|
elitium tool bar Ein Programm Namens Elitiumtoolbar bringt mich zur verzweiflung ich kann machen was ich will es kommt immer wieder, ich kann es im reg cleaner löschen, es kommt wieder, spybot löschen, kommt wieder, manuell löschen es kommt wieder...was mach ich dagegen....braucht ihr irgendwelche log files oder scans um die situation zu bewerten? jaa ich weiß ich sollte keinen IE benutzen.. :crazy: |
|
Logfile of HijackThis v1.99.0 Scan saved at 20:05:08, on 06.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ZONEAL~1\zlclient.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\iexplore.exe C:\Entpackungen\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O13 - DefaultPrefix: O13 - WWW Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{9EE67A32-05CF-46D9-A82A-F19B58097F36}: NameServer = 217.237.151.161 217.237.151.33 O18 - Protocol: ayb - (no CLSID) - (no file) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
@Jo-Joe lade LSP-Fix spybot updaten deinstalliere über systemsteuerung, software, New.Net. wechsle in den abgesicherten modus lasse spybot scannen. und fixe mit HJT O13 - DefaultPrefix: O13 - WWW Prefix: O18 - Protocol: ayb - (no CLSID) - (no file) neu booten, wenn dein Internetverbindung nicht geht, repariere dann mit LSP-Fix deine winsockdateien. neues HJT logfile posten chaosman |
vielen dank schonmal, ich kann jetzt zwar eine DFÜ verbindung herstellen aber sie wird nicht erkannt, das hast du ja schon angesprochen, beschreib mir bitte nochmal genau wie ich das wieder reparier.. danke schonmal. Sitz hier an nem anderen Rechner... |
@Jo-Joe LSP-Fix anleitung http://www.cexx.org/lspfix.htm lspfix runterladen und ausführen, und alles außer mswsock.dll, winrnr.dll, und rsvpsp.dll zu remove schießen und schließlich auf finish klicken ZitatChris14 chaosman |
und was wenn ich (mswsock.dll, winrnr.dll,) removed hab??? :o :headbang: |
@Jo-Joe hier downloaden http://www.dlldump.com/download-dll-.../download.html http://www.dlldump.com/download-dll-.../download.html chaosman |
Ok ich habe die dlls runtergeladen und in system32 überschrieben meine internetverbindung wird zwar angezeit aber nicht erkannt, wie geh ich vor, brauche schnell HILFEEEEE!!! |
Ok habs wiederhinbekommen, mit einem tool namens winsockxpfix. Alles funktioniert wieder Prima, blos mein spybot zeigt mir noch ein paar sachen an die ich mit ihm nicht zerstören kann auch nicht im abgesicherten oder bei neustart: n-case possible hijacker i.searchtech.powerscan dso exploit. Wie geh ich gegen diese plagegeister vor? mein Hijack This logfile sieht nun so aus Logfile of HijackThis v1.99.0 Scan saved at 23:20:08, on 13.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ZONEAL~1\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\Entpackungen\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9EE67A32-05CF-46D9-A82A-F19B58097F36}: NameServer = 217.237.151.161 217.237.151.33 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
@Jo-Joe lade escan download anleitung überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht. Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) scan dauert mindestens 1 stunde chaosman |
Sun Mar 13 19:59:31 2005 => File C:\WINDOWS\dalins.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. Sun Mar 13 19:59:33 2005 => File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken. Sun Mar 13 19:59:38 2005 => File C:\WINDOWS\rebates.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. Sun Mar 13 19:59:38 2005 => File C:\WINDOWS\rebatex.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. Sun Mar 13 19:59:38 2005 => File C:\WINDOWS\remove.exe infected by "not-a-virus:AdWare.WinAD.b" Virus. Action Taken: No Action Taken. Sun Mar 13 19:59:39 2005 => File C:\WINDOWS\sideb.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.v" Virus. Action Taken: No Action Taken. Sun Mar 13 19:59:40 2005 => File C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action Taken: No Action Taken. Sun Mar 13 20:00:18 2005 => File C:\WINDOWS\system32\doolsav.dat infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken. Sun Mar 13 20:00:22 2005 => File C:\WINDOWS\system32\dust infected by "Trojan-Downloader.BAT.Ftp.i" Virus. Action Taken: No Action Taken. Sun Mar 13 20:00:25 2005 => File C:\WINDOWS\system32\error32.dat infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. Sun Mar 13 20:01:26 2005 => File C:\WINDOWS\system32\netut80ex.