF8E88.tmp
16.08.2005 11:22 16.384 ~DF6C4C.tmp
16.08.2005 11:17 16.384 ~DF3A2C.tmp
16.08.2005 11:17 512 ~DF2945.tmp
16.08.2005 11:17 16.384 ~DF2938.tmp
15.08.2005 23:25 222.474 mps058B9.tmp
15.08.2005 23:00 71.680 GLB39.tmp
15.08.2005 21:08 16.384 ~DF8D52.tmp
15.08.2005 21:08 16.384 ~DF80B6.tmp
15.08.2005 21:01 16.384 ~DF9E4E.tmp
15.08.2005 21:01 512 ~DF9539.tmp
15.08.2005 21:01 16.384 ~DF952C.tmp
15.08.2005 11:01 16.384 ~DF43F6.tmp
15.08.2005 10:44 16.384 ~DF10BC.tmp
15.08.2005 10:44 16.384 ~DFFE35.tmp
14.08.2005 15:39 67.560 TFR2B.tmp
14.08.2005 15:39 21.122 TFR2A.tmp
14.08.2005 15:39 23.427 TFR29.tmp
14.08.2005 15:39 71.682 TFR27.tmp
14.08.2005 15:39 10.225 TFR25.tmp
14.08.2005 15:39 35.574 TFR23.tmp
14.08.2005 15:39 32.204 TFR22.tmp
14.08.2005 15:39 27.777 TFR21.tmp
14.08.2005 12:29 0 ~DF5.tmp
14.08.2005 11:40 16.384 ~DFB432.tmp
14.08.2005 11:35 16.384 ~DFE3EC.tmp
14.08.2005 11:35 16.384 ~DFCD85.tmp
13.08.2005 10:36 16.384 ~DFF24E.tmp
13.08.2005 10:36 16.384 ~DFE6C2.tmp
12.08.2005 14:27 21.508 AAX8.tmp
12.08.2005 11:39 21.508 AAX2.tmp
12.08.2005 11:10 16.384 ~DF25AC.tmp
12.08.2005 11:10 16.384 ~DF1C78.tmp
11.08.2005 13:55 1.126.400 a00E6.tmp
10.08.2005 11:09 16.384 ~DF4B3.tmp
10.08.2005 11:09 16.384 ~DFF4A0.tmp
10.08.2005 00:22 38.396 AAX12.tmp
09.08.2005 09:10 16.384 ~DF1DDC.tmp
09.08.2005 09:10 16.384 ~DF16BA.tmp
08.08.2005 12:03 16.384 ~DF147D.tmp
08.08.2005 12:03 16.384 ~DF6AF.tmp
07.08.2005 17:28 16.384 ~DF7588.tmp
07.08.2005 17:28 16.384 ~DF565B.tmp
07.08.2005 10:58 16.384 ~DF3465.tmp
07.08.2005 10:57 16.384 ~DF294D.tmp
06.08.2005 10:46 16.384 ~DFF5F9.tmp
06.08.2005 10:46 16.384 ~DFEA6C.tmp
06.08.2005 00:46 0 fla40.tmp
06.08.2005 00:46 0 fla3F.tmp
06.08.2005 00:46 0 fla3E.tmp
06.08.2005 00:46 0 fla3D.tmp
05.08.2005 10:08 16.384 ~DF413D.tmp
05.08.2005 10:08 16.384 ~DF2484.tmp
04.08.2005 18:34 17.644 AAX1F.tmp
04.08.2005 18:34 17.644 AAX1E.tmp
04.08.2005 10:38 16.384 ~DF2C5F.tmp
04.08.2005 10:38 16.384 ~DF1D5C.tmp
03.08.2005 16:48 16.384 ~DFA0F7.tmp
03.08.2005 11:05 16.384 ~DF1F61.tmp
03.08.2005 11:05 16.384 ~DF118C.tmp

Verzeichnis von C:\WINDOWS

17.08.2005 20:42 0 0.log
17.08.2005 20:42 159 wiadebug.log
17.08.2005 20:42 0 wiaservc.log
17.08.2005 20:42 2.048 bootstat.dat
17.08.2005 20:41 20.504 SchedLgU.Txt
17.08.2005 20:31 928.268 setupapi.log
17.08.2005 19:06 217.436 ntbtlog.txt
17.08.2005 19:06 227 system.ini
17.08.2005 19:06 1.173 win.ini
17.08.2005 17:45 316.280 wmsetup.log
17.08.2005 16:56 994 wmsetup10.log
17.08.2005 16:54 316.640 WMSysPr9.prx
17.08.2005 16:50 253.952 Setup1.exe
17.08.2005 16:50 74.752 ST6UNST.EXE
16.08.2005 20:50 1.523 pstudio.ini
16.08.2005 20:50 28 album.ini
16.08.2005 17:16 10 popcinfo.dat
15.08.2005 21:35 14.328 ntdtcsetup.log
15.08.2005 21:35 26.254 comsetup.log
15.08.2005 21:35 5.509 iis6.log
15.08.2005 21:35 1.917 imsins.log
15.08.2005 21:35 30.583 ocgen.log
15.08.2005 21:35 21.662 tsoc.log
15.08.2005 21:35 2.252 ocmsn.log
15.08.2005 21:35 2.526 msgsocm.log
15.08.2005 21:35 43.058 FaxSetup.log
07.08.2005 17:07 54.156 QTFont.qfn
05.08.2005 00:07 137 ScrShotManager.cfg
03.08.2005 17:20 737.280 iun6002.exe
03.08.2005 01:36 424.960 WRServices.dll

