Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Aurora -> Nail.exe (https://www.trojaner-board.de/18874-aurora-nail-exe.html)

Iceefield 12.06.2005 13:11

Hi ich hab das selbe Problem und krieg ständig n Haufen meldungen von Antivir über Trojaner die er zwar löscht aber die immer wieder kommen!

Ich hab schon alle möglichen Tools ausprobiert (ABIRemover, CCCleaner, ...) aber nix ist passiert!

Es ist zwar in den letzten 5 min keine Meldung mehr gekommen aber vllt kann ja trotzdem jemand ma die Log anschaun!


Logfile of HijackThis v1.99.1
Scan saved at 14:12:51, on 12.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\Programme\Microsoft AntiSpyware\gcasServ.exe
F:\Programme\Logitech\MouseWare\system\em_exec.exe
f:\windows\system32\bjrkag.exe
C:\Programme\Call of Duty\Main\Q3E Minimizer_v1.45.exe
F:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
F:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\Dokumente und Einstellungen\Jens\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://toolbar.google.com/intl/de/done
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DU Meter] F:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVMixerTray] "F:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "F:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [gcasServ] "F:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [cdqpsf] f:\windows\system32\bjrkag.exe r
O4 - Startup: Verknüpfung mit Q3E Minimizer_v1.lnk = C:\Programme\Call of Duty\Main\Q3E Minimizer_v1.45.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = F:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://f:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://f:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://F:\Programme\LeechGet 2003\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://F:\Programme\LeechGet 2003\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://F:\Programme\LeechGet 2003\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://f:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://f:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {F985F7B7-58B5-45EE-945F-B814FC66EFA3} - F:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {F985F7B7-58B5-45EE-945F-B814FC66EFA3} - F:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109436414279
O17 - HKLM\System\CCS\Services\Tcpip\..\{5496A5CC-AE54-4FB0-A5FE-C25E9B2727E9}: NameServer = 195.71.164.99 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{5496A5CC-AE54-4FB0-A5FE-C25E9B2727E9}: NameServer = 195.71.164.99 193.189.244.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - F:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.
Deine Beiträge wurden aus diesem Thread herausgelöst und mit diesem Beitrag wieder zusammengeführt!


LG Cidre
S-Mod TB

Rene-gad 12.06.2005 13:17

@Iceefield
EDIT:Alle Probleme beginnen hier:
Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Zitat:

Hi ich hab das selbe Problem
Das ist noch kein Grund zur Dialogstörung. Bei der Registrierung hast du den Nutzungshinweisen zugestimmt und jetzt gegen diese verstoßen!
Zitat:

Dialogstörung liegt vor, wenn ein Mitglied absichtlich den normalen Verlauf der Dialoge in einem Thread stört. Das kann z.B. durch wiederholtes Unterbrechen der Konversation zwischen anderen Mitgliedern geschehen
Auch hier bitte lesen:
Wie poste ich falsch

Iceefield 12.06.2005 13:47

Aurora und sonstiges
 
Also ich krieg gleich immer 3 Meldungen auf einmal von Antivir!

F:\DOKUME~1\JENS\LOKALE~1\TEMP\D1388\AURORA.EXE

Ist das Trojanische Pferd TR/Dldr.Spybi.1


F:\WINDOWS\SVCPROC.EXE

Ist das Trojanische Pferd TR/Stervice.C


F:\WINDOWS\SYSTEM32\DRPMON.DLL

Ist das Trojanische Pferd TR/Click.Age.DB.Dll


AntiVir löscht zwar die Dateien aber sie kommen immer wieder!
Ich habs schon mit dem ABIRemover und sonstiges probiert aber es hilft irgendwie nix!

