Hallo zusammen,

Bin hier ziemlich neu, will mich hier aber ein wenig einleben =)

Mein Problem:
Bei mir öffnen sich dauernd Seiten von Searchmiracle als Popup Bin total verzweifelt, hab gegoogelt bis der Arzt kommt, hier im Forum geguckt und alles: alles ausprobiert (später mehr dazu) aber es hilft alles nichts bis jetzt.

Das habe ich alles gemacht:

- HijackThis - teilweise sachen gefixt (aktuelle Logfile kommt nachher)
- AdAware laufen lassen
- Spybot Search & Destroy
- Clear Prog
- datenträgerbereinigung
- McAfee FreeScan
- BitDefender
- eScan

Fast alle haben etwas gefunden, habs natürlich auch teils manuell gelöscht und teils löschen lassen, aber es hilft nicht! Habe die ganzen Progs aber nicht im abgesicherten Modus laufen lassen, weil ich das nicht hinbekommen habe... Kam mit F8 nicht in den abgesicherten Modus.... Macht das denn was aus?

Ich hoffe, ihr könnt mir helfen.

Hier die aktuellste Logfile von HijackThis:

Logfile of HijackThis v1.99.0
Scan saved at 22:03:55, on 08.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech iTouch\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinTV\Ir.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SIZER.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\Downloads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech iTouch\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteuzw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Vorbereitung Ranglisten 05.doc
O4 - Startup: ~$rbereitung Ranglisten 05.doc
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: SIZER.EXE
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Preispiraten 2.01b - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\preispiraten2.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6197200173
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Danke euch schonmal im Vorraus!
Gruß
Simon

mister_tt

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen

O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteuzw32.exe

-->> Button "Fix checked" -->> PC neustarten

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

kopiere rein:
C:\windows\system32\eliteuzw32.exe

#Kaspersky-Online-einzelne Dateien ueberpruefen
http://www.kaspersky.com/remoteviruschk.html

kopiere rein:
C:\windows\system32\eliteuzw32.exe

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

[*]Beim Start von e-scan sollten folgende Optionen aktiviert sein:


-->und "Scan " klicken.

Gehe wieder in den Normalmodus:

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten


poste mir das Ergebnis

Hi,

Danke für die schnelle Hilfe.

Hier das Ergebnis von jotti's malware scan:

Jotti's malware scan 2.42

File: eliteuzw32.exe
Status: INFECTED/MALWARE
Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir No viruses found (0.21 seconds taken)
Avast No viruses found (1.51 seconds taken)
AVG Antivirus No viruses found (0.81 seconds taken)
BitDefender No viruses found (0.86 seconds taken)
ClamAV No viruses found (0.40 seconds taken)
Dr.Web modification of Win32.Benny.6382 (0.55 seconds taken)
F-Prot Antivirus No viruses found (0.17 seconds taken)
Fortinet No viruses found (0.43 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.StartPage.nk (0.63 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (0.41 seconds taken)
Norman Virus Control Sandbox: W32/Malware; [ General information ]

* Creating several executable files on hard-drive.
* File length: 15872 bytes.

[ Changes to filesystem ]
* Creates file C:\windows\system\elitenun32.exe.
* Creates directory C:\WINDOWS\EliteToolBar.
* Creates file C:\WINDOWS\TEMP\tmp9099.tmp.
* Creates file C:\WINDOWS\SYSTEM\eliteerror32.dat.

[ Changes to registry ]
* Creates key "HKCU\Software\LQ".
* Creates key "HKLM\Software\ohbbackup".
* Creates key "HKLM\Software\Elitum".
* Sets value "AD"="0" in key "HKCU\Software\LQ".
* Sets value "AC"="0" in key "HKCU\Software\LQ".
* Sets value "U"="0" in key "HKCU\Software\LQ".
* Sets value "I"="{000000-0000-000000" in key "HKCU\Software\LQ".
* Sets value "TM"="10" in key "HKCU\Software\LQ".
* Creates value "antiware"="c:\windows\system\elitenun32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Looks for an Internet connection.
* Downloads file from http://update32.searchmiracle.com/updat ... init=1&id={000000-0000-000000&v=3.2&country=&state=&city= as C:\WINDOWS\TEMP\tmp9099.tmp.

