[adware]Aurora popups, normale middelen werken niet

donderdag 7 april 2005 15:45

Ondertitel

Post je hijackthis log hier (tussen [code] tags) aub, wellicht dat wij nog wel wat zien wat jij over het hoofd hebt gezien.

Signature

Acties:

donderdag 7 april 2005 16:17

Topicstarter

code:

Logfile of HijackThis v1.97.7
Scan saved at 15:42:37, on 7-4-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
c:\windows\system32\mwbmroq.exe
C:\Programma's\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programma's\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Programma's\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programma's\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programma's\Messenger Plus!\MsgPlus.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~2\Grisoft\AVG7.0\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~2\Grisoft\AVG7.0\avgemc.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programma's\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [ewnfzb] c:\windows\system32\ewnfzb.exe
O4 - HKLM\..\Run: [ysvsesy] c:\windows\system32\mwbmroq.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-nl/nl/games29.cab?fgiocv=1
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by18fd.bay18.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab27571.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C6ED9E8-E36E-46D4-9873-324507BBFC77}: NameServer = 195.121.1.34,195.121.1.66

Ik zie wel wat verdachte dingen, voornamelijk die nail.exe vertrouw ik niet, maar verwijderen lukt niet..ook niet in safemode.

Research is what I'm doing when I don't know what I'm doing.

Acties:

donderdag 7 april 2005 17:00

Ondertitel

code:

1	c:\windows\system32\mwbmroq.exe

Google vindt helemaal geen resultaten, scan het eens op Jotti's online malware scan.

code:

1 2	F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Deze vertrouw ik idd ook niet zo, scan die ook eens met Jotti's online malware scan.

code:

1	O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe

Malware, zie ook deze link.

code:

1	O4 - HKLM\..\Run: [ewnfzb] c:\windows\system32\ewnfzb.exe

Deze biedt ook geen resultaten op Google, scan dus ook maar op Jotti's online malware scan.

code:

1	O4 - HKLM\..\Run: [ysvsesy] c:\windows\system32\mwbmroq.exe

Zoals ik al zei, even scannen.

code:

1	O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-nl/nl/games29.cab?fgiocv=1

Deze mag ook nog wel weg.

Signature

Acties:

Den the Man

Hmmm....

Je kan ook het anti spyware progsel van microsoft proberen daar ben ik zelf zeer te spreken over en die vind ook best veel

Link naar Microsoft Anti Spyware

Pak je rust!

donderdag 7 april 2005 17:35

Acties:

dinsdag 12 april 2005 09:50

Topicstarter

pasta schreef op donderdag 07 april 2005 @ 16:17:
code:
1
c:\windows\system32\mwbmroq.exe

Het stomme is dat ik het bestand niet kan vinden, ook niet als verborgen bestanden aanstaan. Daarbij stond deze ook niet meer in de scan van Hijack This, dus waarschijnlijk was het idd adware, kheb nu 2 dingen verwijderd, ook deze:

code:

1	O4 - HKLM\..\Run: [ewnfzb] c:\windows\system32\ewnfzb.exe

Want ook hier kan ik de exe niet vinden.

code:

1	O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe

Verwijderd

code:
1
2
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
Deze vertrouw ik idd ook niet zo, scan die ook eens met Jotti's online malware scan.

Uitslag scan:

POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)

Enige programma dat hem pakte: mks_vir Found Win32.4 (probable variant)

Bij nader onderzoek van het bestand vind ik het wel erg verdacht, want het bestand zou gemaakt zijn en laatst gewijzigd ergens in mei 2000, toen deze pc nog helemaal niet bestond

Daarbij is het icoontje anders dan normale exe bestanden, alleen via Hijack this kan ik hem niet verwijderen, ik ga dus eerst zo even het exe bestandje verwijderen en daarna kijken of ik hem uit m'n registry kan krijgen.

Verder zag ik in het snuffelen in m'n windows en system32 map een exe met een hele vage naam, vandaag aangemaakt ongeveer toen ik m'n pc aanzette voor het eerst (kort waarna ik de eerste popup kreeg) en met hetzelfde icoontje als ook in de vensters stond. Die heb ik dus ook maar even verwijderd. M'n registry zal wel een zooitje zijn

Ojah, over die MS adware killer, ik ben nieuwschierig, maar is het nog een beta en instaleerd hij het als los programma of is het bijna neit weg te krijgen?

[toevoeging]
Toch die MS app eens geinstalled, lekker programma, duidelijk, aardige interface en hij pakte er toch nog aardig wat uit. Ook veel achtergebleven regentries van bijvoorbeeld kazaa e.d.. Maar nail.exe is niet weg te krijgen, niet in safe mode, verwijderen kan wel, maar hij is net zo snel weer terug. Erg irritant, iemand suggesties? (kheb btw geen popups meer gezien..)

[ Voor 10% gewijzigd door Roa op 07-04-2005 17:59 ]

Research is what I'm doing when I don't know what I'm doing.

Acties:

dinsdag 12 april 2005 11:37

Ik heb ook last van deze popups

Ik ben nu ook het MS progje aan het proberen.

Acties:

Pendaco

Vogon Poetry FTW!

start anders in veilige modus op;

-draai dan hijack this!
-en verwijder de door pasta aangegeven bestanden mbv hijack this

edit:
en check ook even via je 'msconfig' venster of die bestanden niet opstarten, uitvinken dus

ik lees net dat t in de veilige modus ook niet lukt, post anders nog eens een nieuwe hijack log

[ Voor 21% gewijzigd door Pendaco op 12-04-2005 11:38 ]

dinsdag 12 april 2005 12:35

Acties:

dinsdag 12 april 2005 18:06

MS progje verhielp het probleem niet

nu ff de andere manieren proberen die hier gepost staan.

Acties:

dinsdag 12 april 2005 21:27

Topicstarter

Ik heb de oplossing

Althans, ik ben vandaag bezig geweest en heb tot dusver nog niets gezien en ook Hijack this is alles weg. Het probleem is voornamelijk dat dit progje zich in Explorer.exe nesteld en daarom haalt veilige modus niet echt iets uit (explorer wordt daar immers ook gebruikt.)

