[mavis]

elitebjs32.exe ist ein virus/wurm und ich kann ihn nicht entfernen

hi

d:\WINDOWS\system32\elitebjs32.exe ist ein virus/wurm und ich kann ihn nicht entfernen

jede 5 minuten geht ausserdem ein popup fenster auf..auch wenn ich offline bin und es kommt irgend eine bescheuerte internetseite

vorher jedoch noch eine meldung in einem windowsfenster:
Die gewünschte Webseite ist im Offlinemodus nicht verfügbar.

Klicken Sie auf "Verbinden", um diese Seite anzuzeigen.

ich habe auch versucht über regedit elitebjs32.exe aus der registry zu löschen...leider ohne erfolg

über msconfig habe ich versucht auch den start der datei d:\WINDOWS\system32\elitebjs32.exe zu verhindern, doch leider lässt sich der haken da nicht so einfach wegmachen

bitte um hilfe!!!

ich habe keine lust alles neu zu installieren

ich habe shcon adaware,antivir und spybot drüberlaufen lassen.ich habe xp und sp1

das ganze hat ganz banal angefangen: ich habe meine firewall kurz ausgemacht,damit mir ein kumpl ein file im irc dccen konnte..

und noch ein zweites problem:
es kam eine fehlermeldung im firefox,dass ich nicht mit dem "default user " per firefox surfen kann und ich habe dann einen neuen user angelegt

wo kann ich das rückgängig machen?ich will meine alten bookmarks wieder
es ist alles weg!!!

mfg

[shogun03]

schonma darüber nachgedacht das dir dein kumpel etwas verseuchtes gegeben haben könnte ?

das beste ist du postest hier mal das hijackthis-log , damit man dir kurz und schnell helfen kann.

edit:
das spuckt google aus.
C:\windows\system32\elitebjs32.exe infected by "Trojan.Win32.StartPage.nk"

Dieser Beitrag wurde von shogun03 bearbeitet: 24. Juni 2005 - 04:38

[sylenza]

zu Firefox: such mal unter c:\Dokumente und Einstellungen\Dein Username\Anwendungsdaten\Mozilla\Firefox\Profiles\irgendwas generiertes\

Dort sollten sich deine Bookmarks befinden (bookmarks.html)

Am besten das ganze Verzeichnis backupen und FF de- und neu installieren, wenn das Problem bleibt.

s.

[Strider]

Willkommen im Winfuture-Forum

Hast du denn auch schon versucht, im abgesicherten Modus zu löschen? (F8 drücken vorm eigentlichen Windowsstart)?

Zitat

das ganze hat ganz banal angefangen: ich habe meine firewall kurz ausgemacht,damit mir ein kumpl ein file im irc dccen konnte..

(Da du keine weitere Details gibst, nehme ich mal an, dass du mit Firewall deine Software-Firewall meinst)
Das stimmt so nicht bzw hat keinen Einfluss darauf, dass du dir den Trojaner eingefangen hast. Ausschlaggebend war, dass du entweder etwas selbstauslösendes entpackt oder sogar eine dir unbekannte Datei ausgeführt hast. Dass du die "Firewall" deaktivieren musstest, um ein Filetransfer zu ermöglichen beweist leider, dass du mit einer "Firewall" absolut nichts anzufangen weisst. Du hättest sie dementsprechend konfigurieren sollen oder, wenn du nicht weisst, wie das gehen soll, sie gleich deinstallieren. Aber dass soll jetzt nicht zur Debatte stehen, sondern nur ein gutgemeinter Hinweis sein, alles andere steht ja in den sticky (wichtigen, gepinnten) Threads im Sicherheitsforum, kannst du ja mal durchlesen.
Und nur so nebenbei: es wäre Zeit für den SP2.

Zitat

über msconfig habe ich versucht auch den start der datei d:\WINDOWS\system32\elitebjs32.exe zu verhindern, doch leider lässt sich der haken da nicht so einfach wegmachen

Versuchs mal mit StartupCPL, bietet einfach mehr und ist dabei übersichtlicher. Am besten im abgesicherten Modus.

Ein Hijackthis-Log wäre, wie schon erwähnt wurde, hilfreich.

Es sollte dir ausserdem bewusst sein, dass niemand, auch keine Software, dir ein vollständiges entfernen des Trojaners versichern kann. Wenn du sensible Daten auf deinem PC hast, würde ich eine Neuinstallation von Windows in Betracht ziehen, abschliessend dazu dann auch diese Tips umsetzen, SP2 usw. Aber das bleibt deine Entscheidung.