[ Process/window information ]
* Creates a mutex l4ajgfGb.
* Enumerates running processes.
* Enumerates running processes several parses....
* Modifies other process memory.
* Creates a remote thread.
* Will automatically restart after boot (I'll be back...). (1.15 seconds taken)

Array ( [0] => viruslab@grisoft.cz [1] => virus_submission@bitdefender.com [2] => sendvirus-jotti@unfiltered.clamav.net [3] => viruslab@f-prot.com [4] => jotti@fortinetvirussubmit.com [5] => virus@stormbyte.com [6] => wirus@mks.com.pl [7] => samplesjt@eset.sk )

Kann ich die Sachen (Registry-Einträge, Ordner, Dateien), wo er sagt, dass die verändert bzw neu erstellt wurden einfach löschen?

Ansonsten würde ich ja gerne mit eScan im abgesicherten Modus scannen, allerdings komme ich da auch nach Anleitung wie gesagt nicht rein. Und im normalen Modus hab ich das schonmal gemacht....

Gruß und Danke
Simon

Hallo@

#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

Gehe in die Registry

Start<Ausfuehren<regedit

loesche mit rechtsklick diese Eintreage

HKCU\Software\LQ
HKLM\Software\ohbbackup".
HKLM\Software\Elitum"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run"\
c:\windows\system\elitenun32.exe" (falls es noch da ist nach dem Fixen mit dem HijackThis)

schliesse die Registry und neustarten

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden
Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

Loesche:
C:\WINDOWS\TEMP\tmp9099.tmp
C:\windows\system\elitenun32.exe
C:\WINDOWS\EliteToolBar
C:\WINDOWS\SYSTEM\eliteerror32.dat

l4ajgfGb (eventuell in: Content.IE5\ )

C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5



dann berichte

Hi,

alles soweit gemacht.

Allerdings funzt es immer noch nicht. Popups kommen immer noch...

Wenn ich das mit HijackThis fixen will macht er das anscheinend zwar, allerdings findet er es nach erneutem Scannen immer noch, auch nach einem Neustart.... Da kann ich fixen so lange ich will:

Logfile of HijackThis v1.99.0
Scan saved at 12:34:17, on 09.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech iTouch\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinTV\Ir.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SIZER.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech iTouch\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteuzw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Vorbereitung Ranglisten 05.doc
O4 - Startup: ~$rbereitung Ranglisten 05.doc
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: SIZER.EXE
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Preispiraten 2.01b - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\preispiraten2.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6197200173
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Weiß auch nicht was da los ist.... Wie komm ich denn nun in den abgesicherten Mouds? Wie gesagt, nach Anleitung schaff ichs nich Dann würde ich halt eScan nochmal drüberlaufen lassen...

Gruß
Simon

Gehe in die Registry

Start<Ausfuehren<regedit

loesche mit rechtsklick diese Eintreage

HKCU\Software\LQ
HKLM\Software\ohbbackup".
HKLM\Software\Elitum"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run"\
c:\windows\system\elitenun32.exe" (falls es noch da ist nach dem Fixen mit dem HijackThis)

schliesse die Registry

KillBox
http://download.broadbandmedic.com/
<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\TEMP\tmp9099.tmp
C:\WINDOWS\EliteToolBar
C:\WINDOWS\SYSTEM\eliteerror32.dat
C:\windows\system\elitenun32.exe

PC neustarten

du musst unbedingt loeschen (MUTEX !!!!!!!!!!!!)

l4ajgfGb

(eventuell in: Content.IE5\ )

C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

Hi,

Code: Alles auswählen

HKLM\Software\Microsoft\Windows\CurrentVersion\Run"\
c:\windows\system\elitenun32.exe" (falls es noch da ist nach dem Fixen mit dem HijackThis)

Kommt nach Neustart immer wieder

---> Clearprog mehrfach ausgeführt
---> Registry Ordner/Einträge alle wech (außer das da oben)

Hauptproblem:

Die Datei l4ajgfGb findet er nicht!! Nirgendwo!

