Elitebjs32.exe Ist Ein Virus/wurm Und Ich Kann Ihn virus elitebjs32.exe
#1
geschrieben 24. Juni 2005 - 03:59
hi
d:\WINDOWS\system32\elitebjs32.exe ist ein virus/wurm und ich kann ihn nicht entfernen
jede 5 minuten geht ausserdem ein popup fenster auf..auch wenn ich offline bin und es kommt irgend eine bescheuerte internetseite
vorher jedoch noch eine meldung in einem windowsfenster:
Die gewünschte Webseite ist im Offlinemodus nicht verfügbar.
Klicken Sie auf "Verbinden", um diese Seite anzuzeigen.
ich habe auch versucht über regedit elitebjs32.exe aus der registry zu löschen...leider ohne erfolg
über msconfig habe ich versucht auch den start der datei d:\WINDOWS\system32\elitebjs32.exe zu verhindern, doch leider lässt sich der haken da nicht so einfach wegmachen
bitte um hilfe!!!
ich habe keine lust alles neu zu installieren
ich habe shcon adaware,antivir und spybot drüberlaufen lassen.ich habe xp und sp1
das ganze hat ganz banal angefangen: ich habe meine firewall kurz ausgemacht,damit mir ein kumpl ein file im irc dccen konnte..
und noch ein zweites problem:
es kam eine fehlermeldung im firefox,dass ich nicht mit dem "default user " per firefox surfen kann und ich habe dann einen neuen user angelegt
wo kann ich das rückgängig machen?ich will meine alten bookmarks wieder
es ist alles weg!!!
mfg
Anzeige
#2
geschrieben 24. Juni 2005 - 04:35
das beste ist du postest hier mal das hijackthis-log , damit man dir kurz und schnell helfen kann.
edit:
das spuckt google aus.
C:\windows\system32\elitebjs32.exe infected by "Trojan.Win32.StartPage.nk"
Dieser Beitrag wurde von shogun03 bearbeitet: 24. Juni 2005 - 04:38
#3
geschrieben 24. Juni 2005 - 05:36
Dort sollten sich deine Bookmarks befinden (bookmarks.html)
Am besten das ganze Verzeichnis backupen und FF de- und neu installieren, wenn das Problem bleibt.
s.
#4
geschrieben 24. Juni 2005 - 07:29
Hast du denn auch schon versucht, im abgesicherten Modus zu löschen? (F8 drücken vorm eigentlichen Windowsstart)?
Zitat
(Da du keine weitere Details gibst, nehme ich mal an, dass du mit Firewall deine Software-Firewall meinst)
Das stimmt so nicht bzw hat keinen Einfluss darauf, dass du dir den Trojaner eingefangen hast. Ausschlaggebend war, dass du entweder etwas selbstauslösendes entpackt oder sogar eine dir unbekannte Datei ausgeführt hast. Dass du die "Firewall" deaktivieren musstest, um ein Filetransfer zu ermöglichen beweist leider, dass du mit einer "Firewall" absolut nichts anzufangen weisst. Du hättest sie dementsprechend konfigurieren sollen oder, wenn du nicht weisst, wie das gehen soll, sie gleich deinstallieren. Aber dass soll jetzt nicht zur Debatte stehen, sondern nur ein gutgemeinter Hinweis sein, alles andere steht ja in den sticky (wichtigen, gepinnten) Threads im Sicherheitsforum, kannst du ja mal durchlesen.
Und nur so nebenbei: es wäre Zeit für den SP2.
Zitat
Versuchs mal mit StartupCPL, bietet einfach mehr und ist dabei übersichtlicher. Am besten im abgesicherten Modus.
Ein Hijackthis-Log wäre, wie schon erwähnt wurde, hilfreich.
Es sollte dir ausserdem bewusst sein, dass niemand, auch keine Software, dir ein vollständiges entfernen des Trojaners versichern kann. Wenn du sensible Daten auf deinem PC hast, würde ich eine Neuinstallation von Windows in Betracht ziehen, abschliessend dazu dann auch diese Tips umsetzen, SP2 usw. Aber das bleibt deine Entscheidung.
Dieser Beitrag wurde von Strider bearbeitet: 24. Juni 2005 - 07:46
Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
#5
geschrieben 24. Juni 2005 - 09:44
#6
geschrieben 24. Juni 2005 - 12:15
Zitat
das spuckt google aus.
C:\windows\system32\elitebjs32.exe infected by "Trojan.Win32.StartPage.nk"
das heisst also ein trojaner?
oder was soll man der aussage entnehmen?
das beste ist du postest hier mal das hijackthis-log , damit man dir kurz und schnell helfen kann.
