Ein Programm Namens Elitiumtoolbar bringt mich zur verzweiflung ich kann machen was ich will es kommt immer wieder, ich kann es im reg cleaner löschen, es kommt wieder, spybot löschen, kommt wieder, manuell löschen es kommt wieder...was mach ich dagegen....braucht ihr irgendwelche log files oder scans um die situation zu bewerten?

jaa ich weiß ich sollte keinen IE benutzen..

Poste ein HijackThis Logfile:
kurze Beschreibung
ausführliche Beschreibung

Logfile of HijackThis v1.99.0
Scan saved at 20:05:08, on 06.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Entpackungen\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O13 - DefaultPrefix:
O13 - WWW Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EE67A32-05CF-46D9-A82A-F19B58097F36}: NameServer = 217.237.151.161 217.237.151.33
O18 - Protocol: ayb - (no CLSID) - (no file)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@Jo-Joe
lade LSP-Fix
spybot updaten
deinstalliere über systemsteuerung, software, New.Net.
wechsle in den abgesicherten modus
lasse spybot scannen.
und fixe mit HJT
O13 - DefaultPrefix:
O13 - WWW Prefix:
O18 - Protocol: ayb - (no CLSID) - (no file)

neu booten, wenn dein Internetverbindung nicht geht, repariere dann mit LSP-Fix deine winsockdateien.
neues HJT logfile posten
chaosman

vielen dank schonmal, ich kann jetzt zwar eine DFÜ verbindung herstellen aber sie wird nicht erkannt, das hast du ja schon angesprochen, beschreib mir bitte nochmal genau wie ich das wieder reparier.. danke schonmal.

Sitz hier an nem anderen Rechner...

@Jo-Joe
LSP-Fix anleitung
http://www.cexx.org/lspfix.htm lspfix runterladen und ausführen, und alles außer mswsock.dll, winrnr.dll, und rsvpsp.dll zu remove schießen und schließlich auf finish klicken
ZitatChris14

chaosman

und was wenn ich (mswsock.dll, winrnr.dll,) removed hab???

@Jo-Joe
hier downloaden
http://www.dlldump.com/download-dll-.../download.html
http://www.dlldump.com/download-dll-.../download.html

chaosman

Ok ich habe die dlls runtergeladen und in system32 überschrieben meine internetverbindung wird zwar angezeit aber nicht erkannt, wie geh ich vor, brauche schnell HILFEEEEE!!!

Ok habs wiederhinbekommen, mit einem tool namens winsockxpfix.
Alles funktioniert wieder Prima, blos mein spybot zeigt mir noch ein paar sachen an die ich mit ihm nicht zerstören kann auch nicht im abgesicherten oder bei neustart:

n-case
possible hijacker
i.searchtech.powerscan
dso exploit.

Wie geh ich gegen diese plagegeister vor?

mein Hijack This logfile sieht nun so aus

Logfile of HijackThis v1.99.0
Scan saved at 23:20:08, on 13.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Entpackungen\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EE67A32-05CF-46D9-A82A-F19B58097F36}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@Jo-Joe

lade escan download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

scan dauert mindestens 1 stunde
chaosman

Sun Mar 13 19:59:31 2005 => File C:\WINDOWS\dalins.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.


Sun Mar 13 19:59:33 2005 => File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.

Sun Mar 13 19:59:38 2005 => File C:\WINDOWS\rebates.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.


Sun Mar 13 19:59:38 2005 => File C:\WINDOWS\rebatex.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.

Sun Mar 13 19:59:38 2005 => File C:\WINDOWS\remove.exe infected by "not-a-virus:AdWare.WinAD.b" Virus. Action Taken: No Action Taken.

Sun Mar 13 19:59:39 2005 => File C:\WINDOWS\sideb.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.v" Virus. Action Taken: No Action Taken.
Sun Mar 13 19:59:40 2005 => File C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action Taken: No Action Taken.
Sun Mar 13 20:00:18 2005 => File C:\WINDOWS\system32\doolsav.dat infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken.
Sun Mar 13 20:00:22 2005 => File C:\WINDOWS\system32\dust infected by "Trojan-Downloader.BAT.Ftp.i" Virus. Action Taken: No Action Taken.
Sun Mar 13 20:00:25 2005 => File C:\WINDOWS\system32\error32.dat infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
Sun Mar 13 20:01:26 2005 => File C:\WINDOWS\system32\netut80ex.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Sun Mar 13 20:01:55 2005 => File C:\WINDOWS\system32\scguard.exe infected by "Backdoor.Win32.Rbot.fa" Virus. Action Taken: No Action Taken.
Sun Mar 13 20:01:31 2005 => File C:\WINDOWS\system32\o infected by "Trojan-Downloader.BAT.Ftp.c" Virus. Action Taken: No Action Taken.
Sun Mar 13 20:05:12 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\eXactAdvertisingBargainsBuddy.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken.
Sun Mar 13 20:22:09 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BN0NK5TZ\bunSetup[1].cab infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.
Sun Mar 13 20:22:11 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L87AV1AW\bb[1].exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
Sun Mar 13 20:22:24 2005 => File C:\EliteSideBar version 8.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken.
Sun Mar 13 20:22:41 2005 => File C:\Entpackungen\hijackthis\backups\backup-20050206-182421-811.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken.
Sun Mar 13 20:22:41 2005 => File C:\Entpackungen\hijackthis\backups\backup-20050206-182421-885.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken.
Sun Mar 13 20:22:42 2005 => File C:\Entpackungen\hijackthis\backups\backup-20050206-182646-472.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.

das war nur ein drittel....komisch, der antivir findet nix und escan bald 300, helft mir das nach und nach wieder in ordnung zu bringen, neuaufsetzten wär das beste, aber läuft nicht

Zitat:

Zitat von Jo-Joe

Sun Mar 13 20:01:55 2005 => File C:\WINDOWS\system32\scguard.exe infected by "Backdoor.Win32.Rbot.fa" Virus. Action Taken: No Action Taken.

Dieser Eintrag ist fatal.
Dieser ist im System.

http://www.sophos.de/virusinfo/analyses/w32rbotfa.html

Du solltest sofort dein System nach folgender Anleitung neu aufsetzen:
http://www.trojaner-info.de/report_i...nleitung.shtml

muss doch eine andere möglichkeit geben, was bedeutet dieser eintrag? soi läuft der rechner eigentlich ganz rund, weder antivir noch spybot schlagen alarm, warum nicht, kann man sich nichtmal darauf verlassen?