Verzeichnis von C:\

17.08.2005 20:50 0 sys.txt
17.08.2005 20:49 6.316 system.txt
17.08.2005 20:47 14.831 systemtemp.txt
17.08.2005 20:45 92.257 system32.txt
17.08.2005 20:42 1.207.959.552 pagefile.sys
17.08.2005 19:06 192 boot.ini
14.08.2005 14:33 4.276 adp_inst.log

#6 hmmm... die Infektion scheint ja schon älter zu sein.

Im Verzeichnis C:\ hast Du folgende Dateien:
sys.txt
system.txt
systemtemp.txt
system32.txt

Öffne die system32.txt und suche dort nach den oben genannten exe-Dateien. Poste hier nochmals den Inhalt der vier Text-Dateien ab dem ältesten Datum der Infektion (bspw. die dllhost32.exe wurde am 01.08.2005 erstellt, die Netlib.exe aber schon am 28.07.2005 - also brauchen wir die Einträge ab dem 28.07.2005 - ich hoffe, ich hab das verständlich erklärt *unsicher*?)

ZoneAlarm ist eine gute BasisFirewall. Eher zu empfehlen ist aber die Sygate-Firewall.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 Bin mir nicht sicher ob ich das richtig verstanden hab, aber ich hab jetzt einfach mal die vier Dateien komplett hochgeladen, dann ist ja auf jedenfall das wichtige auch dabei.

http://members.lycos.co.uk/carryangel/sys.txt
http://members.lycos.co.uk/carryangel/system.txt
http://members.lycos.co.uk/carryangel/system32.txt
http://members.lycos.co.uk/carryangel/systemtemp.txt

#8 Oh sch***... das sieht ja verdammt übel aus!

Da sind ein Haufen Einträge vom 18.08.2001 um 14:00 Uhr - in der Regel variiert das Datum und die Uhrzeit der Einträge. Ich fürchte, der Virus hat sich schon sehr gut in Deinem System breit gemacht. Hier hilft eigentlich nur noch formatieren.

Vielleicht kann Sabina noch etwas dazu sagen?
Ich jedenfalls habe Angst, da noch irgendwas anderes zu empfehlen...
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#9 Was bedeutet es denn wenn zu einem bestimmten Datum viele Einträge gemacht wurden und was wird der Virus noch für Auswirkungen haben? Momentan hab ich nämlich keine Probleme, I-net geht wieder und Pop-ups sind auch keine mehr da, und wenn ich Antivir durchlaufen lass findet der auch nichts mehr...

#10 Lass Dich nicht durch meinen Gefühlsausbruch verunsichern. Ich kann mich auch irren. Aber sowas in der Art habe ich bisher noch nie gesehen. Warten wir am besten auf Sabinas Meinung dazu.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#11 Nö keine Sorge, ich mein formatieren muss ich sowieso irgendwann mal wieder, aber solang das hier nicht schlimmer wird werd ich erstmal nicht formatieren, das kann ich ja auch später noch machen wenn ich wieder irgendein unlösbares Problem hab.
Jedenfalls nochmal danke an dich, denn jetzt kann ich wenigstens wieder normal arbeiten

#12 Na ja, bei einer - wie ich befürchte - dermaßen schlimmen Vireninfektion bist Du ein Sicherheitsrisiko. Einfach aus dem Grund, weil Du die Viren unbewusst übers Internet weiterverbreiten könntest. Die Viren sind ggf. auch in der Lage, Benutzernamen, Passwörter und andere sensible Daten auszuspionieren und in alle Welt zu verschicken. Außerdem könnten sie Dir wichtige Daten (Dokumente, Bilder, etc.) zerstören.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#13 SilverSand

zu loeschen waere unbedingt:

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR2B.tmp
C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR2A.tmp
C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR29.tmp
C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR27.tmp
C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR25.tmp
C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR23.tmp
C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR22.tmp
C:\DOKUME~1\Marion\LOKALE~1\Temp\TFR21.tmp
C:\WINDOWS\system32\TFTP3360
C:\WINDOWS\system32\TFTP3632
C:\WINDOWS\system32\TFTP3352
C:\WINDOWS\system32\TFTP3688
C:\WINDOWS\system32\TFTP2940
C:\WINDOWS\system32\TFTP1172
C:\WINDOWS\system32\TFTP1344
C:\WINDOWS\system32\TFTP1732

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

FindT.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip
in C:\ entpacken -- öffne "Find T" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit

#14 ok, temp war eh fast leer hab ich erst gestern gelöscht und die anderen mit der killbox sind auch weg, aber es hat sich mit dem FindT zwar eine txt datei geöffnet aber da steht nur 'Please note that all files ...usw.'
hab jetzt mal das kopiert was das DOS fenster sagt...

