hallo habe ein prob mit diesem elite toolbar kan mir jemand helfen?


Logfile of HijackThis v1.99.0
Scan saved at 15:19:14, on 04.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\keyhook.exe
C:\WINDOWS\System32\msnmgr32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spoolvs.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Meister\Eigene Dateien\gezogene programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/de/nero6_upgrade.html
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [MSN Service] msnmgr32.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [start extracting] spoolvs.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvzxn32.exe
O4 - HKLM\..\RunServices: [MSN Service] msnmgr32.exe
O4 - HKLM\..\RunServices: [start extracting] spoolvs.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - HKCU\..\Run: [start extracting] spoolvs.exe
O4 - HKCU\..\RunServices: [start extracting] spoolvs.exe
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylom.lycos.de/activex/zy ... player.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game19.zylom.lycos.de/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E848193A-4979-47A4-B9E2-7EE065E1ECA0}: NameServer = 62.27.27.62 62.27.53.66
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Hallo@LastChance

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/de/nero6_upgrade.html
O4 - HKLM\..\Run: [MSN Service] msnmgr32.exe
O4 - HKLM\..\Run: [start extracting] spoolvs.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvzxn32.exe
O4 - HKLM\..\RunServices: [MSN Service] msnmgr32.exe
O4 - HKLM\..\RunServices: [start extracting] spoolvs.exe
O4 - HKCU\..\Run: [start extracting] spoolvs.exe
O4 - HKCU\..\RunServices: [start extracting] spoolvs.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylom.lycos.de/activex/zy ... player.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game19.zylom.lycos.de/activex/zylomloader.cab

Kennen Sie die IP oder die Domäne '62.27.27.62 62.27.53.66' nicht, fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{E848193A-4979-47A4-B9E2-7EE065E1ECA0}: NameServer = 62.27.27.62 62.27.53.66

PC neu starten

Lade die Killbox:
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

kopiere rein:
C:\WINDOWS\System32\msnmgr32.exe
C:\WINDOWS\System32\spoolvs.exe
C:\windows\system32\scvhost.exe
C:\windows\system32\ slserv.exe
C:\windows\system32\gx9fzj89m9.exe
C:\windows\system32\doolsav.dat
C:\windows\system32\kalvzxn32.exe

und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

#eScan-Erkennungstool
http://www.rokop-security.de/board/inde ... topic=3867
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

Gehe wieder in den Normalmodus

#Trend-Micro (Online)--> poste bitte , was gefunden wurde
http://de.trendmicro-europe.com/enterpr ... ll_pre.php

#BitDefender Scan -->poste bitte das Scanlog
www.bitdefender.com/scan/Msie/index.php

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

Hier noch ein Englischer Beitrag wie jemand seinen computer sauber bekommen hat.Quelle s.u. in ()

I hav been having the same problem with Elite Toolbar with clients of mine. The only solution that I have hda is the following. Firsly look for bot[1].exe in your tempory interent folders and delete all forms of it. The bot changes it name by changing its digit by one each time. Under the regisrty look for all refernece to Elite tool bar and deleted them. Under the \winnt\system32 or \winnt look for the file name doolsav.dat and delete it. Under the registry look for the following files. Normally located HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION ..\run \Runonce \ Runex
1.) scvhost.exe
2.) slserv.exe
3.) kalvssp32.exe
4.) gx9fzj89m9.exe

Look also for the folders elite toolbar and delete and the folder nsdb.
And pshyically delete all your tempepory interent files using explorer.
Remeber to do this in safe mode. If you have symantec or norton download your lastest defintion and do a scan for adware. You be shock how much @@#$ crap this toolbar dumped on your machine.,
Please note

Do this in SAfe Mode

After you clean the system, install SpyBot, update it, and immunize. That will prevent a lot of crap from wedging itself back into IE. SP2 also lets you manage your IE plugins/extensions, so this should help too.

I would suggest dumping IE for another browser like Mozilla Firefox. You'll be glad you switched!(http://www.ntcompatible.com/thread29975-1.html)

Hope this helps

Nikita war schneller. Dann müsste es ja klappen ansonsten - siehe qoute. BTW bei den Sachen wo ich mir nicht 100% sicher war, gibt es entweder datein die denen ähneln und viren bzw trojaner sind oder die ich nicht identifizieren konnte....

So konnte ich mich wenigstens nach nem edit mal selber quoten

Hallo@Yourhighness

Das ist meine Datenbank:
Für O23 Einträge
http://www.informationsarchiv.net/foren ... 68048.html

und ansonsten sollte man bei der Auswertung vom HijackThis sehr vorsichtig sein

Und vielen Dank fuer den englischen Thread ...hat mir sehr geholfen