Adware: Aurora, crack22.exe etc.
 

Hallo!

Ich habe gestern aus Versehen crack22.exe (Größe: 850.154 Bytes) runtergeladen und ausgeführt. Seitdem erhalte ich immer wieder Werbe-Popups, in Explorer-Fenstern (ich selber starte Explorer nie, sondern benutze Firefox). Die Fenster tragen oft die Überschrift "Aurora", oft kommt auch irgendwas in der Art "Viagra search results" oder "Sie sind ein Gewinner" vor.

Kann jemand helfen, ich komme weder durch Deinstallieren noch durch diverse Trojaner-Scanwerkzeuge weiter. Anbei der HijackThis-Log.

Logfile of HijackThis v1.99.1
Scan saved at 10:51:11, on 05.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\Explorer.exe
D:\WINNT\system32\starter.exe
D:\WINNT\system32\wfxsnt40.exe
D:\PROGRA~1\B'SREC~1\BSCLIP~1\Win2K\BSCLIP.exe
D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
D:\WINNT\system32\internat.exe
D:\Programme\ICQ\Icq.exe
d:\winnt\system32\fnfkgtn.exe
D:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F1 - win.ini: load=d:\elsacom\bin\01comm32.exe
F2 - REG:system.ini: Shell=Explorer.exe D:\WINNT\Nail.exe
O1 - Hosts: yoda.math.tu-berlin.de yoda
O1 - Hosts: skywalker.math.tu-berlin.de skywalker
O1 - Hosts: roo.math.tu-berlin.de roo
O1 - Hosts: prieros.math.tu-berlin.de prieros
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - D:\WINNT\Bolger.dll
O4 - HKLM\..\Run: [PE2CKFNT SE] D:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe
O4 - HKLM\..\Run: [XM2002] D:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [EnsoniqMixer] D:\WINNT\system32\starter.exe
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RecSche] D:\programme\LifeView FlyVideo\RecSche.exe /Startup
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [B'sCLiP] D:\PROGRA~1\B'SREC~1\BSCLIP~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [checkrun] D:\winnt\system32\elitepeg32.exe
O4 - HKLM\..\Run: [rduqil] d:\winnt\system32\fnfkgtn.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Automachron.lnk = D:\Programme\One Guy Coding\Automachron\achron.exe
O4 - Startup: GMX DSL (2).lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Automachron.lnk = D:\Programme\One Guy Coding\Automachron\achron.exe
O4 - Global Startup: GMX DSL (2).lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINNT\system32\Shdocvw.dll
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - D:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - D:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com...ll/xscan60.cab
O16 - DPF: {68459DB3-59C9-449D-815B-65F729385C16} (VoiceSecure Control) - http://www.mmtalk.com/mmtalk.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://membersites.namezero.com/DOT-...webinstall.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yaho...tocomplete.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74FF970B-C3BA-4F58-83C1-64EF3330C985}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINNT\System32\CTSvcCDA.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - D:\WINNT\svcproc.exe

Aus Versehen knapp 1MB runtergeladen und ausgeführt :blabla: :aplaus:

Holzkopp

@Holzkopp
dein Beitrag war nicht äußerst hilfreich.
@galaxy07
IE-Version ist veraltet. Infolge dessen hast du wahrscheinlich eine Blaster-Variante drauf:
Außerdem gibt es noch etwas, was an PC nicht gehört.
Das Beste wäre deinen PC nach Anleitung (Link in meiner Signatur) neu aufzusetzen und vernünftig absichern.

@Rene-gad: Danke für die Antwort!
Ich hab nun den Explorer aktualisiert und alle Einträge, die HiJackThis bemängelt, entfernt, bis auf die, die ich selber kenne. Werbefenster treten trotzdem auf. Über den "Inhaltsratgeber" vom Explorer hab ich nun herausgefunden, dass die Werbefenster von offeroptimizer.com kommen. Da kann ich auch das Laden der Fenster blocken.

Wie kann ich denn rauskriegen, welcher Prozess den Internet Explorer startet?

Eine Neuinstallation ist sicherlich der sauberste Weg, aber auch zeitaufwändig, außerdem habe ich zur Zeit keine Windows 2000 CD.

P.S. Zu crack22.exe finde ich einige Seiten mit google, da geht es aber eher darum, dass man diese Datei selber nicht löschen kann.

@Galaxy07
Genau hier ist das Problem und genau deswegen habe ich dir empfohlen, PC neu aufzustzen. An einem befallenen System kann man nie genau feststellen, was wovon gestartet wird.
Eine Neuinstallation dauert weniger, als wir hier schon darüber diskutieren ;). Wenn du Zeil und Lust hast, mache bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

http://www.downloads.subratam.org/KillBox.exe

Dort auf der rechten Seite den Haken setzten: Ende explorershell while killing file


Funktioniert!

Greeting

Peper01

So, nachdem der Virusscan und vor allem der Scan der offenen Verbindungen mich ziemlich erschreckt hat, hab ich tatsächlich Windows neu installiert.
Die ursprüngliche Datei crack22.exe war mit Trojan-Dropper.Win32.ExeBundle.286 infiziert.