Wat ik uiteindelijk gedaan heb, is veilige modus, alle rare processen uitschakelen todat m'n pc het amper nog deed (dus ook explorer), vervolgens in mijn register naar nail.exe gescanned en alle entries verwijderd (volgens mij is nail.exe de boosdoener namelijk), daarna hijack this nogmaals gedraait en het was weg. Vervolgens heb ik cmd opgestart (dit alles vanuit taskmanager, explorer had ik immers gekilled), en heb ik daarmee nail.exe uit de windows folder verwijderd. Dit lijkt het uiteindelijk gedaan te hebben.

Verder staat er in je windows map waarschijnlijk ook een exe met hetzelfde icoontje als linksbovenin de popups staat, die kan je ook nog weghalen, maar nail.exe is volgens mij de core hiervan.

En ik heb nog niet op verstuur bericht geklikt, of ik krijg alweer een popup...dit ding is echt hardnekkig...alhoewel ik nail.exe niet kan vinden...stay tuned.

[ Voor 8% gewijzigd door Roa op 12-04-2005 18:08 ]

Research is what I'm doing when I don't know what I'm doing.

Acties:

hessel

Installeer eens een extra/ander virus scaner op je pc. Op www.virus.gr staat een test van eind 2004
1. Kaspersky Personal Pro version 4.5.0.58 - 99.09%
2. F-Secure 2004 version 4.71.5 - 98.77%
3. Extendia AVK Pro version 11.0.4 - 98.68%
4. AVK version 14.0.7 - 98.50%
5. Kaspersky Personal version 5.0.149 - 97.88%

zou zegen probeer eens een van deze virusscaners

Grutte Pier fansels

dinsdag 12 april 2005 22:53

Acties:

woensdag 13 april 2005 09:37

Topicstarter

Was het zat. Heb net reinstall gedaan.. Was toch wel weer nodig.

Ik ben opzich wel tevreden over m'n virusscanner, AVG 7. Verder heb ik voordat ik de netwerkkabel erin deed AVG en MS AntiSpyware geïnstalled. Vervolgens pas netwerkkabel erin, dingen geupdate en ben nu met winupdate bezig. (Ah, ik moet weer opnieuw opstarten..) Ik snap nog steeds niet hoe dat programma erin geslopen is....

Research is what I'm doing when I don't know what I'm doing.

Acties:

woensdag 13 april 2005 14:49

NEEEE geen reinstall

Ik heb gemerkt dat het bij mij het bestandje nodqytpal.exe is die staat ook in de windows map en met het zelfde icoontje. Nail.exe kan ik niet vinden op mijn schijf. Maar dat bestandje nodqytpal.exe verwijder ik steeds en dan krijg ik geen popups maar het bestandje komt ook wel weer terug

dus dan krijg ik ook weer popups.

Acties:

donderdag 14 april 2005 10:18

Topicstarter

MasterMido schreef op woensdag 13 april 2005 @ 09:37:
NEEEE geen reinstall

Ik heb gemerkt dat het bij mij het bestandje nodqytpal.exe is die staat ook in de windows map en met het zelfde icoontje. Nail.exe kan ik niet vinden op mijn schijf. Maar dat bestandje nodqytpal.exe verwijder ik steeds en dan krijg ik geen popups maar het bestandje komt ook wel weer terug dus dan krijg ik ook weer popups.

Precies, daar had ik ook last van. Wat nail.exe dan was weet ik niet, maar volgens mij kon dat ook niet echt lekker zijn. In ieder geval, ik was het zat. Nu was het de laatste keer augustus, dus opzich was het ook wel tijd. Mocht je toch iets vinden waarmee je het kan verwijderen, post het nog even, daar hebben anderen dan misschien nog wat aan.

Research is what I'm doing when I don't know what I'm doing.

Acties:

donderdag 14 april 2005 10:36

Ik ben ze in iedergeval nog niet kwijt. Ik hoop dat ik een oplossing kan vinden. Op google kan ik er niks van vinden.

Acties:

vrijdag 15 april 2005 15:31

hooo
Ik klikte op het de vraagteken van het popup venster

code:

You are seeing these ads because you have received software free of charge 
through an Aurora distributor. To support your free software and to help keep 
the product free, please do not uninstall Aurora. Aurora is not "spyware," 
does not collect any personal information about you, and is not malicious. 

If you do choose to uninstall Aurora contextual advertising software, it can be 
safely and completely removed by using the add/remove programs function 
in the Windows control panel, or by going to www.MyPCTuneup.com/aurora 
to get the uninstall tool. 

EULA

Hij staat bij mij niet tussen de software dus ff de uninstall tool proberen.

[ Voor 5% gewijzigd door MasterMido op 14-04-2005 10:40 ]

Acties:

maandag 18 april 2005 11:10

bende. Die uninstall tool helpt helemaal niet.

nog steeds last van die popups. Ik denk dat ik maar een reinstall moet doen

Acties:

rajackar

Blood Minister

Eén van mijn gebruikers heeft heir ook last van. Eventuele tips zijn zeer welkom.

Shrouded by night, but with steady stride. Colored by blood, but always clear of mind. - AMD 9800X3D - Asus RTX 5090 Astral - PS5

maandag 18 april 2005 11:38

Acties:

CasioMan468

Ik heb dit probleem een tijd geleden ook gehad, spyware wat niet te verwijderen was, en als ik het verwijderd had, kwam het na een reboot weer terug.

Wat ik gedaan heb, is ongeveer het volgende.
Ik heb de site('s) waar mee hij contact legt in mn HOSTS file gedumpt zodat hij geen contact meer kan leggen, en ook niet meer kan up-daten. Dan alle programma's die me niet aanstaan verwijderen. Ook in mn registry.
Dit doe je zoals Roa hierboven al aangaf.
Gebruik geen explorer voor het verwijderen maar iets van TotalCommander ofzo.
Reboot, en alles weer opnieuw controleren. evt, HOSTS-file weer bijwerken en weer opnieuw...

T'is lastig maar werkte wel bij mij.

