Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HiJacker (Trojaner) Ezula

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 25.10.2004, 11:41   #1
Julia42
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



Hallo Experten *gg*

seit ein paar Tagen habe ich ein neues Haustier, dass ich gerne wieder los wäre:

Ezula (nicht zu verwechsen mit dem Programm)

Die meisten Antiviren-Programme erkennen ihn, können ihn aber nicht beseitigen. Nicht mal Pest Patrol, obwohl es vor dem Kauf (auf der HP von PP) hiess, dass PP diesen Hijacker erkennt UND entfernt. Nur deswegen habe ich das Programm gekauft.

Folgende Programme habe ich bereits angewand (leider alle ohne den ersehnten Erfolg):

- HiJack This (erkennt den Trojaner, Entfernung nicht möglich)
- Spy Substract (an der entscheidenden Stelle kommt die Meldung "ERROR")
- CWShredder (erkennt den Hijacker nicht)
- EScan (findet ihn sofort, identifiziert ihn auch korrekt, kann ihn aber nicht beseitigen)
- AdAware (findet ihn gar nicht erst)
- Internet Security (findet ihn auch nicht)
- TaskMan (Finden ja, Entfernen nein)

Die Datei in der der Trojaner steckt heisst "auaamon.dll".

Ich kann sie nicht manuell entfernen, auch nicht im abgesicherten Modus und auch nicht, wenn ich den PC mit Linux starte. Ach umbennen hilft nicht.

Jemand eine Idee (ausser Platte putzen) ???

PS: Hoffe, dieses Forum ist korrekt, da Ezula ja eigentlich ein HiJacker ist. Sonst bitte verschieben.

Alt 25.10.2004, 11:51   #2
Shadowdance
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



Hallo Julia42,

sei so nett und erstelle ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es hier in diesen Thread.

Lass uns bitte das Ergebnis des eScan sehen: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD
__________________


Alt 25.10.2004, 12:01   #3
Julia42
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



Kann ich gerne machen, sehe aber keinen Sinn darin, da HiJack This den Ezula zwar erkennt, aber eindeutig sagt, dass ein Entfernen nicht möglich ist. Ausserdem weiss ich ja, wo er steckt, nur runter kriege ich ihn nicht.

PS: Habe gerade mal den PC mit Unix gestartet. Auch dann kommt die Meldung, dass diese Datei nicht entfernt werden kann.

Meine Hochachtung vor dem Programmierer. Der ist eindeutig besser als ich. *gg*
__________________

Alt 25.10.2004, 12:30   #4
Julia42
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



Logfile of HijackThis v1.98.2
Scan saved at 13:16:48, on 25.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\PPControl.exe
C:\hijackthis1982\HijackThis.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [EM_EXEC] C:\Mouse\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab



--------

PS: Online-Überprüfung mit Kaspersky geht auch nicht.

Geändert von Julia42 (25.10.2004 um 12:39 Uhr)

Alt 25.10.2004, 12:38   #5
Shadowdance
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



Hallo Julia42,

Dein Logfile sieht sauber aus, bis auf eine Datei, die ich gerne überprüfen möchte:

C:\program files\InterMute\SpySubtract\SpySub.exe

teile uns das Ergebnis der Überprüfung mit. Sende die Datei, wenn sie infiziert sein sollte, passwortgeschützt, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

Teile uns desweiteren bitte das Ergebnis des eScan mit, um das ich Dich bereits gebeten hatte: welche Viren (mit Pfadangabe) wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD


Alt 25.10.2004, 12:51   #6
cacatoa
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



@ SD
CWShredder bietet doch die Möglichkeit, SpySubtract mit runterzuladen. Daher die Datei: SpySubtract\SpySub.exe
Hab ich auch drauf.
Gruß cacatoa
__________________
--> HiJacker (Trojaner) Ezula

Alt 25.10.2004, 12:53   #7
Shadowdance
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



Zitat:
- EScan (findet ihn sofort, identifiziert ihn auch korrekt, kann ihn aber nicht beseitigen)
das liegt vermutlich daran, dass eScan ab Version 4.5.1 keine Malware entfernt. Das muss von Hand gemacht werden.

Meinst Du: App/Ezula-A? [edit] ==> die Anwendung: App/Frgreet-A [/edit]

Zitat:
Ich kann sie nicht manuell entfernen, auch nicht im abgesicherten Modus und auch nicht, wenn ich den PC mit Linux starte. Ach umbennen hilft nicht.
Wieso nicht?

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

SD

Geändert von Shadowdance (25.10.2004 um 13:00 Uhr)

Alt 25.10.2004, 13:02   #8
Julia42
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



EScan

Wirklich wichtig ist eigentlich nur dieser Teil:


Mon Oct 25 13:48:01 2004 => **********************************************************
Mon Oct 25 13:48:01 2004 => eScan AntiVirus Toolkit Utility.
Mon Oct 25 13:48:01 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Mon Oct 25 13:48:02 2004 => **********************************************************
Mon Oct 25 13:53:14 2004 => ***** Scanning System32 Folders *****
Mon Oct 25 13:53:14 2004 => Scanning C:\WINNT Directory
Mon Oct 25 13:53:14 2004 => Scanning Folder: C:\WINNT\*.*
Mon Oct 25 13:54:06 2004 => Scanning C:\WINNT\system32 Directory
Mon Oct 25 13:54:06 2004 => Scanning Folder: C:\WINNT\system32\*.*
Mon Oct 25 13:54:45 2004 => Result: ERROR!!! File C:\WINNT\system32\auaamon.dll: Scanning Failure!!!