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken. Sun Mar 13 20:01:55 2005 => File C:\WINDOWS\system32\scguard.exe infected by "Backdoor.Win32.Rbot.fa" Virus. Action Taken: No Action Taken. Sun Mar 13 20:01:31 2005 => File C:\WINDOWS\system32\o infected by "Trojan-Downloader.BAT.Ftp.c" Virus. Action Taken: No Action Taken. Sun Mar 13 20:05:12 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\eXactAdvertisingBargainsBuddy.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken. Sun Mar 13 20:22:09 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BN0NK5TZ\bunSetup[1].cab infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. Sun Mar 13 20:22:11 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L87AV1AW\bb[1].exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken. Sun Mar 13 20:22:24 2005 => File C:\EliteSideBar version 8.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken. Sun Mar 13 20:22:41 2005 => File C:\Entpackungen\hijackthis\backups\backup-20050206-182421-811.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken. Sun Mar 13 20:22:41 2005 => File C:\Entpackungen\hijackthis\backups\backup-20050206-182421-885.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken. Sun Mar 13 20:22:42 2005 => File C:\Entpackungen\hijackthis\backups\backup-20050206-182646-472.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken. |
das war nur ein drittel....komisch, der antivir findet nix und escan bald 300, helft mir das nach und nach wieder in ordnung zu bringen, neuaufsetzten wär das beste, aber läuft nicht |
Zitat:
Dieser ist im System. http://www.sophos.de/virusinfo/analyses/w32rbotfa.html Du solltest sofort dein System nach folgender Anleitung neu aufsetzen: http://www.trojaner-info.de/report_i...nleitung.shtml |
muss doch eine andere möglichkeit geben, was bedeutet dieser eintrag? soi läuft der rechner eigentlich ganz rund, weder antivir noch spybot schlagen alarm, warum nicht, kann man sich nichtmal darauf verlassen? |
Zitat:
Zitat:
# Stiehlt Daten # Lädt Code aus dem Internet herunter # Reduziert die Systemsicherheit # Speichert Tastenfolgen # Installiert sich in der Registrierung Quelle: http://www.sophos.de/virusinfo/analyses/w32rbotuc.html |
Hallo Jo-Joe, # Ermöglicht Dritten den Zugriff auf den Computer # Installiert sich in der Registrierung # Nutzt bekannte Schwachstellen aus Bei Backdoor-Trojanern kann dies passieren: http://www.trojaner-board.com/showthread.php?t=14669 http://www.heise.de/newsticker/meldung/57030 http://www.heise.de/newsticker/meldung/51689 dartus |
Ich hab langsam echt die schnauze voll, wie ist der dahin gekommen? ich benutze zonealarm, antivir, escan, spybot und hijack this, der av guard ist immer aktiv und ich blocke grundsätzlich emails mit anhängen, windows ist auf dem neusten stand und die druckfreigabe aus, über t-online hab ich die 0190 beblockt....ich tue also mein bestes, was soll ich denn noch machen? wenn ich mir jetzt n tag arbeit mach und mein system neu aufsetz, oder diesen kack backdoor einfach drauflasse, ist doch dann auch egal... |
Zitat:
dartus |
Arbeite den Artikel zum neuaufsetzen, den ich dir gab, genau durch,lese alle Links und versuch sie zu verstehen. Dann sollte sowas in Zukunft vermeidbar sein. |
Klar hab ichs gelesen und natürlich versteh ich die sachlage, ich weiß das scheinbar kein weg daran vorbeiführt, das ding ist bloß ich hab kein bock drauf, nagut wer hat schon bock sein system neuaufzusetzten. Was ich nur sagen wollte ist, lohnt es sich überhaupt sein system neu aufzusetzten wenn es denn sowieso wieder befallen wird, obwohl man alle weisen ratschläge befolgt? ich habe keine lust das in aller regelmäßigkeit wieder zu tun, bitte nichts von mac erzählen, das kommt nicht in die tüte! und jetzt hätt ich noch gern die erklärung wie das ding auf meinen rechner kommt? zumindest eine vermutung |
Du scheinst die Links doch nicht alle gelesen zu haben: Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board