Verder kun je met je HOSTS file heel veel blokkeren.
Lees maar eens. werkt echt top (althans... voor mij) Wordt ook regelmatig bijgehouden.
http://www.mvps.org/winhelp2002/hosts.htm

Succes!

maandag 18 april 2005 12:30

Acties:

roy-t

er is iemand met precies dezelfde problemen @ www.spywaredata.com

~ Mijn prog blog!

vrijdag 22 april 2005 16:49

Acties:

Verwijderd

yes,

ook ik ben slachtoffer van het nail.exe geval...
ben er nu een halve dag mee bezig en dit zijn mijn bevindingen.....

-is niet te verwijderen met bv adaware, spybot, microsoft as e.d.
-nail.exe is niet te verwijderen.
-het start een process op dat na stoppen via tskmgr weer opstart onder een andere vage naam.
(kjglhk.exe oid)
-ook in safe mode niet te verwijderen.
-het kaapt gegevens die je invoert in je url balk zo ook bijv de google engine
-reg keys gerelateerd aan nail.exe zijn te verwijderen maar komen daarna doodleuk terug
-het lijkt erop dat het telkens nieuwe spy/ad ware toevoegt

ook na een halve dag nog steeds geen (kant en klare) oplossing kunnen vinden.......

zaterdag 23 april 2005 18:16

Acties:

Verwijderd

Zelfde probleem ondervonden, echter ben van mening dat ik hem nu kwijt ben.
Het heeft even wat tijd gekost echter aurora is niet meer te vinden op mijn PC.
Wel gemerkt dat zowel aurora als altnet niet op een vriendelijke wijze te verwijderen zijn.
Op advies Spy sweeper gedownload van www.webroot.com.
Deze vindt erg veel, en je kunt de links zien.
Als je Spy sweeper draait zegt hij dat hij ze verwijdert echter bij de volgende opstart vindt hij ze vrolijk weer.
Wat ik verder gedaan heb is handmatig zo'n 100.000 internet files verwijdert van alle gebruikers die in
Application Data / temporary internet onder content.IE5 stonden.
Alle temp directories leeg gehaald daarin stond een verdacht exe file -1.exe en deze stond onder iedere gebruiker.
Weer Spy sweeper gedraaid en weer kwamen ze tevoorschijn, daarna in de regedit deze files verwijdert (eerst voor zorgen dat je eigenaar van de files wordt anders lukt het niet).
De pc laten zoeken op "Aurora", ook deze files allemaal gedelete.

Succes, het heeft mij uiteindelijk geholpen (na veel frustratie).

onder een print van Spy sweeper met de links die hij vondt.

Op het moment dat ik dit type krijg ik wel een bericht van Spy Sweeper betreffende AbetterInternet.

Dus of ik er echt van af ben, afwachten.

woensdag 4 mei 2005 20:43

Acties:

woensdag 4 mei 2005 20:57

Sinds 23 april iemand al een oplossing gevonden??
Heb hetzelfde probleem met dat aurora. In safemode met alles uitgevinkt in msconfig, diverse antisyware programma's gedraaid maar het komt steeds terug...

Trouwens wel mijn eigen schuld want ik heb een vage download gestart als exe! (me/ stupid cow!).

Acties:

woensdag 4 mei 2005 20:58

Heb je al eens gekeken wat hijackthis oplevert (in de log)?
Zitten daar nog rare dingen bij?
En welke antispyware programma's heb je allemaal gebruikt? En ik neem aan die ook in safe mode?

Zie trouwens ook:
Nail.exe en Aurora probleem
[rml][ XP] Shell staat ingesteld op nail.exe; niet gedetecteerd? *[/rml]

Acties:

woensdag 4 mei 2005 21:04

vond op http://www.bullguard.com/forum/12/Aurora-Spyware_13085.html iemand met een procedure die misschien werkt, ga ik eerst maar eens proberen....

Acties:

woensdag 4 mei 2005 21:09

Hoi Sassie, (we posten ongeveer gelijk...)

Heb Adaware, microsoft antispyware en Xoftspy gedraaid. Hijackthis (nog) niet. Er draaien wel allerlei rare processes (windows task manager) met volgens mij steeds andere namen.

Heb hem net weer in safemode en afgesloten van Internet. (gebruik nu even m'n laptop)
Zal zo eens Hijackthis gebruiken. Snap daar niet echt veel van maar zal ik hem posten?

Acties:

Bergen

Spellingscontroleur

www.hitmanpro.nl al geprobeerd? Dat is een stapel pakketten in 1 pakket: Ad-Aware SE (6.2), Spy Sweeper 3, Spybot Search & Destroy 1.3, CWShredder 2.14, SpywareBlaster 3.3, Spyware Block List, Sysclean Package en SuperDAT VirusScan.

Als 't daarmee niet opgelost wordt weet ik 't ook niet meer...

edit:
gmta idd

[ Voor 8% gewijzigd door Bergen op 05-05-2005 00:21 ]

woensdag 4 mei 2005 21:10

Acties:

woensdag 4 mei 2005 21:46

Doe maar ja. Gebruik dan wel svp even de nieuweste versie van hijackthis (1.99.1)
Zie trouwens ook: [rml][ Howto] Spyware scannen en opruimen[/rml]

Je zou trouwens eventueel ook nog Hitmanpro kunnen draaien (een bundeling van een aantal anti-spyware programma's, waaronder Adaware, Spybot, en Spysweeper).

edit:
2 zielen, 1 gedachte

[ Voor 13% gewijzigd door Sassie op 04-05-2005 21:36 ]

Acties:

woensdag 4 mei 2005 22:02

de hijackthis log

code:

