Trojaner-Board - Aurora popups

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Aurora popups (https://www.trojaner-board.de/17070-aurora-popups.html)

Hallo,
ich leide unter Aurora Popups.
Wer kann helfen?
Danke!

Logfile of HijackThis v1.99.1
Scan saved at 22:48:43, on 25/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svc8021x.exe
C:\WINDOWS\system32\CNAC1RPK.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\S3tray2.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
c:\windows\system32\rrrssit.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\RimArts\B2\B2.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Sebastian\Desktop\Container\Spybot & Co\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [htgxig] c:\windows\system32\rrrssit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ZyAIR USB.lnk = C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: AEGIS Client 1.3.6.1 (SVC8021X) - Meetinghouse Data Communications - C:\WINDOWS\System32\svc8021x.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Hallo sebflu,

führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (Ordner „C:\base_x“ erstellen, die „mwav.exe“ dorthin entpacken, mit „kavupd.exe“ updaten. Scan IM ABGESICHERTEN MODUS dauert etwa eine Stunde), http://www.systemwiederherstellung-d...indows-xp.html
2. leere den Quarantäne-Ordner von Norton
3. nimm eine Datenträgerbereinigung vor (Start/ausführen/cleanmgr eingeben/ alle Temp-Ordner leeren und alle Offlineinhalte löschen)
4. starte nach dem Scan wieder in den normalen Modus dauert,
5. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
6. gebe dann "infected" ein,
7. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
8. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.

dartus

Hallo,

hier das Ergebnis:

Sun May 01 00:22:53 2005 => File C:\WINDOWS\svcproc.exe infected by "Trojan.Win32.Stervis.b" Virus. Action Taken: File Deleted.
un May 01 00:22:53 2005 => *** SYSTEM\CurrentControlSet\Services\SvcProc has RunningProcess defined as C:\WINDOWS\svcproc.exe (which is infected)!
Sun May 01 00:22:53 2005 => *** Reg Value SYSTEM\CurrentControlSet\Services\SvcProc\ImagePath deleted because it is infected by a Virus
Sun May 01 00:22:53 2005 => *** Reg Key SYSTEM\CurrentControlSet\Services\SvcProc deleted because ImagePath file infected by a Virus
Sun May 01 00:22:58 2005 => File C:\WINDOWS\tmp.hta infected by "Trojan-Downloader.VBS.Psyme.at" Virus. Action Taken: File Deleted.

Sun May 01 00:22:59 2005 => ***** Scanning complete. *****

Sun May 01 00:22:59 2005 => Total Files Scanned: 418
Sun May 01 00:22:59 2005 => Total Virus(es) Found: 3
Sun May 01 00:22:59 2005 => Total Disinfected Files: 0
Sun May 01 00:22:59 2005 => Total Files Renamed: 0
Sun May 01 00:22:59 2005 => Total Deleted Files: 2
Sun May 01 00:22:59 2005 => Total Errors: 4
Sun May 01 00:22:59 2005 => Time Elapsed: 00:00:44
Sun May 01 00:22:59 2005 => Virus Database Date: 2005/04/30
Sun May 01 00:22:59 2005 => Virus Database Count: 122604

Zitat:

Sun May 01 00:22:59 2005 => Total Files Scanned: 418

Du hast Escan nicht gemäß der Anleitung ausgeführt.

Scan sollte im abgesicherten Modus erfolgen und Einstellungen wie folgt gesetzt sein:

http://www.trojaner-info.de/hijacker/bilder/escan2.jpg

Ich habe die Trial-Version von "eScan Antivirus for Windows" benutzt. Die Software hat als einzige das Problem erkannt und vollständig beseitigt. Sehr zu empfehlen. Danke trotzdem für die Mühe.

hallo,

hatte das gleich problem, am anfang aurora popups und ich kann dir sagen es wird nicht besser. ist unter anderem win.32.bube.l .

hab vor ca. 20min ein anleitung zum killen mit dem titel win.32.bube.d win.32.bube.l gepostet.

bei mir hats geholfen. dauert aber so ca. 2h. viel glück!

lg
ramon