|
Log-Analyse und Auswertung: HiJacker (Trojaner) EzulaWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.10.2004, 11:41 | #1 |
| HiJacker (Trojaner) Ezula Hallo Experten *gg* seit ein paar Tagen habe ich ein neues Haustier, dass ich gerne wieder los wäre: Ezula (nicht zu verwechsen mit dem Programm) Die meisten Antiviren-Programme erkennen ihn, können ihn aber nicht beseitigen. Nicht mal Pest Patrol, obwohl es vor dem Kauf (auf der HP von PP) hiess, dass PP diesen Hijacker erkennt UND entfernt. Nur deswegen habe ich das Programm gekauft. Folgende Programme habe ich bereits angewand (leider alle ohne den ersehnten Erfolg): - HiJack This (erkennt den Trojaner, Entfernung nicht möglich) - Spy Substract (an der entscheidenden Stelle kommt die Meldung "ERROR") - CWShredder (erkennt den Hijacker nicht) - EScan (findet ihn sofort, identifiziert ihn auch korrekt, kann ihn aber nicht beseitigen) - AdAware (findet ihn gar nicht erst) - Internet Security (findet ihn auch nicht) - TaskMan (Finden ja, Entfernen nein) Die Datei in der der Trojaner steckt heisst "auaamon.dll". Ich kann sie nicht manuell entfernen, auch nicht im abgesicherten Modus und auch nicht, wenn ich den PC mit Linux starte. Ach umbennen hilft nicht. Jemand eine Idee (ausser Platte putzen) ??? PS: Hoffe, dieses Forum ist korrekt, da Ezula ja eigentlich ein HiJacker ist. Sonst bitte verschieben. |
25.10.2004, 11:51 | #2 |
| HiJacker (Trojaner) Ezula Hallo Julia42,
__________________sei so nett und erstelle ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es hier in diesen Thread. Lass uns bitte das Ergebnis des eScan sehen: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." SD |
25.10.2004, 12:01 | #3 |
| HiJacker (Trojaner) Ezula Kann ich gerne machen, sehe aber keinen Sinn darin, da HiJack This den Ezula zwar erkennt, aber eindeutig sagt, dass ein Entfernen nicht möglich ist. Ausserdem weiss ich ja, wo er steckt, nur runter kriege ich ihn nicht.
__________________PS: Habe gerade mal den PC mit Unix gestartet. Auch dann kommt die Meldung, dass diese Datei nicht entfernt werden kann. Meine Hochachtung vor dem Programmierer. Der ist eindeutig besser als ich. *gg* |
25.10.2004, 12:30 | #4 |
| HiJacker (Trojaner) Ezula Logfile of HijackThis v1.98.2 Scan saved at 13:16:48, on 25.10.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\WINNT\System32\svchost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\rundll32.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\CTHELPER.EXE C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\program files\InterMute\SpySubtract\SpySub.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\PPControl.exe C:\hijackthis1982\HijackThis.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [EM_EXEC] C:\Mouse\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab -------- PS: Online-Überprüfung mit Kaspersky geht auch nicht. Geändert von Julia42 (25.10.2004 um 12:39 Uhr) |
25.10.2004, 12:38 | #5 |
| HiJacker (Trojaner) Ezula Hallo Julia42, Dein Logfile sieht sauber aus, bis auf eine Datei, die ich gerne überprüfen möchte: C:\program files\InterMute\SpySubtract\SpySub.exe teile uns das Ergebnis der Überprüfung mit. Sende die Datei, wenn sie infiziert sein sollte, passwortgeschützt, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck). Teile uns desweiteren bitte das Ergebnis des eScan mit, um das ich Dich bereits gebeten hatte: welche Viren (mit Pfadangabe) wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) SD |
25.10.2004, 12:51 | #6 |