Logfile of HijackThis v1.99.1
Scan saved at 21:40:55, on 4-5-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Evidence Exterminator\erasrv.exe
D:\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
D:\NORTON~2\NORTON~1\NPROTECT.EXE
C:\Program Files\Microsoft IntelliType Pro\type32.exe
D:\Java\jre1.5.0_02\bin\jusched.exe
D:\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
D:\iTunes\iTunesHelper.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
K:\Updates en Programma's\AMD2600\Asrock K7S8X\AGP(113)\AGP\htpatch\htpatch.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
D:\Microsoft AntiSpyware\gcasServ.exe
D:\D-Tools\daemon.exe
C:\WINDOWS\system32\RunDll32.exe
D:\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\sysupudt.exe
C:\WINDOWS\dcf5678.exe
D:\Evidence Exterminator\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
D:\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
D:\Palm\HOTSYNC.EXE
D:\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\iPod\bin\iPodService.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\WinRAR\WinRAR.exe
C:\Documents and Settings\Michiel\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.**********
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***********
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CIEObject Object - {5D647E9C-6B37-4636-9A78-DADB1EB93BDF} - C:\WINDOWS\ctxpopup.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [TkBellExe] "D:\K-Lite Codec Pack\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCTVRemote] D:\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [PCLEPCI] D:\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MNCN USB] C:\WINDOWS\System32\ShellExt\mncntray.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [HTpatch] K:\Updates en Programma's\AMD2600\Asrock K7S8X\AGP(113)\AGP\htpatch\htpatch.exe
O4 - HKLM\..\Run: [gcasServ] "D:\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDTray] "D:\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AdUpdater] C:\WINDOWS\sysupudt.exe
O4 - HKLM\..\Run: [AdPopup] C:\WINDOWS\dcf5678.exe
O4 - HKLM\..\Run: [00ERSRRRNKY] D:\Evidence Exterminator\eraser.exe
O4 - HKLM\..\RunOnce: [00ERSRRRNKY] "D:\Evidence Exterminator\erasrv.exe" remove
O4 - HKCU\..\Run: [Norton SystemWorks] "D:\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.boxsearch.net
O15 - Trusted Zone: *.brdatahost.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int5.exe
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {3B623D23-2757-4881-A01E-D560EBCA5307} - http://advnt01.com/dialer/olanda_ver10.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111911588059
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Eraser Service (EraserThread) - Unknown owner - D:\Evidence Exterminator\erasrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

volgens mij is bij regel 86 en 87 [adupdater] en [adpopup] zoiezo foute boel. Ga nu eerst dat Hitmanpro draaien.

Edit/ Trouwens 100, 101 en 102 is ook niet echt ok toch?

[ Voor 4% gewijzigd door gielius op 05-05-2005 07:07 ]

Acties:

chucky666

d.y.w.play?

en 106 mag je ook wel bekijken denk ik

een OW voor blaten in de IT? laat IT dan maar voortaan links liggen :(

woensdag 4 mei 2005 22:06

Acties:

woensdag 4 mei 2005 22:17

code:

C:\WINDOWS\system32\oodag.exe 
C:\WINDOWS\sysupudt.exe
C:\WINDOWS\dcf5678.exe
O2 - BHO: CIEObject Object - {5D647E9C-6B37-4636-9A78-DADB1EB93BDF} - C:\WINDOWS\ctxpopup.dll
O4 - HKLM\..\Run: [MNCN USB] C:\WINDOWS\System32\ShellExt\mncntray.exe 
O4 - HKLM\..\Run: [AdUpdater] C:\WINDOWS\sysupudt.exe
O4 - HKLM\..\Run: [AdPopup] C:\WINDOWS\dcf5678.exe 

O15 - Trusted Zone: *.boxsearch.net
O15 - Trusted Zone: *.brdatahost.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int5.exe
O16 - DPF: {3B623D23-2757-4881-A01E-D560EBCA5307} - http://advnt01.com/dialer/olanda_ver10.CAB

Scan die files waarna verwezen wordt in de eerste 7 entries eens op http://virusscan.jotti.org om te kijken wat het is. Bij 'foute boel' kun je ze dan wel verwijderen.

Twijfelachtig:

code:

D:\Evidence Exterminator\erasrv.exe
O4 - HKLM\..\Run: [00ERSRRRNKY] D:\Evidence Exterminator\eraser.exe
O4 - HKLM\..\RunOnce: [00ERSRRRNKY] "D:\Evidence Exterminator\erasrv.exe" remove 
O23 - Service: Eraser Service (EraserThread) - Unknown owner - D:\Evidence Exterminator\erasrv.exe

Ik heb zo mijn twijfels over Evidence Exterminator, weet je zeker dat het 100% schoon is?

Deze kan ook wel weg (lege/nutteloze entry):

code:

1	R3 - Default URLSearchHook is missing

Acties:

0siris

wat ik er zonder meer uit zou kieperen:

code:

O4 - HKLM\..\Run: [TkBellExe] "D:\K-Lite Codec Pack\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdUpdater] C:\WINDOWS\sysupudt.exe
O4 - HKLM\..\Run: [AdPopup] C:\WINDOWS\dcf5678.exe
O4 - HKLM\..\Run: [00ERSRRRNKY] D:\Evidence Exterminator\eraser.exe
O15 - Trusted Zone: *.boxsearch.net
O15 - Trusted Zone: *.brdatahost.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int5.exe
O16 - DPF: {3B623D23-2757-4881-A01E-D560EBCA5307} - http://advnt01.com/dialer/olanda_ver10.CAB
O23 - Service: Eraser Service (EraserThread) - Unknown owner - D:\Evidence Exterminator\erasrv.exe

Niet alles even eng (bijv. jusched en nerocheck), maar verder bijna compleet nutteloos

ach...in een volgend leven lach je er om!

woensdag 4 mei 2005 22:23

Acties:

woensdag 4 mei 2005 22:34

Ik heb wel goede ervaring met dat Evidence Exterminator, al lang gebruikt en nooit wat raars gezien/gemerkt.
@chucky666 gelukkig heb ik er geen inbelmodem meer inzitten inderdaad......

volgens mij is die eerste (oodag.exe) van O&O defrag programma, die daarna komen is echt foute boel. Dat aurora staat erom bekend dat het allerlei at random namen maakt voor zijn eigen doel las ik ergens..