C:\Find T>if exist file.txt del file.txt

C:\Find T>echo PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES
, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UN
SURE OF WHAT IT IS LEAVE THEM ALONE. 1>>file.txt

C:\Find T>echo ╗╗╗╗╗ Search by size & name's... 1>>file.txt
╗╗╗╗╗ Search by size
Der Befehl "name's..." ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

C:\Find T>echo. 1>>file.txt

C:\Find T>LOCATE C:\WINDOWS\System32\*.exe /D- /D:T-10M /S:55304! /NR /N 1>>fil
e.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:5-11-03! /S:43528! /NR /N 1>
>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:T-10M /S:4096! /NR /N 1>>fil
e.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:6-19-03! /S:43528! /NR /N 1>
>file.txt

/D+ find Directories only
/D- files only, no Directories
/D both files and Directories (default)

/D:[start][,end] only Dates in range
/D:date! only one specific date
/D:T only items dated today

/US show dates in US format: Jan 31 1996
/UK show dates in UK format: 31 Jan 1996
/UJ show dates in ISO format: 1996-01-31

Local date format: DD-MM-YYYY

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:T-10M /S:28680! /NR /N 1>>fi
le.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:6-19-03! /S:11264! /NR /N 1>
>file.txt

/D+ find Directories only
/D- files only, no Directories
/D both files and Directories (default)

/D:[start][,end] only Dates in range
/D:date! only one specific date
/D:T only items dated today

/US show dates in US format: Jan 31 1996
/UK show dates in UK format: 31 Jan 1996
/UJ show dates in ISO format: 1996-01-31

Local date format: DD-MM-YYYY

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.exe /D- /D:T-10M /S:43528! /NR /N 1>>fi
le.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\*.ren /D- /D:T-10M /S:43528! /NR /N 1>>fi
le.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\ntfsnlpa.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\cisvvc.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\drv2cltr.dll /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\hybsys32.dll /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\loadctr.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\rdsndin.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\pxpcya64.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:T-10M /S:55304! /NR /N 1>>file
.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:5-11-03! /S:43528! /NR /N 1>>f
ile.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:T-10M /S:4096! /NR /N 1>>file.
txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:6-19-03! /S:43528! /NR /N 1>>f
ile.txt

/D+ find Directories only
/D- files only, no Directories
/D both files and Directories (default)

/D:[start][,end] only Dates in range
/D:date! only one specific date
/D:T only items dated today

/US show dates in US format: Jan 31 1996
/UK show dates in UK format: 31 Jan 1996
/UJ show dates in ISO format: 1996-01-31

Local date format: DD-MM-YYYY

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:T-10M /S:28680! /NR /N 1>>file
.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:6-19-03! /S:11264! /NR /N 1>>f
ile.txt

/D+ find Directories only
/D- files only, no Directories
/D both files and Directories (default)

/D:[start][,end] only Dates in range
/D:date! only one specific date
/D:T only items dated today

/US show dates in US format: Jan 31 1996
/UK show dates in UK format: 31 Jan 1996
/UJ show dates in ISO format: 1996-01-31

Local date format: DD-MM-YYYY

C:\FINDT~1>LOCATE C:\WINDOWS\System\*.exe /D- /D:T-10M /S:43528! /NR /N 1>>file
.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\ntfsnlpa.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\cisvvc.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\drv2cltr.dll /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\hybsys32.dll /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\loadctr.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System\rdsndin.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\System32\pxpcya64.exe /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\*.exe /D- /D:T-10M /S:55304! /NR /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\*.exe /D- /D:T-10M /S:43528! /NR /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\*.exe /D- /D:T-10M /S:4096! /NR /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\rdt.ini /NR /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\balloon.wav /NR /N 1>>file.txt

C:\FINDT~1>LOCATE C:\WINDOWS\startm~1\programs\startup\*.exe /NR /N 1>>file.txt


C:\FINDT~1>LOCATE C:\docume~1\alluse~1\startm~1\programs\startup\*.exe /NR /N 1
>>file.txt

C:\FINDT~1>echo. 1>>file.txt

C:\FINDT~1>notepad.exe file.txt

#15 Poste mal dein log hier hin> http://www.hijackthis.de/
Wenn es dann immer noch nicht funktioniert.Ist Sabina angesagt!!
Mfg Merlinx