| |
| |||||||
Log-Analyse und Auswertung: Elite.EliteBarWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
19.02.2005, 11:40
| #1 |
 |  Elite.EliteBar Unser VereinsPC ist befallen und ich komme nicht ins Internet.Er wählt (Telering) an verbindet mit dem Modem (ISDN) und dann frage der Browser "verbinden????" wenn ich ja sage, dann dauert´s und es kommt eine leere Seite. -kann keine Verbindung herstellen/Seite anzeigen- Hier mein log Logfile of HijackThis v1.99.1 Scan saved at 10:38:34, on 2005-02-19 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\Explorer.EXE F:\WINDOWS\system32\spoolsv.exe F:\Programme\AVPersonal\AVGUARD.EXE F:\Programme\AVPersonal\AVWUPSRV.EXE F:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe F:\WINDOWS\System32\CTsvcCDA.EXE F:\Programme\Executive Software\DiskeeperLite\DKService.exe F:\WINDOWS\System32\MsPMSPSv.exe F:\Programme\AVPersonal\AVGNT.EXE F:\WINDOWS\System32\spoolvs.exe F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\OSDMenu.EXE F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\EAX.exe F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\VRC.exe F:\Programme\Creative\SBAudigy\RemoteCenter\Center\RCenter.exe F:\Programme\Creative\ShareDLL\MediaDet.Exe G:\stinger.exe F:\Dokumente und Einstellungen\Tonstudio\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = telering.at:8080 O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - F:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - F:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll O4 - HKLM\..\Run: [start extracting] spoolvs.exe O4 - HKLM\..\Run: [kalvsys] F:\windows\system32\kalvgdp32.exe O4 - HKLM\..\RunServices: [start extracting] spoolvs.exe O4 - HKCU\..\Run: [start extracting] spoolvs.exe O4 - HKCU\..\Run: [RemoteCenter] F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE O4 - HKCU\..\RunServices: [start extracting] spoolvs.exe O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - F:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - F:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - F:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - F:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O16 - DPF: {14325268-79E0-4D2A-89A4-FFFC6E22741E} - http://akamai.downloadv3.com/binarie...ce_3_EN_XP.cab O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binarie...ia32_EN_XP.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - F:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe ------------------------------------------------------- und hier mein Process list saved on 10:42:42, on 2005-02-19 Platform: Windows XP (WinNT 5.01.2600) [pid] [full path to filename] [file version] [company name] 508 F:\WINDOWS\System32\smss.exe 5.1.2600.0 Microsoft Corporation 596 F:\WINDOWS\system32\winlogon.exe 5.1.2600.0 Microsoft Corporation 640 F:\WINDOWS\system32\services.exe 5.1.2600.0 Microsoft Corporation 652 F:\WINDOWS\system32\lsass.exe 5.1.2600.0 Microsoft Corporation 900 F:\WINDOWS\system32\svchost.exe 5.1.2600.0 Microsoft Corporation 924 F:\WINDOWS\System32\svchost.exe 5.1.2600.0 Microsoft Corporation 1184 F:\WINDOWS\Explorer.EXE 6.0.2600.0 Microsoft Corporation 1312 F:\WINDOWS\system32\spoolsv.exe 5.1.2600.0 Microsoft Corporation 1400 F:\Programme\AVPersonal\AVGUARD.EXE 6.28.0.15 H+BEDV Datentechnik GmbH 1412 F:\Programme\AVPersonal\AVWUPSRV.EXE 6.28.0.1 H+BEDV Datentechnik GmbH, Germany 1424 F:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe 1.4.2.10 WIDCOMM, Inc. 1444 F:\WINDOWS\System32\CTsvcCDA.EXE 1.0.1.0 Creative Technology Ltd 1460 F:\Programme\Executive Software\DiskeeperLite\DKService.exe 7.0.418.0 Executive Software International, Inc. 1536 F:\WINDOWS\System32\MsPMSPSv.exe 7.0.0.1954 Microsoft Corporation 