De Hijackthis log na Hitmanpro:

code:

Logfile of HijackThis v1.99.1
Scan saved at 22:43:24, on 4-5-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Evidence Exterminator\erasrv.exe
D:\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
D:\NORTON~2\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
D:\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
D:\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
D:\iTunes\iTunesHelper.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
K:\Updates en Programma's\AMD2600\Asrock K7S8X\AGP(113)\AGP\htpatch\htpatch.exe
D:\Microsoft AntiSpyware\gcasServ.exe
D:\iPod\bin\iPodService.exe
D:\D-Tools\daemon.exe
D:\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\Evidence Exterminator\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\System32\svchost.exe
D:\Palm\HOTSYNC.EXE
D:\Hitman Pro\hitmanpro2.exe
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Michiel\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.**********
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.********
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCTVRemote] D:\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [PCLEPCI] D:\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MNCN USB] C:\WINDOWS\System32\ShellExt\mncntray.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [HTpatch] K:\Updates en Programma's\AMD2600\Asrock K7S8X\AGP(113)\AGP\htpatch\htpatch.exe
O4 - HKLM\..\Run: [gcasServ] "D:\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDTray] "D:\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [00ERSRRRNKY] D:\Evidence Exterminator\eraser.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "D:\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111911588059
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Eraser Service (EraserThread) - Unknown owner - D:\Evidence Exterminator\erasrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

Wat er in elk geval gelukt is is dat er nu blanco popups tevoorschijn komen. met 7adpower in de linkerbovenhoek. De module die de advertenties haalt is in elk geval kreupel. Das in wat......

Op http://virusscan.jotti.org/ komt deze log er trouwns schoon uit.....

Edit/ dat hitman pro is trouwens wel erg mooi!
Edit2/ nu met goede (laatste log)

[ Voor 178% gewijzigd door gielius op 05-05-2005 07:08 ]

Acties:

Mike Jarod

Gielius schreef op woensdag 04 mei 2005 @ 22:23:
Op http://virusscan.jotti.org/ komt deze log er trouwns schoon uit.....

Heb je het log daar gescand

Ik zie nog wel een paar gekke dingen staan. Wat heb je trouwens veel in \Run staan

woensdag 4 mei 2005 22:38

Acties:

woensdag 11 mei 2005 15:50

Ja ik heb het log daar gescand..... beetje stom nietwaar.... zie nu dat je die bestanden zelf moet scannen.....

En ik ga even kijken naar wat er allemaal uit dat RUN gebeuren kan worden verwijderd.

Edit/ zag dat ik de verkeerde log gepost had.... nog een keer

die om 22:23 is nu de goede

[ Voor 20% gewijzigd door gielius op 05-05-2005 07:09 ]

Acties:

KappuhH

Ik heb hezelfde probleem... als ik het bestand (dat ik vindt via msconfig-->opstarten... er staat dan bij de schijfletter een kleine 'd:' ipv een hoofdletter 'D:') verwijder is er na 3sec een nieuw bestand aangemaakt... altijd een rare naam en als beschrijving van het bestand: TODO: <File description>
Misschien kunnen jullie wat met dat laatste?

zondag 15 mei 2005 02:31

Acties:

Verwijderd

voor aurora remove ga naar deze website

www.MyPCTuneup.com/aurora

woensdag 18 mei 2005 03:50

Acties:

chux

...

ik had ook last van dit ding, en na het lezen van deze topic hier zag ik het een beetje somber in,
maar ik heb die uninstall tool van hen gebruikt, en volgens mij (knock, knock on wood) ben ik hem echt kwijt. heb geen popup meer gezien, en al meerdere keren weer microsoft anti-spyware gedraait, en hij vindt hem niet meer, terwijl hij ook bij mij steeds opeens weer terug was.
anyway, het lijkt er op dat die uninstall tool van hen wel echt iets doet dus.
mocht het slechts schijn geweest zijn, dan laat ik het wel even weten hier...

donderdag 19 mei 2005 13:53

Acties:

hbsJR

All rounder

goed, jullie hebben al vele dingen geprobeerd en nog geen resultaat?
dit is geen reclame ding maar uninstall je virusscan en installeer tijdelijk panda antivirus titanium 2005, die pakt ook spy-ware. maybe heb je geluk en grijpt ie dat ding.

nog een dingetje, als je een firewall heb draaien probeer dan te kijken wat en wie toegang heeft tot het internet. spyware wilt altijd zijn thuisbasis aanbellen en vaak word het verwijderen makkelijker als je internet toegang weigert voor het ding

en ja er bestaan "eerlijke" spyware bedrijven die je wel een uninstall tool geven, maar dat doen ze meer om hun eigen reet te beschermen. Je bent hun klant dus ze doen alles om je te houden, dus vaak is een uninstall tool handige dekmantel voor meer rommel. Hoeft niet altijd

ik blader even door je hjack log, alles wat hier nog instaat even nakijken of het wel goed is

code:

Logfile of HijackThis v1.99.1
Scan saved at 22:43:24, on 4-5-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\oodag.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe

C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.**********
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.********

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [MNCN USB] C:\WINDOWS\System32\ShellExt\mncntray.exe


Deze stinkt naar spyware.................................
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab

[ Voor 64% gewijzigd door hbsJR op 19-05-2005 14:01 ]

donderdag 19 mei 2005 23:30

Acties:

inXs

known as inXs

Ey gasten, ik heb ook vet last van die jamba pop ups en game sites en dergelijke. Zien jullie hier nog iets vreemds bij staan? Ik namelijk niet meer

code:

Logfile of HijackThis v1.99.1
Scan saved at 11:24:01 PM, on 5/19/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\D-Tools\daemon.exe
C:\program files\valve\steam\steam.exe
C:\WINDOWS\System32\n?tepad.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Logitech\MouseWare\System\Em_exec.exe
C:\WINDOWS\SYSTEM32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hitman Pro\hitmanpro2.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Sysclean\sysclean.com
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Sysclean\sysclean.exe
D:\downloads\hijackthis_199\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

superB

vrijdag 20 mei 2005 12:08

Acties:

shameblaster

BB4E^Cons

code:

Logfile of HijackThis v1.99.1
Scan saved at 12:09:01, on 20-5-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Digital Design Ltd\Installers\MCCINST.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\ltlbod.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\WinZip\WZQKPICK.EXE
c:\windows\system32\bsnlujc.exe
C:\Program Files\NoNameScript\mirc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Sjoerd Peeters\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [bO²ùõÚ)&#8211;²%)ßfÏNb½¾C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\ltlbod.exe
O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\netherlands.exe  -N
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\eliteoev32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ydmsmu] c:\windows\system32\bsnlujc.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1052931270936
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Metric Conversion Calculator Installer - Unknown owner - C:\Program Files\Digital Design Ltd\Metric Conversion Calculator\MCCINST.EXE" /update (file missing)
O23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

JA heb ze ook, ( zie ook mn topic ..

