Aurora Pop-ups

Holybud · 25. April 2005

Tach zusammen...

Wahrscheinlich ist das Problem bekannt, es gibt auch schon einen Eintrag mit gleichem Inhalt hier im Forum. Für alle Glücklichen, die diesen Mist nicht auf ihrem PC haben: Während des Surfens im I-net öffnen sich immer wieder Pop-up Fenster mit irgendwelcher Werbung, die allerdings nix mit der Seite zu tun hat, auf der man ist. Ad-aware ist machtlos, da sich dieses Aurora (so heißt das glaub ich) immer wieder neu installiert. HijackThis hab ich auch schon laufen lassen aber leider bin ich da kein Experte und auch diese automatische Auswertung im I-net sagt mir auch nix. Ich lass jetzt gleich mal den Spybot ran aber ich bezweifel, dass das funzt.
Ich poste jetzt mal hier meine Logfile in der Hoffnung, dass mir irgendwer sagen kann, was ich wo und in welcher Reihenfolge löschen muss.
Vielen Dank schonmal im Voraus

Mfg Holybud

Logfile of HijackThis v1.99.1
Scan saved at 15:01:36, on 25.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
c:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Valve\Steam\Steam.exe
C:\Programme\Asus\Asus ChkMail\ChkMail.exe
C:\Programme\Asus\ASUS Hotkey\Hotkey.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\windows\system32\odvtjtz.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Nicolas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [pccguide.exe] "c:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "c:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "c:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [wyssqjd] c:\windows\system32\odvtjtz.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Hotkey.lnk = C:\Programme\Asus\ASUS Hotkey\Hotkey.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\enr2l19o1.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - c:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - c:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe

bessy · 25. April 2005

Hallo,

vielleicht wirst du damit dieses Aurora-Gesocks los:

http://www.mypctuneup.com/evaluate.php

http://deepmind.blog.de/main/i…/2005/04/19/aurora_pop_up

Ich habe es bisher noch nicht verwendet.

Was ist denn an der Logfile-Auswertung von HJT nicht zu verstehen?

Gutes Gelingen!

Gruß
bessy

Holybud · 25. April 2005

Erstmal Danke für deine Hilfe...

Das erste Programm hab ich mal laufen lassen. Es konnte Aurora aber nicht entfernen. Leider....

Den zweiten Link hatte ich auch schon selbst gefunden, konnte aber den beschriebenen Weg nicht ausführen, weil ich da die Dateinamen nicht finden konnte. Vermutlich sind die anders benannt oder woanders gespeichert...

Ich versuch das jetzt noch mal mit HJT. Das Problem ist, dass die betroffenen Dateien immer wieder kommen. Da muss es doch einen Weg (außer formatieren *g*) geben, um den Mist los zu werden.

Hilfe!!!

Holybud · 25. April 2005

Also: Ich habe jetzt HJT durchlaufen lassen und alle als böse oder unbekannt identifizierten Datein gefixt. Darüber hinaus habe ich, wie bei der Auswertung gefordert, mit ISPFIX gearbeitet und da zwei Einträge gelöscht. Aurora ist trotzdem nicht weg!
Bei HJT wird jetzt noch eine unbekannte Datei angezeigt, die ich aber nicht löschen kann, da sie immer wieder kommt (O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\k6nolg5316.dll)

Bei ISPFIX sind jetzt nur noch diese beiden Einträge vorhanden (mswsock.dll TCP/IP und winrnr.dll NTDS).

Was soll ich tun??????????

bessy · 25. April 2005

Hi,

schalte die Systemwiederherstellung ab.

Rechtsklick auf ARBEITSPLATZ-->Eigenschaften--> SYSTEMWIEDERHERSTELLUNG-->Häkchen bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen.

Neustart im abgesicherten Modus (F8 beim Starten drücken).

Im abgesicherten Modus mit HJT scannen, Logfile auswerten lassen, Einträge fixen, bzw. mit LSPfix entfernen.

Neustart normal (Systemwiederherstellung nicht aktivieren!), Scan mit HJT, Logfile hier posten, evtl. kommen wir dem Übeltäter so auf die Schliche.

