Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Elite.EliteBar (https://www.trojaner-board.de/14098-elite-elitebar.html)

creaktiv 19.02.2005 11:40
Elite.EliteBar
 
:snyper: Unser VereinsPC ist befallen und ich komme nicht ins Internet.
Er wählt (Telering) an verbindet mit dem Modem (ISDN) und dann frage der Browser "verbinden????"
wenn ich ja sage, dann dauert´s und es kommt eine leere Seite.
-kann keine Verbindung herstellen/Seite anzeigen-

Hier mein log

Logfile of HijackThis v1.99.1
Scan saved at 10:38:34, on 2005-02-19
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
F:\WINDOWS\System32\CTsvcCDA.EXE
F:\Programme\Executive Software\DiskeeperLite\DKService.exe
F:\WINDOWS\System32\MsPMSPSv.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\WINDOWS\System32\spoolvs.exe
F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE
F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\OSDMenu.EXE
F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\EAX.exe
F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\VRC.exe
F:\Programme\Creative\SBAudigy\RemoteCenter\Center\RCenter.exe
F:\Programme\Creative\ShareDLL\MediaDet.Exe
G:\stinger.exe
F:\Dokumente und Einstellungen\Tonstudio\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = telering.at:8080
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - F:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - F:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O4 - HKLM\..\Run: [start extracting] spoolvs.exe
O4 - HKLM\..\Run: [kalvsys] F:\windows\system32\kalvgdp32.exe
O4 - HKLM\..\RunServices: [start extracting] spoolvs.exe
O4 - HKCU\..\Run: [start extracting] spoolvs.exe
O4 - HKCU\..\Run: [RemoteCenter] F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE
O4 - HKCU\..\RunServices: [start extracting] spoolvs.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - F:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - F:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - F:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - F:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {14325268-79E0-4D2A-89A4-FFFC6E22741E} - http://akamai.downloadv3.com/binarie...ce_3_EN_XP.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binarie...ia32_EN_XP.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - F:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

-------------------------------------------------------
und hier mein

Process list saved on 10:42:42, on 2005-02-19
Platform: Windows XP (WinNT 5.01.2600)

[pid] [full path to filename] [file version] [company name]
508 F:\WINDOWS\System32\smss.exe 5.1.2600.0 Microsoft Corporation
596 F:\WINDOWS\system32\winlogon.exe 5.1.2600.0 Microsoft Corporation
640 F:\WINDOWS\system32\services.exe 5.1.2600.0 Microsoft Corporation
652 F:\WINDOWS\system32\lsass.exe 5.1.2600.0 Microsoft Corporation
900 F:\WINDOWS\system32\svchost.exe 5.1.2600.0 Microsoft Corporation
924 F:\WINDOWS\System32\svchost.exe 5.1.2600.0 Microsoft Corporation
1184 F:\WINDOWS\Explorer.EXE 6.0.2600.0 Microsoft Corporation
1312 F:\WINDOWS\system32\spoolsv.exe 5.1.2600.0 Microsoft Corporation
1400 F:\Programme\AVPersonal\AVGUARD.EXE 6.28.0.15 H+BEDV Datentechnik GmbH
1412 F:\Programme\AVPersonal\AVWUPSRV.EXE 6.28.0.1 H+BEDV Datentechnik GmbH, Germany
1424 F:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe 1.4.2.10 WIDCOMM, Inc.
1444 F:\WINDOWS\System32\CTsvcCDA.EXE 1.0.1.0 Creative Technology Ltd
1460 F:\Programme\Executive Software\DiskeeperLite\DKService.exe 7.0.418.0 Executive Software International, Inc.
1536 F:\WINDOWS\System32\MsPMSPSv.exe 7.0.0.1954 Microsoft Corporation
2032 F:\Programme\AVPersonal\AVGNT.EXE 6.28.0.2 H+BEDV Datentechnik GmbH
2040 F:\WINDOWS\System32\spoolvs.exe
180 F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE 1.30.2.3 Creative Technology Ltd.
1156 F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\OSDMenu.EXE 1.30.2.2 Creative Technology Ltd.
1176 F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\EAX.exe 1.3.0.0 Creative Technology Ltd
1080 F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\VRC.exe 1.30.4.0 Creative Technology Ltd.
1228 F:\Programme\Creative\SBAudigy\RemoteCenter\Center\RCenter.exe 1.3.0.6 Creative Technology Ltd.
1344 F:\Programme\Creative\ShareDLL\MediaDet.Exe 2.0.0.0 Creative Technology Ltd.
1652 G:\stinger.exe 2.2.7.0 Network Associates Inc.
1928 F:\Dokumente und Einstellungen\Tonstudio\Desktop\HijackThis.exe 1.99.0.1 Soeperman Enterprises Ltd.
--------------------------------------------------------------------
StartupList report, 2005-02-19, 10:39:53
StartupList version: 1.52.2
Started from : F:\Dokumente und Einstellungen\Tonstudio\Desktop\HijackThis.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================

Running processes:

F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
F:\WINDOWS\System32\CTsvcCDA.EXE
F:\Programme\Executive Software\DiskeeperLite\DKService.exe
F:\WINDOWS\System32\MsPMSPSv.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\WINDOWS\System32\spoolvs.exe
F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE
F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\OSDMenu.EXE
F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\EAX.exe
F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\VRC.exe
F:\Programme\Creative\SBAudigy\RemoteCenter\Center\RCenter.exe
F:\Programme\Creative\ShareDLL\MediaDet.Exe
G:\stinger.exe
F:\Dokumente und Einstellungen\Tonstudio\Desktop\HijackThis.exe

--------------------------------------------------

Cidre 19.02.2005 13:52
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Warum ist euer Vereins-PC, auf dem mit Sicherheit persönliche Daten gespeichert werden, nicht gepatcht?!

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - F:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - F:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O4 - HKLM\..\Run: [start extracting] spoolvs.exe
O4 - HKLM\..\Run: [kalvsys] F:\windows\system32\kalvgdp32.exe
O4 - HKLM\..\RunServices: [start extracting] spoolvs.exe
O4 - HKCU\..\Run: [start extracting] spoolvs.exe
O4 - HKCU\..\RunServices: [start extracting] spoolvs.exe

Lösche diese Dateien:
Ordner F:\WINDOWS\EliteToolBar
F:\windows\system32\kalvgdp32.exe
spoolvs.exe

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

creaktiv 19.02.2005 14:16
Herzlichen Dank für die rasche Antwort,

ich werde noch heute zu unserem Vereins-PC fahren und die Anweisungen ausführen.

Ich hoffe dann ist alles wieder im Lot und wir können uns wieder Noten, Liedertexte und alles was man bei einem Chor so braucht via Internet besorgen.

Herzliche Grüße

Ernst

Besucht uns auf www.creaktiv.at.tt, wir würden uns freuen. :bussi:


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131