ELITEICR32.EXE / TR/Dldr.Agent.GD.1

Dieses Thema ELITEICR32.EXE / TR/Dldr.Agent.GD.1 im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von prismarc, 2. Mai 2005.

Thema: ELITEICR32.EXE / TR/Dldr.Agent.GD.1 Hallo liebe leute ..... ich begruesse euch erstmal herzlich, bin neu hier (wie unschwer zu erkennen) ... ich habe...

  1. Hallo liebe leute ..... ich begruesse euch erstmal herzlich, bin neu hier (wie unschwer zu erkennen) ...

    ich habe seit heute morgen ein problem mit viren/trojanern .... besonders einer ist sehr hartnäckig. erkannt wurde er von f-prot und AntiVir, doch beide koennen ihn nicht löschen .... selbst AdAware sucht und findet sich ständig aufs neue.
    Ich werde mit pop ups zugeschmissen (trotz blocker!)

    bitte helft mir

    AntiVir meldet mir:

    C:\WINDOWS\SYSTEM32\ELITEICR32.EXE

    Ist das Trojanische Pferd TR/Dldr.Agent.GD.1
     
  2. hab mal hijackthis drüberlaufen lassen

    hier der log:

    Logfile of HijackThis v1.99.1
    Scan saved at 17:03:44, on 02.05.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\Winamp\winampa.exe
    C:\Programme\QuickTime\qttask.exe
    C:\WINDOWS\system32\RaConfig2500.EXE
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\Yahoo!\Messenger\ypager.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\AVPersonal\GUARDGUI.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
    C:\Programme\ICQLite\ICQLite.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\Marc\LOKALE~1\Temp\Rar$EX00.093\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
    R3 - Default URLSearchHook is missing
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
    O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [RaConfig2500.EXE] RaConfig2500.EXE
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteicr32.exe
    O4 - HKLM\..\Run: [msnappau] C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
    O4 - HKCU\..\Run: [Skype] C:\Programme\Skype\Phone\Skype.exe /nosplash /minimized
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
    O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
    O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
    O9 - Extra->Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{37BC7C4F-502B-4961-BDA2-A777ADDB7817}: NameServer = 80.80.160.8,80.80.160.9
    O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

    wie zum teufel werde ich bitte den trojaner los? und was ich sonst noch alles drauf habe ..... bin angewiesen auf mein notebook ... beruflich.

    DANKE!!
     
  3. ich habe jetzt die bösen dateien gefixt ... trotzdem, der trojaner wird von AntiVir noch immer erkannt .... neuer logfix:

    Logfile of HijackThis v1.99.1
    Scan saved at 17:51:11, on 02.05.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\Winamp\winampa.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\AVPersonal\GUARDGUI.EXE
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Yahoo!\Messenger\YPager.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\Marc\LOKALE~1\Temp\Rar$EX00.913\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteicr32.exe
    O4 - HKLM\..\Run: [msnappau] C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
    O4 - HKCU\..\Run: [Skype] C:\Programme\Skype\Phone\Skype.exe /nosplash /minimized
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
    O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
    O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
    O9 - Extra->Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{37BC7C4F-502B-4961-BDA2-A777ADDB7817}: NameServer = 80.80.160.8,80.80.160.9
    O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
     
  4. im abgesicherten Modus (F8) löschen
    http://www.wintotal.de/Spyware/index.php?Filter=E#Spyware2798


    80.80.160.8 = NSPRI.IPKO.ORG
    80.80.160.9 = NS2.IPKO.NET
    sagen dir die Domain Servers was? ???

    pan_fee
     
  5. ja .... danke erstmal für deine anteilnahme ...

    IPKO.net ist mein internetprovider .....
    ich bin nicht in deutschland ... bin beruflich im ausland, deswegen kennst du den wohl auch nicht
    also das ist in ordnung ....

    ich habe soeben, als sich antivir noch immer nicht beruhigen wollte, antivir deaktiviert und nochmal AdAware laufen lassen ....

    66 (!!) neue infizierte dateien gefunden ....
    diesmal konnte ich sie jedoch löschen ...
    bei zweiten check wurden die nicht mehr erkannt ...

    hab jetzt wieder antivir laufen und es blaibt ruhig .....

    verstehe ich nicht ....

    auf einmal scheint alles weg - aber ich trau dem braten nicht
     
  6. und die eliteicr32.exe ist auch gelöscht?

    pan_fee
     
  7. Danke .... deine aufefuehrten Links zu den Infos sind sehr hilfreich denke ich.
    Ich bin zur zeit unterwegs beruflich und kann mich jetzt nicht drum kuemmern, werde es aber sobald wie moeglich tun und hier bescheid geben.

    Danke nochmal!!