Hartnäckige Spyware auf dem Rechner: Aurora a part of the ABI network

[Sackhaar777]

Hartnäckige Spyware auf dem Rechner: Aurora a part of the ABI network

Kaum ist ein Problem gelöst, ist auch schon das nächste da. Ich habe mir eine Spyware eingefangen, jedesmal wenn ich im internet surfe, ploppen Werbefenster auf, mit der Überschrift Aurora - a part of the ABI network.
Ich habe mir jetzt schon Spybot Search&Destroy, Adaware, Tune Up, Webroot und HiJackThis runtergeladen und aktualisiert. Dann habe ich den Rechner im abgesicherten Modus gestartet und die Programme durchrattern lassen. Sie haben auch was gefunden und ich habe es entfernen lassen. Allerdings war der ganze Schrott nach einem Neustart des Systems wieder da.
Bei HiJackThis hab ich es lieber mal gelassen etwas zu löschen, da ich nicht weiß, was ich brauche und was nicht. Vielleicht kann mir von euch da einer weiterhelfen.

Hier die Log File:

Logfile of HijackThis v1.99.1
Scan saved at 06:10:28, on 15.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\jyhkgeh.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
E:\Spiele\Valve\Steam\steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\HiJackThis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {71D1708F-973D-4600-AF01-AD86688403AE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [lanbrup] C:\WINDOWS\System32\lanbrup.exe
O4 - HKLM\..\Run: [ehhceo] C:\WINDOWS\System32\tajqvgi.exe r
O4 - HKLM\..\Run: [mfmunz] C:\WINDOWS\System32\jyhkgeh.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: SATARaid.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Ich hoffe ihr könnt damit was anfangen.
Schonmal danke im voraus.

 

[Nali_WarCow]

AW: Hartnäckige Spyware auf dem Rechner: Aurora a part of the ABI network

Ich würde bei etwas zur Methode Format C greifen. Ansonsten kann man sich IMO sowieso nicht sicher sein, daß alles weg ist.

 

[Rabowke]

AW: Hartnäckige Spyware auf dem Rechner: Aurora a part of the ABI network

C:\WINDOWS\System32\jyhkgeh.exe
das sieht mir doch arg verdächtig aus

 

[Jimini_Grillwurst]

AW: Hartnäckige Spyware auf dem Rechner: Aurora a part of the ABI network

Ich würde bei etwas zur Methode Format C greifen. Ansonsten kann man sich IMO sowieso nicht sicher sein, daß alles weg ist.

Ich erzähle an dieser Stelle wieder mal eine skurrile Anekdote von meiner Schwester und ihrem PC. Vor einem halben Jahr habe ich ihr Windows neu draufgemacht, weil sie nie den Virenscanner geupdatet hatte und irgendwie dann 10000 (ja, zehntausend) infizierte Dateien auf dem PC hatte. Formatiert und alles neu aufgesetzt, unter der Bedingung, sie kümmert sich mal um Updates für Windows und den Virenscanner. "Natürlich, ja, werde ich machen" war die Antwort.
Gestern musste ich dann bei ihr ran und das Netzwerk schnell neu einrichten, und sofort wurde ich mit 2 Fenstern begrüßt. "Powerscan" und irgendein MSN-Plugin-Zeugs. Hm...besser mal schnell den Virenscanner updaten und scannen. Natürlich, sofort werden diverse Trojaner gemeldet. Also die Dateien gelöscht und weiter gescannt. 20 Trojaner dürften das locker gewesen sein.
Dann noch ein paar Dialer und zwielichtige Programme runter geschmissen und Windows geupdatet. Dann nochmal nach Viren gescannt und Spybot durchlaufen lassen und die Registry sowie den Autostart geputzt.

Was ich damit sagen will: ich habe mich ums formatieren gedrückt, obwohl es, wie du sagst, wirklich sinnvoll gewesen wäre. Ich frage mich echt, wie ein Mensch es hinbekommt, permanent irgendwelche Scheißprogramme auf seinen Rechner zu setzen - aber kein Wunder bei all den Smileypackages und Toolbars (4! zusätzliche Toolbars im IE! *kreisch*)...

