[XP] Bestand is niet uit te krijgen --> Elitehin

Ik had met mijn stomme kop een verkkerde file gedownload. Ik drukte erop en op dat moment werden er allerlei dingen op mijn PC geinstalleerd die ik helemaal niet wilde.

Ik dacht dat het niet zo'n groot probleem was en liet hitman 2 draaien. Deze verwijderde bijna alles op 1 ding na; een venstertje van Internet Explorer werd om de 10 minuten opent met daarin reclame voor van alles.

Ik ging kijken in MsConfig bij het tabblad "opstarten" wat er niet in thuishoorde en vond 2 processen die op werden gestart, terwijl ik dit niet wilde. Dat waren elitehin en eilitehin32. Ik heb toen het vinkje hiervoor weggehaald, MsConfig gesloten en ik had geen last meer van de venstertjes.

Maar als ik opnieuw heb opgestart, zijn de venstertjes er weer en staan er weer vinkjes voor de 2 taken in MsConfig. MsConfig verwijst met die 2 taken naar een file die staat in C:\Windows\System32\Elitehin.exe, maar deze file is niet op mijn PC aanwezig (ook niet als ik verborgen en systeem files weergeven aanzet).

Ik heb ook reeds de registersleutel verwijderd die ervoor zorgt dat Elitehin opstart, wanneer de PC aangaat.

Wie weet hoe ik van deze troep afkom?

Ik had al gegoogled en die vind niks op Elite...

Die HiJackThis ga ik nu proberen. Bedankt voor de tip.

<edit>. HiJackThis vindt hem wel,maar als ik op fix klik en dan opnieuw laat scannen ,vindt hij hem WEER!!

[ Voor 37% gewijzigd door Jk_W op 11-04-2005 10:58 ]

Ik dacht er vanaf te zijn, maar vandaag zet ik de PC weer aan en wat denk je? Is dat venster weer!!
En dat terwijl ik het process met HiJackThis gekilled en gefixed had....

Mij log:

Logfile of HijackThis v1.99.1
Scan saved at 10:51:31, on 11-4-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\cmd.exe
C:\Program Files\Java\jre1.5.0\bin\javaw.exe
C:\Program Files\Mozilla Thunderbird\TBTray.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Documents and Settings\Jaap\Mijn documenten\Dl's\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitehin32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.../MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kabbedijk.local
O17 - HKLM\Software\..\Telephony: DomainName = kabbedijk.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = kabbedijk.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = kabbedijk.local
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Ik weet dat het iig "O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitehin32.exe" is, maar deze is NIET weg te krijgen.

Suggesties?

Iedereen zeer bedankt voor de hulp en de tips.
_{Ik zal er ook eens aan denken SP2 op te zetten}

Het probleem heb ik opgelost. Ik ben door het register gaan spitten en heb naast de regel die ik al had verwijderd NOG een regel gevonden.

Ik zal ze hier, als hulp voor mensen die er ook last van hebben / krijgen, posten zodat zij ze ook kunnen verwijderen.

SOFTWARE\Microsoft\Windows\CurrentVersion\Run --> in die registermap zul je een sleutel van elitehin vinden.

Daarnaast staat deze sleutel nogmaals in:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Deze laatste had ik de eerste keer over het hoofd gezien / niet gevonden.