Logfile of HijackThis v1.99.1 Scan saved at 12:41:22, on 24.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe f:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINDOWS\System32\CTSvcCDA.exe D:\WINDOWS\System32\nvsvc32.exe D:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe D:\Programme\Softwin\BitDefender8\vsserv.exe D:\WINDOWS\Explorer.EXE F:\Programme\firefox\firefox.exe D:\WINDOWS\system32\NOTEPAD.EXE D:\Dokumente und Einstellungen\romeo\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [Window_Protect] winsi32.exe O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe O4 - HKLM\..\RunServices: [winnt DNS ident] windowsp.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O8 - Extra context menu item: Sothink SWF Catcher - D:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - F:\PROGRA~1\FLASHD~1\iebt.dll (HKCU) O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - F:\PROGRA~1\FLASHD~1\iebt.dll (HKCU) O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{53D5A67D-CDEF-478E-AA37-4B3B2290E7EE}: NameServer = 213.148.129.10 213.148.130.10 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - f:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - f:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\System32\CTSvcCDA.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - D:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe O23 - Service: ZESOFT - Unknown owner - D:\WINDOWS\zeta.exe (file missing)
@sylenza
Zitat
Dort sollten sich deine Bookmarks befinden (bookmarks.html)
Am besten das ganze Verzeichnis backupen und FF de- und neu installieren, wenn das Problem bleibt.
klasse! das wars! darf ich dich knutschen?
@Strider
danke für die ausführlichen tipps!
@Major König
Zitat
danke.war zwar nicht der fall,aber habe das vorhin auch gemerkt als firefox abgestürzt ist
ALSO...der aktuelle stand ist so:
ich habe noch Bitdefender installiert und der hat den virus entfernt
leider habe ich jetzt auch noch antivir drauf
darum möchte ich eines der beiden loswerden und deinstallieren
beim deinstallieren von antivir kommt zwar das fenster zum deinstallieren,aber kein fortschrittsbalken
beim deinstallieren von bitdefender fängt er an und dann kommt irgendwas mit noch 18 seconds...
und dann geht der pc sofort ganz aus...vor ablauf der 18 sekunden und bitdefender ist noch nicht deinstalliert,wenn ich wieder hochfahre
ich probiere jetzt mal den abgesicherten modus...mal sehen ob es was bringt
vielleicht sollte ich mal sp2 installieren.aber viele leute haben gesagt damit gibt es nur noch mehr ärger...
weiss da jemand eine lösung?
#7
geschrieben 24. Juni 2005 - 12:23
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\RunServices: [Window_Protect] winsi32.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [winnt DNS ident] windowsp.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/d...onale_ver11.CAB
O23 - Service: ZESOFT - Unknown owner - D:\WINDOWS\zeta.exe (file missing)
fixe die sachen im abgesicherten modus und kontrolliere anschliessen ob die objekte in den zielpfaden gelöscht sind .
dort wo keine pfadangabe dabei steht musst du unter c:\WINDOWS\system32\ schauen.
Dieser Beitrag wurde von shogun03 bearbeitet: 24. Juni 2005 - 12:30
#9
geschrieben 24. Juni 2005 - 15:11
mavis sagte:
Ja.
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#10
geschrieben 24. Juni 2005 - 15:19
Zitat
sind die in der registry?
die pfade findet das windows selber (systemordner ist als umgebungsvariable eingetragen) wenn du im hijackthis die genannten sachen links ankreuzt und dann auf "fix checked" drückst . es kommt aber schonmal vor das manche sachen hinterher nicht gelöscht sind , deshalb eine manuelle kontrolle durchführen vor dem reboot in den normalmodus.
#11
geschrieben 24. Juni 2005 - 17:18
Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
#12
geschrieben 24. Juni 2005 - 17:51
Zitat
gehört habe ich schon davon.aber:
wo mache ich das?
Zitat
ich könnte aber auch nützliche programm- oder systemdateien löschen oder sind die oben angegebenen alles schädlinge?
mit hijackthis muss man doch vorsichtig sein...
#13
geschrieben 24. Juni 2005 - 18:15
Zitat
ja umsonst hab ich die malware einträge aus deinem log nicht rausgeschrieben genau die sachen musst du entfernen wie beschrieben.
Dieser Beitrag wurde von shogun03 bearbeitet: 24. Juni 2005 - 18:17
#14 _misteranwa_
geschrieben 25. Juni 2005 - 14:57
Habe zu fällig den gleichen Virus auch heute gehabt. Bei mi konnte ich ihn mit AntiVir 6.31, mit Ad-Ware 6.0 Personal SE sowie SpyBot 1.4 erfolgreich entfernen. Also würde ich mal sagen du installierst dir Ad-Ware sowie SpyBot und lässt jeweils die Prgramme durchlaufen und machst einen Neustart, danach sollte der Virus aus deinem Rechner entfernt wurden sein.
#15
geschrieben 26. Juni 2005 - 00:25
Zitat (mavis: 24.06.2005, 13:15)
Zitat
Zitat
Und wie gesagt, wären damit auch gleich alle bisherigen Probleme beseitigt, als da währen 1. Alle Viren usw sicher entfernt 2. Deine Probleme mit der deinstallation der AntiViren Prog. beseitigt 3. Das SP2 integriert ohne das es Probleme bereitet, und sicher noch einige andere Probleme mit behoben die bis jetzt nur noch nicht sonderlich aufgefallen sind. Auf alle Fälle lohnt es sich.
Zitat
misteranwa sagte:
Zitat
Dieser Beitrag wurde von Win-Fan bearbeitet: 26. Juni 2005 - 00:53
Nimm das Leben nicht so ernst, du kommst eh nicht lebend raus.