Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Aurora/ ABI network

Aurora/ ABI network


Log-Analyse und Auswertung: Aurora/ ABI network

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 26.08.2005, 14:54   #1
xoco
 
Aurora/ ABI network - Standard

Aurora/ ABI network


Hallo zusammen,

ich habe Probleme mit einem Popup namens aurora (member of the ABI network).
Dieses öffnet sich in unregelmäßigen Abständen,
bei der Benutzung des Firefox browsers und präsentiert
irgendwelche Werbung.

Ich glaube das Thema hattet ihr schon häufiger,
wäre trotzdem nett, wenn ihr mir nochmal erklären könntet
wie ich das loswerde.

Ausserdem kommt seit neuestem beim Systemstart die Fehlermeldung,
dass eine in der Registry angegebene Datei nicht gefunden werden konnte.
Der name betseht aus zwei chinesischen Zeichen.

Unten ist mein HijackThis logfile.
Wäre sehr nett wenn sich das jemand von anschauen könnte.
Vielen Dank schon im Vorraus.

xoco


Logfile of HijackThis v1.99.1
Scan saved at 15:41:48, on 26.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ati2evxx.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\xsvqep.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\WINDOWS\system32\Atiptaxx.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0002\upd.exe
C:\WINDOWS\System32\LVCOMS.EXE
C:\WINDOWS\System32\hpnra.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Windows AdControl\WinAdAlt.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\User\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*h**p://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*h**p://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.club-vaio.sony-europe.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*h**p://www.yahoo.com
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
F3 - REG:win.ini: load=???
?
F3 - REG:win.ini: run=???
?
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: TChkBHO Class - {8B634025-F5C1-4D60-A2CA-473B0751FFBE} - C:\WINDOWS\system32\dadjur.dll
O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\System32\nzdd.dll
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Uninstall0001] "C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe" LASTCALL!adverts.virtuagirl.com!StatsVirtuaGirl
O4 - HKLM\..\Run: [Uninstall0002] "C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0002\upd.exe" LASTCALL!adverts.stripsaver.com!StatsStripSaver
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVCOMS] C:\WINDOWS\System32\LVCOMS.EXE
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINDOWS\System32\hpnra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [rnraau] C:\WINDOWS\system32\xsvqep.exe r
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EFI Job Monitor] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\efjm.dll,run
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O16 - DPF: {214488FB-DAC3-43AD-BC93-D05BD5DF237D} (InmxInstHelper Class) - h**p://www.informaxinc.com/include/InmxInstHlp.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/04f312087e59270e8602/netzip/RdxIE2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F657B7E-0C82-4AF0-8F49-4BD087D855C3}: Domain = scripps.edu
O17 - HKLM\System\CCS\Services\Tcpip\..\{C83E3313-D2EF-49CA-BC62-A8071D24D3FC}: NameServer = 192.168.0.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\ati2evxx.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe

Alt 26.08.2005, 15:19   #2
felix1
/// Helfer-Team
 
Aurora/ ABI network - Standard

Aurora/ ABI network


Lasse die Datei
C:\WINDOWS\System32\Userinit.exe

hier prüfen:
http://virusscan.jotti.org/de/

Wenn sich mein Verdacht bestätigt, wirst Du wohl um ein Neuaufsetzen nicht herumkommen:
http://www.sophos.de/virusinfo/analyses/w32rbotye.html
__________________
Alt 26.08.2005, 15:32   #3
Haui45
 
Aurora/ ABI network - Standard

Aurora/ ABI network


@felix1
Wenn du WinXP hast, schau mal unter %windir%\System32 nach, ob du die Datei Userinit.exe nicht evtl. auch auf deinem PC hast.


@xoco
Prüfe stattdessen bitte die Datein
Zitat:
C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe
C:\WINDOWS\system32\xsvqep.exe (Name ändert sich evtl. nach einem Neustart)
online bei http://virusscan.jotti.org und poste das Ergebnis.
__________________
Alt 26.08.2005, 15:36   #4
xoco
 
Aurora/ ABI network - Standard

Aurora/ ABI network


Hi felix1,

danke für die schnelle Antwort.
Der Scan von C:\WINDOWS\System32\Userinit.exe
hat allerdings nichts gefunden. Ergebnis: OK

Irgendeine andere Idee?