2032 F:\Programme\AVPersonal\AVGNT.EXE 6.28.0.2 H+BEDV Datentechnik GmbH 2040 F:\WINDOWS\System32\spoolvs.exe 180 F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE 1.30.2.3 Creative Technology Ltd. 1156 F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\OSDMenu.EXE 1.30.2.2 Creative Technology Ltd. 1176 F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\EAX.exe 1.3.0.0 Creative Technology Ltd 1080 F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\VRC.exe 1.30.4.0 Creative Technology Ltd. 1228 F:\Programme\Creative\SBAudigy\RemoteCenter\Center\RCenter.exe 1.3.0.6 Creative Technology Ltd. 1344 F:\Programme\Creative\ShareDLL\MediaDet.Exe 2.0.0.0 Creative Technology Ltd. 1652 G:\stinger.exe 2.2.7.0 Network Associates Inc. 1928 F:\Dokumente und Einstellungen\Tonstudio\Desktop\HijackThis.exe 1.99.0.1 Soeperman Enterprises Ltd. -------------------------------------------------------------------- StartupList report, 2005-02-19, 10:39:53 StartupList version: 1.52.2 Started from : F:\Dokumente und Einstellungen\Tonstudio\Desktop\HijackThis.EXE Detected: Windows XP (WinNT 5.01.2600) Detected: Internet Explorer v6.00 (6.00.2600.0000) * Using default options * Including empty and uninteresting sections * Showing rarely important sections ================================================== Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\Explorer.EXE F:\WINDOWS\system32\spoolsv.exe F:\Programme\AVPersonal\AVGUARD.EXE F:\Programme\AVPersonal\AVWUPSRV.EXE F:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe F:\WINDOWS\System32\CTsvcCDA.EXE F:\Programme\Executive Software\DiskeeperLite\DKService.exe F:\WINDOWS\System32\MsPMSPSv.exe F:\Programme\AVPersonal\AVGNT.EXE F:\WINDOWS\System32\spoolvs.exe F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\OSDMenu.EXE F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\EAX.exe F:\Programme\Creative\SBAudigy\RemoteCenter\Rc\VRC.exe F:\Programme\Creative\SBAudigy\RemoteCenter\Center\RCenter.exe F:\Programme\Creative\ShareDLL\MediaDet.Exe G:\stinger.exe F:\Dokumente und Einstellungen\Tonstudio\Desktop\HijackThis.exe -------------------------------------------------- |
|
19.02.2005, 13:52
| #2 | |
| Administrator, a.D.   |  Elite.EliteBarZitat:
Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken): O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - F:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - F:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll O4 - HKLM\..\Run: [start extracting] spoolvs.exe O4 - HKLM\..\Run: [kalvsys] F:\windows\system32\kalvgdp32.exe O4 - HKLM\..\RunServices: [start extracting] spoolvs.exe O4 - HKCU\..\Run: [start extracting] spoolvs.exe O4 - HKCU\..\RunServices: [start extracting] spoolvs.exe Lösche diese Dateien: Ordner F:\WINDOWS\EliteToolBar F:\windows\system32\kalvgdp32.exe spoolvs.exe - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html - Neustart - dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
__________________ |
|
19.02.2005, 14:16
| #3 |
| |  Elite.EliteBar Herzlichen Dank für die rasche Antwort,
__________________ich werde noch heute zu unserem Vereins-PC fahren und die Anweisungen ausführen. Ich hoffe dann ist alles wieder im Lot und wir können uns wieder Noten, Liedertexte und alles was man bei einem Chor so braucht via Internet besorgen. Herzliche Grüße Ernst Besucht uns auf www.creaktiv.at.tt, wir würden uns freuen.  |
|
| Themen zu Elite.EliteBar |
| antivir, antivir update, anzeige, bho, browser, button, desktop, einstellungen, excel, explorer, frage, hijack, hijackthis, internet explorer, links, log, mein log, microsoft, office, programme, software, start, studio, system, system32, update, windows, windows xp |
Linear-Darstellung