Dieser Beitrag wurde von Strider bearbeitet: 24. Juni 2005 - 07:46

[Major König]

Wenn Du Firefox nicht über den Default-User verwenden kannst, dann schau einfach mal in den Taskmanager, meistens läuft da nämlich noch der Firefox auch wenn er ansonsten geschlossen ist. Das kommt meist, wenn der Firefox abgestürzt ist.

[mavis]

@shogun03

Zitat

edit:
das spuckt google aus.
C:\windows\system32\elitebjs32.exe infected by "Trojan.Win32.StartPage.nk"

das heisst also ein trojaner?
oder was soll man der aussage entnehmen?

das beste ist du postest hier mal das hijackthis-log , damit man dir kurz und schnell helfen kann.

Logfile of HijackThis v1.99.1
Scan saved at 12:41:22, on 24.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
f:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\CTSvcCDA.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
D:\Programme\Softwin\BitDefender8\vsserv.exe
D:\WINDOWS\Explorer.EXE
F:\Programme\firefox\firefox.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Dokumente und Einstellungen\romeo\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Window_Protect] winsi32.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [winnt DNS ident] windowsp.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Sothink SWF Catcher - D:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - F:\PROGRA~1\FLASHD~1\iebt.dll (HKCU)
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - F:\PROGRA~1\FLASHD~1\iebt.dll (HKCU)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{53D5A67D-CDEF-478E-AA37-4B3B2290E7EE}: NameServer = 213.148.129.10 213.148.130.10
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - f:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - f:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - D:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
O23 - Service: ZESOFT - Unknown owner - D:\WINDOWS\zeta.exe (file missing)

@sylenza

Zitat

zu Firefox: such mal unter c:\Dokumente und Einstellungen\Dein Username\Anwendungsdaten\Mozilla\Firefox\Profiles\irgendwas generiertes\

Dort sollten sich deine Bookmarks befinden (bookmarks.html)

Am besten das ganze Verzeichnis backupen und FF de- und neu installieren, wenn das Problem bleibt.

klasse! das wars! darf ich dich knutschen?

@Strider
danke für die ausführlichen tipps!

@Major König

Zitat

Wenn Du Firefox nicht über den Default-User verwenden kannst, dann schau einfach mal in den Taskmanager, meistens läuft da nämlich noch der Firefox auch wenn er ansonsten geschlossen ist. Das kommt meist, wenn der Firefox abgestürzt ist.

danke.war zwar nicht der fall,aber habe das vorhin auch gemerkt als firefox abgestürzt ist

ALSO...der aktuelle stand ist so:

ich habe noch Bitdefender installiert und der hat den virus entfernt

leider habe ich jetzt auch noch antivir drauf

darum möchte ich eines der beiden loswerden und deinstallieren

beim deinstallieren von antivir kommt zwar das fenster zum deinstallieren,aber kein fortschrittsbalken

beim deinstallieren von bitdefender fängt er an und dann kommt irgendwas mit noch 18 seconds...
und dann geht der pc sofort ganz aus...vor ablauf der 18 sekunden und bitdefender ist noch nicht deinstalliert,wenn ich wieder hochfahre

ich probiere jetzt mal den abgesicherten modus...mal sehen ob es was bringt

vielleicht sollte ich mal sp2 installieren.aber viele leute haben gesagt damit gibt es nur noch mehr ärger...

weiss da jemand eine lösung?

[shogun03]

also toll siehts nicht aus bei dir .

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\RunServices: [Window_Protect] winsi32.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [winnt DNS ident] windowsp.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/d...onale_ver11.CAB
O23 - Service: ZESOFT - Unknown owner - D:\WINDOWS\zeta.exe (file missing)

fixe die sachen im abgesicherten modus und kontrolliere anschliessen ob die objekte in den zielpfaden gelöscht sind .
dort wo keine pfadangabe dabei steht musst du unter c:\WINDOWS\system32\ schauen.

Dieser Beitrag wurde von shogun03 bearbeitet: 24. Juni 2005 - 12:30

[mavis]

wie finde ich die pfade?

sind die in der registry?

[Graumagier]

mavis sagte:

sind die in der registry?

Ja.

