Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner aurora.exe (https://www.trojaner-board.de/18915-trojaner-aurora-exe.html)

eldude 13.06.2005 15:52
Trojaner aurora.exe
 
Hallo,

leider habe ich mir wohl durch einen Screensaver einige Trojaner eingefangen. Der erste wird von einer aurora.exe(Win32:Ad-Agent-B [Adw]) ausgeführt, der zweite von einer SVCPROC.exe. Dann kommt ab und an auch die Meldung für eine DRPMON.DLL(Win32:Ad-Agent-C [Adw]) Ich hab zuerst mit Antivir versucht sie zu entfernen. Er hat sie gefunden, ich habe sie gelöscht aber sie kamen nach ein paar Minuten wieder. Auch das Löschen per AdAware, SpyBot oder Avast! ist nicht von dauer. So langsam weiß ich echt nichtmehr weiter.
Mein HijackThis Log sieht folgendermaßen aus:

Code:
Logfile of HijackThis v1.99.1
Scan saved at 16:50:58, on 13.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
D:\Programme\Alias\Maya6.5\docs\wrapper.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\wltrysvc.exe
c:\programme\sdb\programs\pgm\serv.exe
D:\Programme\Alias\Maya6.5\docs\jre\bin\java.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
c:\windows\system32\ijtrgb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\PowerKey.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\OSDCtrl.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Longhorn Inspirat\YzToolBar\YzToolBar.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MICROS~1\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\Programme\Miranda IM\miranda32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Michael\LOKALE~1\Temp\286.tmp\thnall1a.exe
C:\Dokumente und Einstellungen\Michael\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = leviathan.fh-friedberg.de:8080
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [butruoe] c:\windows\system32\ijtrgb.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\YzToolBar\YzToolBar.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE462C25-92AD-46E8-8A21-6FBCBD9D8206}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5435CBC-43E0-4902-AD14-D7C987A8E645}: NameServer = 192.168.2.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Maya 6.5 Documentation Server (maya65docserver) - Unknown owner - D:\Programme\Alias\Maya6.5\docs\wrapper.exe
O23 - Service: SAPDB:  .M750024 (SAP DBTech-.M750024) - MySQL MaxDB - c:\programme\sdb\7500\pgm\kernel.exe
O23 - Service: SAPDB:  .M750024 (quick) (SAP DBTech-.M750024 (quick)) - MySQL MaxDB - c:\programme\sdb\7500\pgm\quickknl.exe
O23 - Service: SAPDB:  .M750024 (slow) (SAP DBTech-.M750024 (slow)) - MySQL MaxDB - c:\programme\sdb\7500\pgm\slowknl.exe
O23 - Service: SAPDB:  .M750024 (omststknl.exe) (SAP DBTech-.M750024 (test)) - Unknown owner - c:\programme\sdb\7500\pgm\omststknl.exe (file missing)
O23 - Service: SAPDB:  ORATEST (SAP DBTech-ORATEST) - MySQL MaxDB - c:\programme\sdb\7500\pgm\kernel.exe
O23 - Service: SAPDB:  ORATEST (quick) (SAP DBTech-ORATEST (quick)) - MySQL MaxDB - c:\programme\sdb\7500\pgm\quickknl.exe
O23 - Service: SAPDB:  ORATEST (slow) (SAP DBTech-ORATEST (slow)) - MySQL MaxDB - c:\programme\sdb\7500\pgm\slowknl.exe
O23 - Service: SAPDB:  ORATEST (omststknl.exe) (SAP DBTech-ORATEST (test)) - Unknown owner - c:\programme\sdb\7500\pgm\omststknl.exe (file missing)
O23 - Service: SAP DB WWW (SAPDBWWW) - Unknown owner - c:\programme\sdb\programs\web\pgm\wahttp.exe
O23 - Service: SAPDBXIE - Unknown owner - c:\programme\sdb\programs\web\pgm\sapdbxie.exe
O23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\system32\wltrysvc.exe
O23 - Service: XServer - MySQL MaxDB - c:\programme\sdb\programs\pgm\serv.exe
Ich hoffe mir kann da vielleicht jemand hier helfen damit Sie dauerhaft verschwinden.

chaosman 13.06.2005 20:22
@eldude
überprüfe dein system bitte mit escan
http://www.trojaner-board.de/showthread.php?t=17492
chaosman

Sc4rY 14.06.2005 13:27
Ich habe das Problem gelöst indem ich teatime aktiviert habe ( Spybot SD tool )
und dann alle nail.exe dateien aus der registry sowie aus dem kompletten system gelöscht. danach habe ich ein programm erstellt, sprich eine datei.exe ( drauf achten dass programmkürzel bei symbolen angezeigt werden , das muss man einstellen , wenn man sonst eine datei nail.exe nennt , heisst sie in wirklichkeit
nail.exe.txt
Diese Datei habe ich in den Windows Ordner wo die Virusdatei ( nail.exe ) ist eingefügt und den virus mit meiner 0 byte großen datei ersetzt, vorher hatte icha lle neuesten versionen von spybot etc gedownloadet
und danach habe ich wiedrum alle dateien mit nail.exe aus der registry gelöscht
dies ehaben sich daraufhin nicht mehr reproduziert. danach habe ich den pc 2-3 mal neugestartet und dann nach allen dateien die anil.exe entahlten gesucht
( bei der suchen funktion unter windows eingeben : in allen dateien mit *.* die nail.exe enthalten suchen )
da fand sich auch nichts mehr , daraufhin habe ich ad-aware , spybot und antivir NACHEINANDER ! (das ist wichtig da sich die programme sonst selber dazwischen funken ) laufen lassen und das problem war behoben :)
dabei hat mir ein antivirenprofi geholfen , zufällig ein bekannter
Ich hoffe ich konnte helfen
MfG


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:26 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129