)
Vooral die van jamba met dat vreselijke deuntje van Axel folly van beveryhills Cop

Cons:::BB4E

vrijdag 20 mei 2005 13:44

Acties:

gsteen

@inXs

code:

Logfile of HijackThis v1.99.1
Scan saved at 11:24:01 PM, on 5/19/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\n?tepad.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Sysclean\sysclean.com
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Sysclean\sysclean.exe

De bestanden van bovenstaande running processes zou ik eens door http://virusscan.jotti.org/ gooien.

"In theory, there is no difference between theory and practice. But, in practice, there is."

vrijdag 20 mei 2005 14:04

Acties:

gsteen

@shameblaster

code:

1
2
3

C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\ltlbod.exe
c:\windows\system32\bsnlujc.exe

Scannen op http://virusscan.jotti.org/.

code:

1 2	R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm R3 - Default URLSearchHook is missing

Deze mogen weg.

code:

1	F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Hier zijn meerder topics over te vinden op B&V.

code:

O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [bO²ùõÚ)&#8211;²%)ßfÏNb½¾C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\ltlbod.exe
O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\netherlands.exe  -N
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\eliteoev32.exe
O4 - HKLM\..\Run: [ydmsmu] c:\windows\system32\bsnlujc.exe

Entries fixen met Hijackthis. Voor verwijderen van ISTsvc zijn meerdere topics binnen B&V te vinden.

code:

1	O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

En scannen op http://virusscan.jotti.org/.

Zorg als je dingen gaat fixen met Hijackthis of bestanden wil verwijderen dat je in de veilige modus bent opgestart.

"In theory, there is no difference between theory and practice. But, in practice, there is."

maandag 23 mei 2005 00:33

Acties:

Verwijderd

Dit werkte voor mij (gevonden op Google):

http://www.mypctuneup.com/evaluate.php?b=aurora

maandag 23 mei 2005 14:05

Acties:

Keytje

Ik heb het als volgt opgelost :
op www.noidea.us het progje Nailfix.exe afgehaald en Ewido van van hun site wwwewido.net.
eerst alle bekende tools gebruikt (eerst updaten!), als ad-aware, Spybot, Spy Sweeper, CWShredder,, SpywareGuard, BHODemon.
System Restore uitschakelen.
In safe mode een scan met NAV die BetterInternet heeft verwijderd,
Nog in safe mode Nailfix unzippen en Nailfix.cmd uitvoeren,
Nog in safe mode een full scan met Ewido uitvoeren

Herstart nu de computer in Normal mode en check of c:\WINDOWS\Nail.exe verdwenen is, zoniet run HijackThis, laat dit log door experts nakijken.
Gebruik NIET de tool van MyPCTuneUp, deze verwijdert waarschijnlijk wel Aurora maar stuurt persoonlijke informatie door !

Zet system restore weer aan, doe eens een Windows update en delete temp internet files, prullenbak, temp files… en voortaan beter opletten bij het installeren van software

maandag 23 mei 2005 15:40

Acties:

Verwijderd

Ik heb gisteren de hele dag aan dit Aurora adware programma gewerkt en denk dat ik het nu heb verwijderd.

Ten eerste heb ik McAfee gebruikt maar dit werkte absoluut niet.

Ten tweede heb ik de explorer methode geprobeerd waarmee je dus het explorerproces uitzet en vervolgens alle executables(uit register en Windows mappen) verwijderd. Ik dacht even dat dit werkte maar kreeg later toch weer een pop-up.

Nu heb het anti spyware programma van Windows gedownload van de Windows website. Deze lijkt de klus te hebben geklaard. Wel heb ik daarvoor de systeemherstel functie van Windows uitgezet voordat de bestanden zijn verwijderd.

Misschien dat er nog wel geinfecteerde bestanden zijn maar tot nu toe zijn deze in ieder geval geblokkeerd door het het spyware programma. Dit programma is trouwens laatst als beste anti-spyware programma getest.
Van ander forum:

But !!! Here's how I got did rid of it.
If you use the Morpheus shareware program you have to unistall it and delete its file folder. I found one of the files as being associated with Morpheus. When these peer to peer network programs, they always install a secondary 'ad program'. Go to www.mypctuneup.com/aurora. Click on the 'uninstall' button. make sure all programs and explorer windows are closed. both IE and Windows Explorer (This program attaches directly to explorer). Hit the delete button and wait till finished. Restart the system. Go to your c:\windows directory and see if nail.exe is removed. (I actually went to mypctuneup/aurora twice and ran it) If removed run all your adware and virus scans again. Remove all reminents of aurora. If your comfartable with the registry, run 'regedit and look for 'key files' listed above and delete. This solution only came after about 18 hours of research.

maandag 23 mei 2005 16:04

Acties:

Keytje

MyPCTuneUp is van dezelfde maker als Nail.exe !
Zij stellen dus een tool ter beschikking om een andere tool van hun te verwijderen, in ruil hiervoor moet je wel je antivirus en firewall uitschakelen zodat zij vrij spel krijgen !
Als je dit niet doet wordt Aurora immers NIET van je PC verwijderd.
Zij beweren dat ze geen persoonlijke informatie opvragen, maar daar geloof ik geen woord van.
Lees hier maar eens wat anderen ervan denken
http://netrn.net/spywareb...05/10/got-aurora-nailexe/

dinsdag 24 mei 2005 14:18

Acties:

Verwijderd

Keytje schreef op maandag 23 mei 2005 @ 16:04:
MyPCTuneUp is van dezelfde maker als Nail.exe !
Zij stellen dus een tool ter beschikking om een andere tool van hun te verwijderen, in ruil hiervoor moet je wel je antivirus en firewall uitschakelen zodat zij vrij spel krijgen !
Als je dit niet doet wordt Aurora immers NIET van je PC verwijderd.
Zij beweren dat ze geen persoonlijke informatie opvragen, maar daar geloof ik geen woord van.
Lees hier maar eens wat anderen ervan denken
http://netrn.net/spywareb...05/10/got-aurora-nailexe/

Ja klopt ik heb het verder niet onderzocht maar inderdaad klinkt niet betrouwbaar.

