HiJacker (Trojaner) Ezula
 

Hallo Experten *gg*

seit ein paar Tagen habe ich ein neues Haustier, dass ich gerne wieder los wäre:

Ezula (nicht zu verwechsen mit dem Programm)

Die meisten Antiviren-Programme erkennen ihn, können ihn aber nicht beseitigen. Nicht mal Pest Patrol, obwohl es vor dem Kauf (auf der HP von PP) hiess, dass PP diesen Hijacker erkennt UND entfernt. Nur deswegen habe ich das Programm gekauft.

Folgende Programme habe ich bereits angewand (leider alle ohne den ersehnten Erfolg):

- HiJack This (erkennt den Trojaner, Entfernung nicht möglich)
- Spy Substract (an der entscheidenden Stelle kommt die Meldung "ERROR")
- CWShredder (erkennt den Hijacker nicht)
- EScan (findet ihn sofort, identifiziert ihn auch korrekt, kann ihn aber nicht beseitigen)
- AdAware (findet ihn gar nicht erst)
- Internet Security (findet ihn auch nicht)
- TaskMan (Finden ja, Entfernen nein)

Die Datei in der der Trojaner steckt heisst "auaamon.dll".

Ich kann sie nicht manuell entfernen, auch nicht im abgesicherten Modus und auch nicht, wenn ich den PC mit Linux starte. Ach umbennen hilft nicht.

Jemand eine Idee (ausser Platte putzen) ???

PS: Hoffe, dieses Forum ist korrekt, da Ezula ja eigentlich ein HiJacker ist. Sonst bitte verschieben.

Hallo Julia42,

sei so nett und erstelle ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es hier in diesen Thread.

Lass uns bitte das Ergebnis des eScan sehen: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

Kann ich gerne machen, sehe aber keinen Sinn darin, da HiJack This den Ezula zwar erkennt, aber eindeutig sagt, dass ein Entfernen nicht möglich ist. Ausserdem weiss ich ja, wo er steckt, nur runter kriege ich ihn nicht.

PS: Habe gerade mal den PC mit Unix gestartet. Auch dann kommt die Meldung, dass diese Datei nicht entfernt werden kann.

Meine Hochachtung vor dem Programmierer. Der ist eindeutig besser als ich. *gg*

Logfile of HijackThis v1.98.2
Scan saved at 13:16:48, on 25.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\PPControl.exe
C:\hijackthis1982\HijackThis.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [EM_EXEC] C:\Mouse\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab



--------

PS: Online-Überprüfung mit Kaspersky geht auch nicht.

Hallo Julia42,

Dein Logfile sieht sauber aus, bis auf eine Datei, die ich gerne überprüfen möchte:

C:\program files\InterMute\SpySubtract\SpySub.exe

teile uns das Ergebnis der Überprüfung mit. Sende die Datei, wenn sie infiziert sein sollte, passwortgeschützt, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

Teile uns desweiteren bitte das Ergebnis des eScan mit, um das ich Dich bereits gebeten hatte: welche Viren (mit Pfadangabe) wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

@ SD
CWShredder bietet doch die Möglichkeit, SpySubtract mit runterzuladen. Daher die Datei: SpySubtract\SpySub.exe
Hab ich auch drauf.
Gruß cacatoa

das liegt vermutlich daran, dass eScan ab Version 4.5.1 keine Malware entfernt. Das muss von Hand gemacht werden.

Meinst Du: App/Ezula-A? [edit] ==> die Anwendung: App/Frgreet-A [/edit]

Wieso nicht?

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

SD

EScan

Wirklich wichtig ist eigentlich nur dieser Teil:


Mon Oct 25 13:48:01 2004 => **********************************************************
Mon Oct 25 13:48:01 2004 => eScan AntiVirus Toolkit Utility.
Mon Oct 25 13:48:01 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Mon Oct 25 13:48:02 2004 => **********************************************************
Mon Oct 25 13:53:14 2004 => ***** Scanning System32 Folders *****
Mon Oct 25 13:53:14 2004 => Scanning C:\WINNT Directory
Mon Oct 25 13:53:14 2004 => Scanning Folder: C:\WINNT\*.*
Mon Oct 25 13:54:06 2004 => Scanning C:\WINNT\system32 Directory
Mon Oct 25 13:54:06 2004 => Scanning Folder: C:\WINNT\system32\*.*
Mon Oct 25 13:54:45 2004 => Result: ERROR!!! File C:\WINNT\system32\auaamon.dll: Scanning Failure!!!

----------------

Du siehst, dass EScan zwar über den HiJacker stolpert, aber nichts damit anfangen kann.

---------

Die dir verdächtig erscheinende Datei aus dem HiJackThis-Scan ist nichts anderes als die exe des Antivirenprogrammes SpySubstract.

