Trojaner-Board - HiJacker (Trojaner) Ezula

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HiJacker (Trojaner) Ezula (https://www.trojaner-board.de/8792-hijacker-trojaner-ezula.html)

HiJacker (Trojaner) Ezula

Hallo Experten *gg*

seit ein paar Tagen habe ich ein neues Haustier, dass ich gerne wieder los wäre:

Ezula (nicht zu verwechsen mit dem Programm)

Die meisten Antiviren-Programme erkennen ihn, können ihn aber nicht beseitigen. Nicht mal Pest Patrol, obwohl es vor dem Kauf (auf der HP von PP) hiess, dass PP diesen Hijacker erkennt UND entfernt. Nur deswegen habe ich das Programm gekauft.

Folgende Programme habe ich bereits angewand (leider alle ohne den ersehnten Erfolg):

- HiJack This (erkennt den Trojaner, Entfernung nicht möglich)
- Spy Substract (an der entscheidenden Stelle kommt die Meldung "ERROR")
- CWShredder (erkennt den Hijacker nicht)
- EScan (findet ihn sofort, identifiziert ihn auch korrekt, kann ihn aber nicht beseitigen)
- AdAware (findet ihn gar nicht erst)
- Internet Security (findet ihn auch nicht)
- TaskMan (Finden ja, Entfernen nein)

Die Datei in der der Trojaner steckt heisst "auaamon.dll".

Ich kann sie nicht manuell entfernen, auch nicht im abgesicherten Modus und auch nicht, wenn ich den PC mit Linux starte. Ach umbennen hilft nicht.

Jemand eine Idee (ausser Platte putzen) ???

PS: Hoffe, dieses Forum ist korrekt, da Ezula ja eigentlich ein HiJacker ist. Sonst bitte verschieben.

Hallo Julia42,

sei so nett und erstelle ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es hier in diesen Thread.

Lass uns bitte das Ergebnis des eScan sehen: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

Kann ich gerne machen, sehe aber keinen Sinn darin, da HiJack This den Ezula zwar erkennt, aber eindeutig sagt, dass ein Entfernen nicht möglich ist. Ausserdem weiss ich ja, wo er steckt, nur runter kriege ich ihn nicht.

PS: Habe gerade mal den PC mit Unix gestartet. Auch dann kommt die Meldung, dass diese Datei nicht entfernt werden kann.

Meine Hochachtung vor dem Programmierer. Der ist eindeutig besser als ich. *gg*

Logfile of HijackThis v1.98.2
Scan saved at 13:16:48, on 25.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\PPControl.exe
C:\hijackthis1982\HijackThis.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [EM_EXEC] C:\Mouse\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

--------

PS: Online-Überprüfung mit Kaspersky geht auch nicht.

Hallo Julia42,

Dein Logfile sieht sauber aus, bis auf eine Datei, die ich gerne überprüfen möchte:

C:\program files\InterMute\SpySubtract\SpySub.exe

teile uns das Ergebnis der Überprüfung mit. Sende die Datei, wenn sie infiziert sein sollte, passwortgeschützt, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

Teile uns desweiteren bitte das Ergebnis des eScan mit, um das ich Dich bereits gebeten hatte: welche Viren (mit Pfadangabe) wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

@ SD
CWShredder bietet doch die Möglichkeit, SpySubtract mit runterzuladen. Daher die Datei: SpySubtract\SpySub.exe
Hab ich auch drauf.
Gruß cacatoa

Zitat:

- EScan (findet ihn sofort, identifiziert ihn auch korrekt, kann ihn aber nicht beseitigen)

das liegt vermutlich daran, dass eScan ab Version 4.5.1 keine Malware entfernt. Das muss von Hand gemacht werden.

Meinst Du: App/Ezula-A? [edit] ==> die Anwendung: App/Frgreet-A [/edit]

Zitat:

Ich kann sie nicht manuell entfernen, auch nicht im abgesicherten Modus und auch nicht, wenn ich den PC mit Linux starte. Ach umbennen hilft nicht.

Wieso nicht?

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

SD

EScan

Wirklich wichtig ist eigentlich nur dieser Teil:

Mon Oct 25 13:48:01 2004 => **********************************************************
Mon Oct 25 13:48:01 2004 => eScan AntiVirus Toolkit Utility.
Mon Oct 25 13:48:01 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Mon Oct 25 13:48:02 2004 => **********************************************************
Mon Oct 25 13:53:14 2004 => ***** Scanning System32 Folders *****
Mon Oct 25 13:53:14 2004 => Scanning C:\WINNT Directory
Mon Oct 25 13:53:14 2004 => Scanning Folder: C:\WINNT\*.*
Mon Oct 25 13:54:06 2004 => Scanning C:\WINNT\system32 Directory
Mon Oct 25 13:54:06 2004 => Scanning Folder: C:\WINNT\system32\*.*
Mon Oct 25 13:54:45 2004 => Result: ERROR!!! File C:\WINNT\system32\auaamon.dll: Scanning Failure!!!

----------------

Du siehst, dass EScan zwar über den HiJacker stolpert, aber nichts damit anfangen kann.

---------

Die dir verdächtig erscheinende Datei aus dem HiJackThis-Scan ist nichts anderes als die exe des Antivirenprogrammes SpySubstract.

-------

Und nein..... ich meine nicht das Programm Ezula A. Sagte ich aber schon im ersten Posting.

Nein, es liegt nicht daran, dass Malware nicht automatisch entfernt wird. Sondern daran, dass EScan einen Error hat an der entsprechenden Stelle. Dass manuell entfernt werden muss, weiss ich selber. Ginge das, hätte ich das getan.

Zitat:

Zitat von Shadowdance

Wieso nicht?

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

SD

lol.... also wie man Dateien aufspürt und manuell löscht, weiss ich selber. Ausserdem brauche ich sie nicht zu suchen, weil ich ja weiss, wo sie sitzt. Sie lässt sich aber nicht löschen. Das ist ja eben der Gag bei diesem Trojaner.

Hallo Julia42,

ich kenne nicht alle Programme, die vor Spyware schützen. Lieber einmal zuviel prüfen und sicher gehen, als etwas übersehen. Nächster Tipp. hast Du's mal damit probiert?

Auswahl Online Scan-Programme.

SD

Einige OnlineScanner sind dort, die ich noch nicht durch habe. Werde sie mal checken und melde mich dann mit den Ergebnissen.

Ergebnis:

keiner der OnlineScanner sieht die betroffenen Datei als verseucht an. Sie ist es aber eindeutig.

Guten Nachmittag

http://virusscan.jotti.org/de

Der vereint das Beste am schnellsten!! :daumenhoc
Ist nur fast immer Überlastet(also bischen auf die Seite warten)
Vielleicht hilfts
GREGOR

Also wenn du die Datei weder im normalen Windows noch im abgesicherten Modus löschen kannst, werden auch 50 Virenscanner nichts helfen, fürchte ich. Was mich allerdings wundert, ist, dass du das auch aus Linux nicht kannst, was ist da denn das Problem bzw, die Fehelrmeldung? Hast du beides parallel laufen? In welchem Ordner ist die Datei?