| HiJacker (Trojaner) Ezula @ SD CWShredder bietet doch die Möglichkeit, SpySubtract mit runterzuladen. Daher die Datei: SpySubtract\SpySub.exe Hab ich auch drauf. Gruß cacatoa
__________________ --> HiJacker (Trojaner) Ezula |
25.10.2004, 12:53 | #7 | ||
| HiJacker (Trojaner) EzulaZitat:
Meinst Du: App/Ezula-A? [edit] ==> die Anwendung: App/Frgreet-A [/edit] Zitat:
"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre] SD Geändert von Shadowdance (25.10.2004 um 13:00 Uhr) |
25.10.2004, 13:02 | #8 |
| HiJacker (Trojaner) Ezula EScan Wirklich wichtig ist eigentlich nur dieser Teil: Mon Oct 25 13:48:01 2004 => ********************************************************** Mon Oct 25 13:48:01 2004 => eScan AntiVirus Toolkit Utility. Mon Oct 25 13:48:01 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc. Mon Oct 25 13:48:02 2004 => ********************************************************** Mon Oct 25 13:53:14 2004 => ***** Scanning System32 Folders ***** Mon Oct 25 13:53:14 2004 => Scanning C:\WINNT Directory Mon Oct 25 13:53:14 2004 => Scanning Folder: C:\WINNT\*.* Mon Oct 25 13:54:06 2004 => Scanning C:\WINNT\system32 Directory Mon Oct 25 13:54:06 2004 => Scanning Folder: C:\WINNT\system32\*.* Mon Oct 25 13:54:45 2004 => Result: ERROR!!! File C:\WINNT\system32\auaamon.dll: Scanning Failure!!! ---------------- Du siehst, dass EScan zwar über den HiJacker stolpert, aber nichts damit anfangen kann. --------- Die dir verdächtig erscheinende Datei aus dem HiJackThis-Scan ist nichts anderes als die exe des Antivirenprogrammes SpySubstract. ------- Und nein..... ich meine nicht das Programm Ezula A. Sagte ich aber schon im ersten Posting. |
25.10.2004, 13:04 | #9 |
| HiJacker (Trojaner) Ezula Nein, es liegt nicht daran, dass Malware nicht automatisch entfernt wird. Sondern daran, dass EScan einen Error hat an der entsprechenden Stelle. Dass manuell entfernt werden muss, weiss ich selber. Ginge das, hätte ich das getan. |
25.10.2004, 13:10 | #10 | |
| HiJacker (Trojaner) EzulaZitat:
|
25.10.2004, 13:15 | #11 |
| HiJacker (Trojaner) Ezula Hallo Julia42, ich kenne nicht alle Programme, die vor Spyware schützen. Lieber einmal zuviel prüfen und sicher gehen, als etwas übersehen. Nächster Tipp. hast Du's mal damit probiert? Auswahl Online Scan-Programme. SD |
25.10.2004, 14:21 | #12 |
| HiJacker (Trojaner) Ezula Einige OnlineScanner sind dort, die ich noch nicht durch habe. Werde sie mal checken und melde mich dann mit den Ergebnissen. |
25.10.2004, 14:50 | #13 |
| HiJacker (Trojaner) Ezula Ergebnis: keiner der OnlineScanner sieht die betroffenen Datei als verseucht an. Sie ist es aber eindeutig. |
25.10.2004, 15:39 | #14 |
| HiJacker (Trojaner) Ezula Guten Nachmittag http://virusscan.jotti.org/de Der vereint das Beste am schnellsten!! Ist nur fast immer Überlastet(also bischen auf die Seite warten) Vielleicht hilfts GREGOR |
25.10.2004, 16:43 | #15 |
| HiJacker (Trojaner) Ezula Also wenn du die Datei weder im normalen Windows noch im abgesicherten Modus löschen kannst, werden auch 50 Virenscanner nichts helfen, fürchte ich. Was mich allerdings wundert, ist, dass du das auch aus Linux nicht kannst, was ist da denn das Problem bzw, die Fehelrmeldung? Hast du beides parallel laufen? In welchem Ordner ist die Datei? |
Themen zu HiJacker (Trojaner) Ezula |
.dll, abgesicherten, abgesicherten modus, adaware, cwshredder, datei, entfernen, entfernung, erkennen, error, escan, forum, hijack this, hijacker, internet, internet security, linux, meldung, modus, neues, nicht möglich, platte, programm, security, spy, taskman, this, trojaner, verschieben |