Ich vermute, dass es sich um diesen nachfolgenden Eintrag handelt, der sich aber nicht so einfach beseitigen lässt:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe Unbekannt

Mach' das mal, dann sehen wir weiter.

Ist denn PC-Cillin von Trend micro nicht uptodate? Anderer Virenschutz ist auch nicht zu sehen.

Gruß
bessy

Holybud · 26. April 2005

So.... Ich hab jetzt schon viel probiert in den letzten Tagen und muss sagen, dass sich die Häfigkeit der Pop-up Fenster schonmal stark verringert hat. Das passiert jetzt nur noch relativ selten. Das ist schonmal nicht schlecht.

Hab aber trotzdem deine Tipps befolgt und festgestellt, dass in der Logfile nur noch eine Datei ist, die unbekannt ist. Alle Anderen werden als gut identifiziert. Die unbekannte allerdings ist nicht zu fixen. Die kommt immer wieder und, wenn du mich fragst, immer unter anderem Namen.

Ich poste trotzdem mal die aktuelle Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:35:44, on 26.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
c:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Asus\Asus ChkMail\ChkMail.exe
C:\Programme\Asus\ASUS Hotkey\Hotkey.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Dokumente und Einstellungen\Nicolas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 13 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [pccguide.exe] "c:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "c:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Hotkey.lnk = C:\Programme\Asus\ASUS Hotkey\Hotkey.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\hr6805jue.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - c:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - c:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe

Das hier ist jetzt die einzig unbekannte: (eben hieß der Teil mit den Ausrufungszeichen, die ich jetzt gesetzt habe, noch anders...)

O20 - Winlogon Notify: !!!ShellServiceObjectDelayLoad!!! - C:\WINDOWS\system32\hr6805jue.dll

Ich glaub, da liegt der Übeltäter. Aber ich bin kein Experte *g*. Was nun?
(Ach ja... Die Systemwiederherstellung hab ich deaktiviert gelassen.)

bessy · 26. April 2005

Hi,
ja, es wird immer wieder ein neuer Eintrag (ich vermute ja noch immer, von nail.exe, die dir das Zeugs aufgetischt hat) erstellt.

Evtl. kannst du den Eintrag mit der "killbox" löschen/entfernen:
http://www.bleepingcomputer.com/files/killbox.php

C:\WINDOWS\system32\hr6805jue.dll (Pfad) oder welcher auch immer von HJT an O20 erkannt wird, in die killbox eingeben und löschen.

Das ist ganz penetrantes Zeug und dazu gibt es leider noch zu wenig Info's im Netz, wie du selbst schon festgestellt haben dürftest.

Ehrlich gesagt, würde ich den 2. Link, den ich dir gegeben habe, nochmal versuchen und die Dateinamen ( die sich verändern) vorher suchen und dann versuchen zu entfernen.

Gutes Gelingen.

bessy

Holybud · 26. April 2005

Ich hab nochmal den anderen Link probiert. Das Problem ist, dass ich die meisten Dateien von Aurora wohl schon gelöscht hab. Die meisten beschriebenen Schritte brauch ich gar nicht mehr ausführen. Z.B. das Findit Programm findet gar nichts... denn es ist nichts mehr da anscheinend. Auch die Nail.exe Datei existiert nicht mehr. Trotzdem ist das Problem nicht behoben. Was mir aber mal aufgefallen ist, ist dass dieses Aurora-Fenster nicht mehr auftaucht. Es kommen nur noch gelegentlich die Werbe-Pop-ups. Ich glaube immer noch, dass das an dieser letzten Datei liegt, die ich in meinem letzten Beitrag gepostet habe. Werden jetzt mal versuchen, die Datei anstatt statt der Nail.exe zu löschen, so wie es in dem Link beschrieben ist. Vielleicht klappt das ja so...
Oder hast du eine andere Idee? (Nebenbei mal bemerkt, finde ich, dass es eine riesen Sauerei ist, dass Einem Seiten im I-net auf diese Art und Weise angedreht werden. Auf einmal war der Mist da.... Was für Vollidioten setzten sowas ins I-net??? Das ist wie als wenn man einem extra das Auto zerkrazt... Langsam geht mir das richtig auf den Nerv!!!)

Teilen