Jetz hab ich grad mit escan mal durchgescannt!
Virus Log

File f:\windows\system32\bjrkag.exe infected by "Trojan.Win32.Agent.ay" Virus! Action Taken: No Action Taken.
File f:\windows\system32\bjrkag.exe infected by "Trojan.Win32.Agent.ay" Virus! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKCR\CLSID\{2B7E6AA9-C4FA-4951-815B-4AFE39D81453}" refers to invalid object "F:\Programme\Messenger\msgsc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{AB1D8565-40E9-4616-984D-98465687E82C}" refers to invalid object "F:\Programme\Messenger\msgsc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B089FE88-FB52-11d3-BDF1-0050DA34150D}" refers to invalid object "F:\Programme\Eset\nodshex.dll". Action Taken: No Action Taken.
Entry "HKCR\ComPlusMetaData.MsCorHost" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.
Entry "HKCR\ComPlusMetaData.MsCorHost.2" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.
Entry "HKCR\FHPOPUP.FHPopupCtrl.1" refers to invalid object "{9C9393C4-85B0-11D0-9180-74F103C10000}". Action Taken: No Action Taken.
Entry "HKCR\Messenger.MsgrSessionManager" refers to invalid object "{E3A3B1D9-5675-43c0-BF04-37BE11939FB7}". Action Taken: No Action Taken.
Entry "HKCR\Messenger.MsgrSessionManager.1" refers to invalid object "{E3A3B1D9-5675-43c0-BF04-37BE11939FB7}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\QuickTime.QuickTime" refers to invalid object "{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}". Action Taken: No Action Taken.
Entry "HKCR\QuickTime.QuickTime.4" refers to invalid object "{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}". Action Taken: No Action Taken.
Entry "HKCR\SymWriter.pdb" refers to invalid object "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
Entry "HKCR\WMPShell.HWEventHandler" refers to invalid object "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Action Taken: No Action Taken.
Entry "HKCR\WMPShell.HWEventHandler.1" refers to invalid object "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Action Taken: No Action Taken.
File F:\WINDOWS\miscdata.exe infected by "Trojan-Downloader.Win32.IstBar.er" Virus! Action Taken: No Action Taken.
File F:\WINDOWS\Nail.exe tagged as "not-a-virus:AdWare.BetterInternet.b". Action Taken: No Action Taken.
File C:\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.16. No Action Taken.


Kenn mich damit nich wirklich aus wenn sich das mal jemand anschauen könnte und mir sagne könnte was ich machen soll wäre nett!

Iceefield 12.06.2005 14:02

Ja ok alle Probleme beginnen da aber was soll das heißen!
Ich hab mir jetz den Firefox geholt und benutz den kann ich da den IE irgendwie ganz von der Platte schmeißen?

Und was is das mit Win XP versteh ich nich?

Cidre 12.06.2005 14:07

Zitat:

Ich hab mir jetz den Firefox geholt und benutz den kann ich da den IE irgendwie ganz von der Platte schmeißen?
Nein, kannst du nicht.
Zitat:

Und was is das mit Win XP versteh ich nich?
Rene-gad wollte damit zum Ausdruck bringen, daß dein ungepatchtes System der Grund allen Übels ist und eine Bereinigung u.U. keinen Sinn macht, solange dein System nicht von Dir am aktuellsten Stand gebracht wird.

Iceefield 12.06.2005 14:28

Das mit dem Win Update ist leider nicht so enfach da ich die Sp´s nich installieren kann wegen nicht or**** Win!

Kann man das nciht irgendwie umgehen das Problem?

Edit:
Ich hab aber noch ne Origanlversion von Xp Home aber davon war ich nicht sehr begeistert und ich müßte meinen Rechner auch neu aufsetzen!

Cidre 12.06.2005 14:32

Ja, kann man...
Indem du auf kostenlose Linux Distributionen ausweichst, welche du natürlich auch up to date halten mußt. ;)

EDIT:
Dann verwende aus rechtlichen Gründen schonmal die legale Win XP Home Version und setze dein System neu auf, auch wenn du damit nicht zufrieden warst.

Iceefield 12.06.2005 14:35

Hab ich mir auch schonmal überlegt aber bei Linux gibts doch das Prob das einige Progz und Games nich funktionieren so wie ich das gehört hab!

Und dann muß ich doch auch alles neu machen oder nich? :(

Iceefield 13.06.2005 05:34

So ich hab gestern mein Win geupdatet da ichs in ne orig wersion gekriegt hab!
Hier ist mal die aktuelle Log, wenn die mal bitte jemand anschauen könnte und mir sagen könnte was ich machen soll um die 3 teile los zu werden!

Logfile of HijackThis v1.99.1
Scan saved at 06:38:25, on 13.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
F:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\Programme\Microsoft AntiSpyware\gcasServ.exe
F:\Programme\Logitech\MouseWare\system\em_exec.exe
f:\windows\system32\oqkgtvf.exe
F:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Call of Duty\Main\Q3E Minimizer_v1.45.exe
F:\Programme\Mozilla Firefox\firefox.exe
D:\Meine empfangenen Dateien\Sonstiges\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
F2 - REG:system.ini: Shell=Explorer.exe F:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DU Meter] F:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVMixerTray] "F:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "F:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [gcasServ] "F:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [mcwiota] f:\windows\system32\oqkgtvf.exe r
O4 - Startup: Verknüpfung mit Q3E Minimizer_v1.lnk = C:\Programme\Call of Duty\Main\Q3E Minimizer_v1.45.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = F:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {F985F7B7-58B5-45EE-945F-B814FC66EFA3} - F:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {F985F7B7-58B5-45EE-945F-B814FC66EFA3} - F:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109436414279
O17 - HKLM\System\CCS\Services\Tcpip\..\{5496A5CC-AE54-4FB0-A5FE-C25E9B2727E9}: NameServer = 195.71.164.99 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{5496A5CC-AE54-4FB0-A5FE-C25E9B2727E9}: NameServer = 195.71.164.99 193.189.244.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - F:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:49 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19