Ik heb een andere redelijk makkelijk manier gevonden op een andere site en deze werkt perfect. Bij mij is het Aurora programma helemaal weg. De beschrijving staat op

http://www.antispywareoff...ive/index.php/t-4956.html

Je moet de eerste aanwijzigingen volgen. dan kun je een heleboel overslaan tot download Killbot
Hierna opnieuw opstarten en mbv hackthis de laatste restjes verwijderen.Simpel gezegd:

1. Schakel MS spyware uit.
2. Open Kladblok. Kopieer de tekst uit de onderstaande box en plak die in een nieuw doocument:

@ECHO OFF
cd %windir%
Nail.exe /FULLREMOVE
sc config SvcProc start= disabled
sc stop SvcProc
sc delete SvcProc
attrib -s -r -h nail.exe
attrib -s -r -h svcproc.exe
del nail.exe
del svcproc.exe
cd %windir%\system32
attrib -s -r -h DrPMon.dll
del DrPMon.dll
exit

Kies Bestand -> Opslaan
Selecteer bij "Opslaan in": Bureaublad
Vul bij "Bestandsnaam" in: remove.bat
Selecteer bij "Opslaan als type": Alle bestanden
Klik op "Opslaan".

(Gebruik het bat-bestandje nog niet, sla het alleen even op op je bureaublad. Straks in veilige modus heb je het nodig.)

3. Download en installeer Ewido: http://download.ewido.net/ewido-setup.exe
Na de installatie start je het programma op. Je zult de melding krijgen dat de database niet aanwezig is. Klik bij die melding op "OK". Ga vervolgens naar "Update" en kies "Begin met updaten". Is het updaten klaar, sluit Ewido dan af (dus nog niet scannen, alleen de updates ophalen).

Download Pocket Killbox: http://www.atribune.org/downloads/KillBox.exe

4. Herstart de pc in veilige modus.
Kies hier eventueel voor uitleg: http://www.virushelp.nl/veilige_modus.htm

5. Scan met HijackThis ("Do a system scan only").

Vink de volgende regels aan:

F2 - REG:system.ini: Shell=Explorer.exe I:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [ikbdcz] i:\windows\system32\sjdrnx.exe
(ikzelf vond dit bestand niet; maakt niet uit)

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

6. Dubbelklik op remove.bat, dat op je bureaublad staat.
Er zal even een dos-venstertje verschijnen en weer verdwijnen. Dat is de bedoeling.

7. Start Ewido. Laat het een volledige systeemscan doen en alles verwijderen wat het vindt.
Aan het einde van de scan krijg je de mogelijkheid een log te bewaren. Bewaar dat log!

8. Start Pocket Killbox door te dubbelklikken op killbox.exe.

Kopieer de volgende vetgedrukte regel en plak die in de box bij "Full Path of File to Delete":

C:\WINDOWS\Nail.exe

Kies de optie: "Delete on reboot".
Kies de optie: "End Explorer Shell While Killing File".
Klik op de rode knop met het witte kruis erin.
Killbox zal aangeven dat het bestand bij reboot zal worden verwijderd.
Ga daarmee akkoord.
Killbox zal vragen of je nu wilt rebooten.
Ga daarmee akkoord.

Je pc wordt nu opnieuw opgestart en het bestand wordt verwijderd.

9. Herstart de PC in normale modus.
10. Je krijgt een foutmelding: foutmelding kan nail.exe niet vinden.
11. Start HiJackThis en verwijder

F2 - REG:system.ini: Shell=Explorer.exe I:\WINDOWS\Nail.exe

Zorg er wel voor dat de programma's die het fixen zouden kunnen tegenhouden of ongedaan kunnen maken, zoals MS AntiSpyware en Solo, zijn uitgeschakeld en bij reboot niet met Windows mee opstarten.

Na het fixen rebooten. Dan zou de regel weg moeten zijn.

donderdag 26 mei 2005 22:08

Acties:

CypherMK

Verwijderd schreef op zondag 15 mei 2005 @ 02:31:
voor aurora remove ga naar deze website

www.MyPCTuneup.com/aurora

Dit heb ik een paar dagen geleden uitgevoerd, en het werkt!!

Deze link moet je hebben:
http://www.mypctuneup.com/evaluate.php

[ Voor 13% gewijzigd door CypherMK op 26-05-2005 22:09 ]

zondag 29 mei 2005 00:51

Acties:

MAX3400

XBL: OctagonQontrol

De laastste versie van WebRoot Spy Sweeper werkt ook; eventueel maak je een lege tekstfile aan met de naam nail.txt, daarna op Read-Only zetten en dan hernoemen naar nail.exe en die kopieer je naar je c:\windows\ directory.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

maandag 30 mei 2005 15:27

Acties:

Martinique

hoe werkt zo'n hijack this log aanmaken, kan iemand dat uitleggen

maandag 30 mei 2005 15:29

Acties:

maandag 30 mei 2005 15:30

Ondertitel

Martinique schreef op maandag 30 mei 2005 @ 15:27:
hoe werkt zo'n hijack this log aanmaken, kan iemand dat uitleggen

Als je nou eerst zelf eens wat probeert ipv hier gewoon een vraag te stellen, zou dat geen idee zijn

[google=hijackthis] biedt ongetwijfeld wel een link naar het programma HijackThis. Experimenteer eens een beetje met het programma en je zult erachter komen hoe je die log moet maken.