Was soll ich machen?

Liebe Grüße und Danke
Simon

hast du schon mit der Killbox gearbeitet?

Gehe in Start<Ausfuehren< %temp%

dort findest du eine kg.txt oder so aehnlich--> ist die Textdatei von der Killbox.

Poste sie mir

ansonsten scanne mal mit escan (nimm aber vorher die elitenun32.exe aus dem Autostart)

#RegCleaner

dort gibt es eine Funktion: Autostart" --> nimm die elitenun32.exe raus

(Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung)
http://www.chip.de/downloads/c_downloads_8830516.html

wenn das alles nichts bringt, musst du deinen Symantec deaktivieren (oder deinstallieren) un den Kaspersky Trial laden, denn nur der erkennt den Virus) Ich poste dir dann das Tool, wenn der escan nichts bringt)

HI,

--> kb.log

Code: Alles auswählen

C:\windows\system32\eliteuzw32.exe
C:\windows\system32\eliteuzw32.exe
C:\!Submit
C:\WINDOWS\TEMP\tmp9099.tmp
C:\windows\system\elitenun32.exe
C:\WINDOWS\EliteToolBar
C:\WINDOWS\SYSTEM\eliteerror32.dat
C:\WINDOWS\TEMP\tmp9099.tmp
C:\WINDOWS\EliteToolBar
C:\WINDOWS\SYSTEM\eliteerror32.dat
C:\windows\system\elitenun32.exe
C:\windows\system\elitenun32.exe


Probiers jetzt mit RegCleaner, wenn das nicht hilft muss ich wohl oder übel nochmal stundenlang mit eScan scannen

Danke, Liebe Grüße
Simon

Da ich nicht nochmal stundenlang mit eScan scannen will, kannste mir schonmal den Kaspersky Trial Link posten? Denke, das ist am einfachsten, oder?

Liebe Grüße
Simon

eigentlich muesste erscheinen--> deleted

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Double-click on KillBox.exe.
2. Click "Replace on Reboot" and check the "Use Dummy" box.
3. Paste this file into the top "Full Path of File to Delete" box.

C:\windows\system32\eliteuzw32.exe

4. Click the "Delete File" button which looks like a stop sign.
5. Click "Yes" at the Replace on Reboot prompt.
6. Click "No" at the Pending Operations prompt.
7. Repeat steps 4-8 above for these files:

C:\!Submit
C:\WINDOWS\TEMP\tmp9099.tmp
C:\windows\system\elitenun32.exe
C:\WINDOWS\EliteToolBar
C:\WINDOWS\SYSTEM\eliteerror32.dat

8. Click "Replace on Reboot" and check the "Use Dummy" box.
9. Paste this file into the top "Full Path of File to Delete" box.

C:\WINDOWS\TEMP\tmp9099.tmp

0. Click the "Delete File" button which looks like a stop sign.
11. Click "Yes" at the Replace on Reboot prompt.
12. Click "Yes" at the Pending Operations prompt to restart your computer.
13. If you get a "PendingFileRenameOperations Registry Data has been Removed by External Process!" message then just restart manually.
14. Once the computer has been restarted

dann ueberpruefe noch mal die txt.

Naja, das liegt wohl daran, dass ich die Dateien schon manuell gelöscht habe....

Nur ein paar, z.B. die C:\windows\system32\eliteuzw32.exe hat er mir im Explorer trotz richtigen Ordnereinstelungen nicht angezeigt

Gruß
Simon

versuch es dennoch noch mal...so wie ich es geschrieben habe (in Englisch)