Gruß
xoco

Alt 26.08.2005, 15:50   #5
Chris14
 
Aurora/ ABI network - Standard

Aurora/ ABI network


@haui45 die datei existiert bei mir (bin momentan mit windows xp drin; hab ja multibootsystem)
Was ich hier aber sehe ist der Nail-Trojaner/Wurm or whatever das jetz nochmal war (ich denke jedenfalls alles außer backdoor)

fixe mal diese einträge:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
F3 - REG:win.ini: load=???
F3 - REG:win.ini: run=???
O2 - BHO: TChkBHO Class - {8B634025-F5C1-4D60-A2CA-473B0751FFBE} - C:\WINDOWS\system32\dadjur.dll
O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\System32\nzdd.dll
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [Uninstall0001] "C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe" LASTCALL!adverts.virtuagirl.com!StatsVirtuaGirl
O4 - HKLM\..\Run: [Uninstall0002] "C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0002\upd.exe" LASTCALL!adverts.stripsaver.com!StatsStripSaver
O4 - HKLM\..\Run: [rnraau] C:\WINDOWS\system32\xsvqep.exe r
O4 - HKCU\..\Run: [EFI Job Monitor] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\efjm.dl l,run
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F657B7E-0C82-4AF0-8F49-4BD087D855C3}: Domain = scripps.edu (nur falls unbekannt)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe

-lösche diese dateien:
C:\WINDOWS\Nail.exe
C:\WINDOWS\system32\dadjur.dll
C:\WINDOWS\System32\nzdd.dll
C:\WINDOWS\system32\xsvqep.exe
-ordner C:\Programme\Gemeinsame Dateien\Totem Shared\ (falls unbekannt)
-ordner C:\Program Files\Windows AdControl\

führe noch eScan aus.


Alt 26.08.2005, 15:53   #6
Haui45
 
Aurora/ ABI network - Standard

Aurora/ ABI network


Zitat:
Zitat von Chris14
@haui45 die datei existiert bei mir (bin momentan mit windows xp drin; hab ja multibootsystem)
Wäre ja schlimm wenn nicht.

Ich würde dennoch gerne wissen um was für Dateien es sich handelt, bevor sie gelöscht werden...

Alt 26.08.2005, 15:54   #7
xoco
 
Aurora/ ABI network - Standard

Aurora/ ABI network


@Haui:

Auch dir Danke das Du dich drum kümmerst.
Die Datei Totem Shared\Uninstall0001\upd.exe ist nicht vorhanden,
und die Totem Shared\Uninstall0002\upd.exe brachte kein Ergebnis.
Aber C:\WINDOWS\system32\xsvqep.exe lieferte mehrere Treffer:

AntiVir
Keine Viren gefunden
ArcaVir
Trojan.Small.A19.A6 gefunden
Avast
Win32:Trojano-2198 gefunden
AVG Antivirus
Agent.M gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
not a virus Adware.CallingHome gefunden
F-Prot Antivirus
W32/Agent.WI gefunden
Fortinet
Adware/Nailpol gefunden
Kaspersky Anti-Virus
Trojan.Win32.Agent.ay gefunden
NOD32
Win32/Agent.CP gefunden
Norman Virus Control
W32/Agent.GBG gefunden
UNA
Keine Viren gefunden
VBA32
Trojan.Win32.Agent.ay gefunden

Und nun?

xoco

Alt 26.08.2005, 15:58   #8
Chris14
 
Aurora/ ABI network - Standard

Aurora/ ABI network


hm würde mich auch interessieren. (habs eigentlich nur gepostet, weil das nicht gerade nach backdoor aussieht, aber hast recht man weiß ja nie) prüfe auch mal die anderen dateien die ich eigentlich zum löschen gemeint hab..
also auch dadjur.dll und nzdd.dll und nail.exe

Alt 26.08.2005, 16:01   #9
Haui45
 
Aurora/ ABI network - Standard

Aurora/ ABI network


Zitat:
nd die Totem Shared\Uninstall0002\upd.exe brachte kein Ergebnis.
Aber sie war vorhanden? Scanne sie noch mal bei www.virustotal.com
Dürfte wahrscheinlich das sein http://startup.iamnotageek.com/srch-Uninstall****.html


Zitat:
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe
Diesen Dienst solltest du manuell beenden (start-> Ausführen-> services.msc -> Eingabetaste-> System Startup Service (SvcProc) auswählen und Starttyp auf "DEaktiviert" stellen.) und dann mit HjT löschen (Misc tool section-> Delete a NT-Service on reboot...), oder am besten gleich den entsprechenden Remover verwenden.