Ich frage mich ja, wie das sein wird, wenn ich in einem Monat ausziehe...davor muss ich meinen Eltern noch erklären, wie man die Fritz-Box einstellt usw...das wird ein Spass *g*

MfG Jimini

 

[Wussler]

AW: Hartnäckige Spyware auf dem Rechner: Aurora a part of the ABI network

Ich würde bei etwas zur Methode Format C greifen. Ansonsten kann man sich IMO sowieso nicht sicher sein, daß alles weg ist.

Ich frage mich ja, wie das sein wird, wenn ich in einem Monat ausziehe...davor muss ich meinen Eltern noch erklären, wie man die Fritz-Box einstellt usw...das wird ein Spass *g*

MfG Jimini

Och, brauchst doch nix erklären.
Wenn du einmal die Woche deine Dreckwäsche bringst oder dir bei Ihnen deinen Kühlschrank auf füllst, hockst dich schnell hin und machst es selbst.
Ist für deine Nerven, Wäsche, Kühlschrank und Seelenleben das Beste....gg

Zum Thema:
Diverse Dienste ausgeschaltet?
Kommt das Fenster immer auf der selben Internetseite?
Was hast du im Hintergrund noch alles laufen?
Pop-up Blocker drinn?

 

[mancuso26]

AW: Hartnäckige Spyware auf dem Rechner: Aurora a part of the ABI network

Die nail.exe kommt mir verdächtig vor. Siehe auch hier.
Einfach mal in Google danach suchen, dazu gibt's ne Menge Tips.

edit: genaueres und Hinweise, wie du das Ding loswirst, findest du hier.

@Rabowke/Nali: sehe ich auch so

 

[Sackhaar777]

AW: Hartnäckige Spyware auf dem Rechner: Aurora a part of the ABI network

Pop Up Blocker hab ich aktiviert, nützt aber nichts. Toolbars und Smiliepackages lade ich mir schon gar nicht herunter.

Spybot findet am anfang eines jeden Systemstarts immer einige Programme die sich anmelden wollen. Das sind: lanbrup.exe, ehhceo.exe, hzvdde.exe manchmal kommen da auch unterschiedliche exe, ngtsnu.exe, mfmunz.exe und taiqvgi exe. waren auch schon dabei. Wenn ich dann über SpyBot den Zugriff verweigere, werden Sie bei Webroots Spy Sweeper als Warnung angezeigt und wenn ich die dann darüber lösche, kommt wieder eine Warnung von SpyBot.

 

[mancuso26]

AW: Hartnäckige Spyware auf dem Rechner: Aurora a part of the ABI network

Sieht so aus als hättest du dir mehrere Sachen eingefangen.
Tip: mal nach den gemeldeten Dateien/Prozessen googeln. "lanbrub.exe" wird z.B. bei Symantec als Spyware behandelt.
Aus dem laufenden Betrieb ist es sehr schwierig, böse Buben von der Platte zu kratzen. Und wenn du Pech hast dann gibt es noch irgendwo eine versteckte Kopie und sie melden sich beim nächsten Systemstart wieder. Eine "saubere" Boot-CD mit einem Virenscanner hilft einem da weiter. Die Knoppix Security Tools Distribution ist eine feine Sache, wenn absolut nix mehr geht.
Wenn man sich mehrere Trojaner/Viren eingefangen hat kommt man an einer Neuinstallation von Windows nicht vorbei. Zum einen ist es beinahe unmöglich, auch den letzten Dreck zu 100% weg zu bekommen, zum anderen wird Windows sowohl von den unschönen Programmen als auch von den Reinigunsversuchen in Mitleidenschaft gezogen. Man kann sich also weder sicher sein, das man alles los ist, noch hat man eine Aussicht auf ein stabiles Betriebssystem.

Vor der Neuinstallation ist auch die Frage interessant, woher denn das ganze Dreckszeug kam. Wäre doch blöd, wenn man nach Windows als erstes all die Programme installiert, die man vorher auch schon hatte, und sich dann wieder einen Virus einfängt...