----------------

Du siehst, dass EScan zwar über den HiJacker stolpert, aber nichts damit anfangen kann.

---------

Die dir verdächtig erscheinende Datei aus dem HiJackThis-Scan ist nichts anderes als die exe des Antivirenprogrammes SpySubstract.

-------

Und nein..... ich meine nicht das Programm Ezula A. Sagte ich aber schon im ersten Posting.

Alt 25.10.2004, 13:04   #9
Julia42
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



Nein, es liegt nicht daran, dass Malware nicht automatisch entfernt wird. Sondern daran, dass EScan einen Error hat an der entsprechenden Stelle. Dass manuell entfernt werden muss, weiss ich selber. Ginge das, hätte ich das getan.

Alt 25.10.2004, 13:10   #10
Julia42
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



Zitat:
Zitat von Shadowdance
Wieso nicht?

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

SD
lol.... also wie man Dateien aufspürt und manuell löscht, weiss ich selber. Ausserdem brauche ich sie nicht zu suchen, weil ich ja weiss, wo sie sitzt. Sie lässt sich aber nicht löschen. Das ist ja eben der Gag bei diesem Trojaner.

Alt 25.10.2004, 13:15   #11
Shadowdance
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



Hallo Julia42,

ich kenne nicht alle Programme, die vor Spyware schützen. Lieber einmal zuviel prüfen und sicher gehen, als etwas übersehen. Nächster Tipp. hast Du's mal damit probiert?

Auswahl Online Scan-Programme.

SD

Alt 25.10.2004, 14:21   #12
Julia42
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



Einige OnlineScanner sind dort, die ich noch nicht durch habe. Werde sie mal checken und melde mich dann mit den Ergebnissen.

Alt 25.10.2004, 14:50   #13
Julia42
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



Ergebnis:

keiner der OnlineScanner sieht die betroffenen Datei als verseucht an. Sie ist es aber eindeutig.

Alt 25.10.2004, 15:39   #14
gger
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



Guten Nachmittag

http://virusscan.jotti.org/de


Der vereint das Beste am schnellsten!!
Ist nur fast immer Überlastet(also bischen auf die Seite warten)
Vielleicht hilfts
GREGOR

Alt 25.10.2004, 16:43   #15
MountainKing
 
HiJacker (Trojaner) Ezula - Standard

HiJacker (Trojaner) Ezula



Also wenn du die Datei weder im normalen Windows noch im abgesicherten Modus löschen kannst, werden auch 50 Virenscanner nichts helfen, fürchte ich. Was mich allerdings wundert, ist, dass du das auch aus Linux nicht kannst, was ist da denn das Problem bzw, die Fehelrmeldung? Hast du beides parallel laufen? In welchem Ordner ist die Datei?

Antwort

Themen zu HiJacker (Trojaner) Ezula
.dll, abgesicherten, abgesicherten modus, adaware, cwshredder, datei, entfernen, entfernung, erkennen, error, escan, forum, hijack this, hijacker, internet, internet security, linux, meldung, modus, neues, nicht möglich, platte, programm, security, spy, taskman, this, trojaner, verschieben



Ähnliche Themen: HiJacker (Trojaner) Ezula


  1. Trojanerfund TR/Ezula.AL.515 / OTL-Log Analyse
    Log-Analyse und Auswertung - 18.05.2012 (1)
  2. Trojaner TR/Ezula.AL.515 wirklich weg?
    Plagegeister aller Art und deren Bekämpfung - 03.04.2012 (1)
  3. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  4. Escan endeckt ezula in einer unauffindbaren datei
    Plagegeister aller Art und deren Bekämpfung - 06.02.2008 (2)
  5. Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc.
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (9)
  6. Bitte um hilfe metajuan-ezula-vundo
    Mülltonne - 23.11.2007 (0)
  7. eScan hat Ezula und Waveout gefunden
    Log-Analyse und Auswertung - 23.01.2007 (6)
  8. hilfe! von ezula spyware/adware und precisonpop befallen!!
    Plagegeister aller Art und deren Bekämpfung - 14.08.2006 (1)
  9. DR/Spy.Banc.ha.10.B / Cydoor.Topicks.A / Smitfraud / Ezula
    Log-Analyse und Auswertung - 16.03.2006 (4)
  10. spyware ezula und redv??
    Plagegeister aller Art und deren Bekämpfung - 08.01.2006 (17)
  11. Bitte helft mir! Habe eZula und WebOffer auf meinem PC. Trojaner angezeigt!
    Log-Analyse und Auswertung - 06.11.2005 (6)
  12. ezula und exploit gefunden
    Log-Analyse und Auswertung - 27.10.2005 (4)
  13. Ezula Spyware Gefunden!!! MEIN ANTIVIR6 ist Inaktiv??
    Log-Analyse und Auswertung - 14.09.2005 (8)
  14. Hijacker/Trojaner???
    Log-Analyse und Auswertung - 26.08.2005 (1)
  15. Ezula? wie Was?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (16)
  16. Bin neu und doof(eZula)
    Log-Analyse und Auswertung - 07.02.2005 (4)
  17. Hijacker und Trojaner
    Log-Analyse und Auswertung - 08.11.2004 (1)

Zum Thema HiJacker (Trojaner) Ezula - Hallo Experten *gg* seit ein paar Tagen habe ich ein neues Haustier, dass ich gerne wieder los wäre: Ezula (nicht zu verwechsen mit dem Programm) Die meisten Antiviren-Programme erkennen ihn, - HiJacker (Trojaner) Ezula...
Archiv
Du betrachtest: HiJacker (Trojaner) Ezula auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.