-------

Und nein..... ich meine nicht das Programm Ezula A. Sagte ich aber schon im ersten Posting.

Nein, es liegt nicht daran, dass Malware nicht automatisch entfernt wird. Sondern daran, dass EScan einen Error hat an der entsprechenden Stelle. Dass manuell entfernt werden muss, weiss ich selber. Ginge das, hätte ich das getan.

lol.... also wie man Dateien aufspürt und manuell löscht, weiss ich selber. Ausserdem brauche ich sie nicht zu suchen, weil ich ja weiss, wo sie sitzt. Sie lässt sich aber nicht löschen. Das ist ja eben der Gag bei diesem Trojaner.

Hallo Julia42,

ich kenne nicht alle Programme, die vor Spyware schützen. Lieber einmal zuviel prüfen und sicher gehen, als etwas übersehen. Nächster Tipp. hast Du's mal damit probiert?

Auswahl Online Scan-Programme.

SD

Einige OnlineScanner sind dort, die ich noch nicht durch habe. Werde sie mal checken und melde mich dann mit den Ergebnissen.

Ergebnis:

keiner der OnlineScanner sieht die betroffenen Datei als verseucht an. Sie ist es aber eindeutig.

Guten Nachmittag

http://virusscan.jotti.org/de


Der vereint das Beste am schnellsten!! :daumenhoc
Ist nur fast immer Überlastet(also bischen auf die Seite warten)
Vielleicht hilfts
GREGOR

Also wenn du die Datei weder im normalen Windows noch im abgesicherten Modus löschen kannst, werden auch 50 Virenscanner nichts helfen, fürchte ich. Was mich allerdings wundert, ist, dass du das auch aus Linux nicht kannst, was ist da denn das Problem bzw, die Fehelrmeldung? Hast du beides parallel laufen? In welchem Ordner ist die Datei?

@Julia42

Da du ja weisst, wo sich die Datei befindet und da du auch weisst, wie man Dateien hochlädt: partytime-germany.ice@web.de

Schick die Datei mal her. Kann ich nicht glaubenn, das ezula so schwer wegzubekommen ist. ;)

Selbst bei Linux bekomme ich die Meldung, dass das Löschen der Datei fehlgeschlagen ist, weil sie gerade von einem anderen Prozess verwendet wird. Leider kann ich nicht in Erfahrung bringen, welcher Prozess das ist. Sonst würde ich diesen Prozess beenden und dann die Datei löschen. Die Datei ist im Ordner c:\WINNT\System32

@ Christian,
Viren kann ich gar nicht verschicken, ohne mein gesamtes Sicherheitssystem zu ändern. Alle Mails gehen nur geprüft raus. Mal sehen, ob ich die Datei gepackt rauskriege.

@Gregor,
die hatte ich zwar alle schon einzeln durch, habe aber trotzdem nochmal den Gesamtcheck gemacht. Leider auch ohne Ergebnis.

Edit:
@Christian,
die Datei lässt sich auch nicht in rar oder zip packen. Immer die selbe Meldung von wegen Zugriffsverletzung, da die Datei für einen anderen Prozess in Verwendung ist.

Versuche die Datei im abgesicherten Modus zu packen und mit einem Passwort zu versehen.
Dann müsste es funktionieren.

Alles versucht, aber die betreffende Datei widersetzt sich jeglichem Zugriff und das leider sehr erfolgreich. Auch im abgesicherten Modus und auch unter Linux. Ich versuche es jetzt noch direkt unter Unix und wenn das auch nicht hinhaut, dann gewöhne ich mich wohl besser an den Gedanken, mal wieder alles neu aufzulegen. :kloppen: :teufel3:

Guten Abend

Ezula setzt sich in der Winsock2.reg fest. Winsock nach Anleitungen MS
im Internet ersetzen, oder von sauberen Windows mit demselben Service-
pack kopiern.

Gruss Tony

:party:

Hallo Julia42
Eins vorweg: Ich bin kein Computer-Profi
Ich hab auch ewig mit einer unkaputtbaren Datei rumgekämpft.
ich hab´s dann aber Gott sei Dank mit dem Tool
Amok DelayDel geschafft.

Bei der Gelegenheit :
Wer kennt die Ursache und deren Beseitigung, wenn im Windows/System32-
Verzeichnis plötzlich Dateien der Art
'Zahlenfolge'.dll.dll.dll.dll.dll.dll.dll.dll auftauchen?
(Nein ich hab nicht beim Schreiben gestottert, die sehen wirklich so aus !)

Ich hoffe, du hast auch Glück mit meiner Empfehlung,
und jemand kennt mein "Haustier"

Hallo

Hab auch einen Scan mit e-scan gemacht und auch einen Eintrag mit Ezula gefunden. Könnte mir da jemand helfen?

Danke schon im Voraus.