Alt 26.08.2005, 17:08   #10
xoco
 
Aurora/ ABI network - Standard

Aurora/ ABI network


Ich hab inzwischen alles gefixt, was Chris14 geschrieben hatte.
@Haui: Hab den Einwand mit dem manuell löschen erst zu spät gesehen.

Habe die upd.exe nochmal gescannt mit virus total: konnte aber auch keinen vrus finden.

nzdd.dll war OK, hat aber den Zugriff verweigert als ich vorher löschen wollte.
dajdun.dll konnte ich nicht finden, wurde vielleicht schon durch das fixen gelöscht?

Nail.exe ist ein Trojaner:

AntiVir
Keine Viren gefunden
ArcaVir
Trojan.Nail.A23 gefunden
Avast
Win32:Adan-141 gefunden
AVG Antivirus
Agent.CZ gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.Nail gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
W32/Nail.C-tr gefunden
Kaspersky Anti-Virus
not-a-virus:AdWare.BetterInternet.r gefunden
NOD32
Win32/Adware.BetterInternet application gefunden
Norman Virus Control
W32/Agent.GAR gefunden
UNA
Keine Viren gefunden
VBA32

AdWare.BetterInternet.r gefunden



Die nail.exe läßt sich aber nicht löschen, dh.
taucht dann immer wieder auf.

Hoffe ihr schaut nochmal rein.

Antwort

Themen zu Aurora/ ABI network
adobe, bho, c:\windows\system32\rundll32.exe, computer, desktop, drivers, einstellungen, explorer, fehlermeldung, firefox, google, hijack, hijackthis, hotkey, internet, internet explorer, microsoft, monitor, mozilla, mozilla firefox, nicht gefunden, picasa, popup, programme, registry, rundll, software, windows, windows xp, öffnet


« Alles in ordnung? | Kann mir jemand helfen? (Aurora und Co.) »


Ähnliche Themen: Aurora/ ABI network


  1. Plus Network
    Antiviren-, Firewall- und andere Schutzprogramme - 17.08.2015 (3)
  2. Problem mit Aurora-The abi net..
    Log-Analyse und Auswertung - 06.09.2005 (6)
  3. Mein HiJackthislog / Probs mit Abi/aurora/nail
    Log-Analyse und Auswertung - 03.09.2005 (2)
  4. benötige hilfe bei aurora/nail/svcprog
    Plagegeister aller Art und deren Bekämpfung - 02.09.2005 (3)
  5. Kann mir jemand helfen? (Aurora und Co.)
    Log-Analyse und Auswertung - 28.08.2005 (2)
  6. svcproc.exe / Abi /Aurora /Nail.exe etc
    Log-Analyse und Auswertung - 21.08.2005 (1)
  7. Endlos Torjaner Schleife AURORA?
    Plagegeister aller Art und deren Bekämpfung - 13.08.2005 (1)
  8. Schnauze voll von Aurora.brauche dringend hilfe bitte bitte
    Log-Analyse und Auswertung - 08.08.2005 (2)
  9. Aurora und DrPMon nicht wegzubekommen
    Log-Analyse und Auswertung - 29.07.2005 (2)
  10. Aurora Bitte um Hilfe habe schon alles gemacht was ich finden konnte!!
    Log-Analyse und Auswertung - 14.06.2005 (10)
  11. Trojaner aurora.exe
    Plagegeister aller Art und deren Bekämpfung - 14.06.2005 (2)
  12. Aurora -> Nail.exe
    Log-Analyse und Auswertung - 13.06.2005 (8)
  13. hilfe beim pop up nerver aurora
    Plagegeister aller Art und deren Bekämpfung - 25.05.2005 (9)
  14. Aurora popups
    Log-Analyse und Auswertung - 11.05.2005 (5)
  15. Adware: Aurora, crack22.exe etc.
    Log-Analyse und Auswertung - 10.05.2005 (6)
  16. Network RFW 25
    Netzwerk und Hardware - 14.02.2003 (14)
  17. Network Quotas
    Alles rund um Mac OSX & Linux - 01.11.2002 (11)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Aurora/ ABI network - Hallo zusammen, ich habe Probleme mit einem Popup namens aurora (member of the ABI network). Dieses öffnet sich in unregelmäßigen Abständen, bei der Benutzung des Firefox browsers und präsentiert irgendwelche - Aurora/ ABI network...
Archiv
Du betrachtest: Aurora/ ABI network auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19