[shogun03]

@mavis

Zitat

wie finde ich die pfade?

sind die in der registry?

die pfade findet das windows selber (systemordner ist als umgebungsvariable eingetragen) wenn du im hijackthis die genannten sachen links ankreuzt und dann auf "fix checked" drückst . es kommt aber schonmal vor das manche sachen hinterher nicht gelöscht sind , deshalb eine manuelle kontrolle durchführen vor dem reboot in den normalmodus.

[Strider]

Noch ein Tipp: vorm entfernen ist es auch empfehlenswert, die Windows-eigene Systemwiederherstellung zu deaktivieren, da die befallenen Dateien ansonsten vielleicht doch noch gespeichert werden/wurden. Wenn du alles gefixt hast, kannst du es ruhig wieder einschalten.

[mavis]

@Strider

Zitat

Noch ein Tipp: vorm entfernen ist es auch empfehlenswert, die Windows-eigene Systemwiederherstellung zu deaktivieren, da die befallenen Dateien ansonsten vielleicht doch noch gespeichert werden/wurden. Wenn du alles gefixt hast, kannst du es ruhig wieder einschalten.

gehört habe ich schon davon.aber:
wo mache ich das?

Zitat

die pfade findet das windows selber (systemordner ist als umgebungsvariable eingetragen) wenn du im hijackthis die genannten sachen links ankreuzt und dann auf "fix checked" drückst . es kommt aber schonmal vor das manche sachen hinterher nicht gelöscht sind , deshalb eine manuelle kontrolle durchführen vor dem reboot in den normalmodus.

ich könnte aber auch nützliche programm- oder systemdateien löschen oder sind die oben angegebenen alles schädlinge?

mit hijackthis muss man doch vorsichtig sein...

[shogun03]

Systemsteuerung -> System -> Systemwiederherstellung -> häckchen bei deaktivieren reinmachen.

Zitat

ich könnte aber auch nützliche programm- oder systemdateien löschen oder sind die oben angegebenen alles schädlinge?

ja umsonst hab ich die malware einträge aus deinem log nicht rausgeschrieben genau die sachen musst du entfernen wie beschrieben.

Dieser Beitrag wurde von shogun03 bearbeitet: 24. Juni 2005 - 18:17

[Win-Fan]

Zitat (mavis: 24.06.2005, 13:15)

vielleicht sollte ich mal sp2 installieren.

Ja, das solltest du wirklich.

Zitat

aber viele leute haben gesagt damit gibt es nur noch mehr ärger...

Dann haben diese vielen Leute großen Unsinn erzählt.

Zitat

weiss da jemand eine lösung?

Da du ja nun mit deinem Rechner sowieso schon mehr als genug Probleme zu haben scheinst, könntest du dies gleich als Anlass nutzen den Rechner komplett neu zu installieren (Win XP+SP2). Denn Probleme gibt es meist nur wenn das SP2 auf ein schon bestehendes System installiert wird, aber dierekt nach der Neuinstallation nicht.
Und wie gesagt, wären damit auch gleich alle bisherigen Probleme beseitigt, als da währen 1. Alle Viren usw sicher entfernt 2. Deine Probleme mit der deinstallation der AntiViren Prog. beseitigt 3. Das SP2 integriert ohne das es Probleme bereitet, und sicher noch einige andere Probleme mit behoben die bis jetzt nur noch nicht sonderlich aufgefallen sind. Auf alle Fälle lohnt es sich.

Zitat

ich habe keine lust alles neu zu installieren

Faule Ausreden zählen nicht, denn sich ewig mit den Problemen rumzuärgern, die man je nach Anzahl und Schweregrad ohnehin nicht immer vollständig beseitigen kann, kann doch auch kein Spaß machen, oder?

misteranwa sagte:

Habe zu fällig den gleichen Virus auch heute gehabt. huh.gif Bei mi konnte ich ihn mit AntiVir 6.31, mit Ad-Ware 6.0 Personal SE sowie SpyBot 1.4 erfolgreich entfernen. rolleyes.gif Also würde ich mal sagen du installierst dir Ad-Ware sowie SpyBot und lässt jeweils die Prgramme durchlaufen coool.gif

Er hatte Anfangs schon geschrieben, das er die Programme schon durchlaufen lassen hatte.

Zitat

ich habe shcon adaware,antivir und spybot drüberlaufen lassen.ich habe xp und sp1

Dieser Beitrag wurde von Win-Fan bearbeitet: 26. Juni 2005 - 00:53