Signature

Acties:

MAX3400

XBL: OctagonQontrol

Martinique schreef op maandag 30 mei 2005 @ 15:27:
hoe werkt zo'n hijack this log aanmaken, kan iemand dat uitleggen

HijackThis draaien, log aanklikken (2 knoppie ofzo) en dan posten op GoT?

Voor de mensen die willen snuffelen; installeer tijdelijk RegMon (www.sysinternals.com) en verbaas je over de ranzige reg-aanspraak van dit stukkie Adware.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

maandag 30 mei 2005 15:48

Acties:

Martinique

***

[ Voor 101% gewijzigd door Martinique op 21-08-2009 20:24 ]

maandag 30 mei 2005 16:02

Acties:

MAX3400

XBL: OctagonQontrol

Martinique schreef op maandag 30 mei 2005 @ 15:48:
Weet iemand wat hier fout aan is?

Regel 38, nail.exe => oftewel je hebt ook last van dit stukkie adware.

*edit*
RegMon wees trouwens uit dat Microsoft Anti-spyware helaas meewerkt aan het bijhouden van de nail.exe-registry entry. Wil je het weghalen; schakel dan Microsoft ff uit.
*end edit*

[ Voor 33% gewijzigd door MAX3400 op 30-05-2005 16:03 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

maandag 30 mei 2005 16:16

Acties:

maandag 30 mei 2005 16:33

Ondertitel

code:

1	O4 - HKLM\..\Run: [rjviugt] c:\windows\system32\hhcour.exe

Google biedt niets op deze filename, scan het eens op Jotti's online malware scan om te kijken of het (en wat voor) malware is.

code:

1	F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Dit bestand is de grootste schuldige van het Aurora probleem.

Signature

Acties:

Martinique

oke thanks

vrijdag 15 juli 2005 07:36

Acties:

Die nail.exe kan misschien wel de schuldige zijn maar het probleem zit hem volgens mij dieper...

Ik heb mijn system restore afgezet, de dllcache map leeggemaakt en de prefetch...

In theorie is dat voldoende om ervoor te zorgen dat die smerige executables zich niet meer kunnen herstellen. Maar het probleem is als je na dit uitgevoerd te hebben, het process 'rarebestandsnaam.exe' probeert te killen in safe mode in je taskmanager, het proces onmiddellijk terugkomt onder een andere naam, het zet zich dan bij't afloggen van de user weer in de startup , alweer onder een andere naam. Ook bij de aministrator account.

Ik heb me hier ondertussen al doorgescanned met alle in dit toppic genoemde tools, maar dit is nutteloos. Iedere keer als pestpatrol , ms anti spy of spysweeper bijvoorbeeld een file deleten , komt die terug onder een andere naam , net zoals je ze manueel verwijderd met taskmanager...

Bestaat er ondertussen al een remove tool voor dit , iemand enig idee ?
Gelukkig staat dit niet geinstalleerd op mijn pc , maar van iemand die klaagde dat zijn pc nogal traag was

, maar ik wil toch van dit smeig stukje crap vanaf...

zaterdag 16 juli 2005 15:37

Acties:

Verwijderd

Inderdaad .. ik heb hier ook ooit last van gehad en volgensmij ook weer weg gekregen met een remove tool .. deze verwijderde wat dingen in veilige modus .. http://users.pandora.be/bluepatchy/nailfix.exe linkjuh

zaterdag 16 juli 2005 15:38

Acties:

Stewie!

Keen must die!

Zonder veilige modus ofzo te gebruiken heeft ewido samen met MS anti spyware heel aurora weten te wissen. Gewoon beide een full scan laten doen, om en om, 3x achter elkaar en toen was alles weg

maandag 18 juli 2005 11:20

Acties:

Verwijderd

Probleem is dat zodra je het bestand verwijderd het hernoemd word in een andere naam.
Dit is een kwestie van seconden.
Niet nail.exe is het probleem maar het bestand met die rare lettercombinatie.
Wat ik gedaan heb is is spybot search and destroy.
Opstarten in consolemodus en het bestand verwijderd. registry aangepast en spybot eroverheen gelaten. Vervolgens kun je in spybot je internet instellingen locken zodat deze niet meer gewijzigd kunnen worden. Grisoft AVG geinstalleerd en beide nogmaals in safemode uitgevoerd.
Wat vaak wil helpen is de internetverbinding loskoppelen, zodat hij geen data kan versturen en ontvangen. Dit programma valt onder trojans, passwordstealer. Die nail.exe is mischien een dummybestand dat gegenereerd wordt door het virus. (althans in mijn optiek is het gewoon een vervelend virus, c:\windows\system32\ewnfzb.exe)

Het is te verwijderen maar vereist ontieglijk veel geduld en vastberadenheid.

Greetzzz

maandag 18 juli 2005 11:26

Acties:

Verwijderd

Ow jah, ff vergeten te melden, zorg ervoor dat de autoherstel uitgeschakeld staat voordat je hieraan begint.

Laterzzz

maandag 18 juli 2005 12:05

Acties:

RMU

Nail.exe kun je weg krijgen op de volgende manier (werkte bij mij)

1. Download Nailfix
2. Download ewido security suite
3. Installeer ewido security suite. (ook even updaten enzo

)
4. start op in veilige modus
5. draai Nailfix
6. scan met ewido security suite
7. verwijder alles met nail.exe erin met hijackthis
8. reset PC in de "normale" modus.
9. Nail.exe weg

Volgens enkele websites op internet was ewido security suite de enigste die nail.exe fatsoenlijk weg kreeg...

[ Voor 17% gewijzigd door RMU op 18-07-2005 12:09 ]

maandag 18 juli 2005 12:17

Acties:

Autoherstel stond inderdaad af , en volgende tools heb ik gerunned :

Spybot
AdawareSE
Pestpatrol
Microsoft anti virus
spy sweeper
ewido
nailfix
enz...

Manueel , de nail.exe aangemaakt met een txt file die ik hernoemd heb naar.exe en read only gezet...

Alle scans meerdere keren laten lopen , onder de useraccounts en in safe mode...
De Prefetch directory leeggemaakt en de dllcache. Hierdoor kan een process zich bij het killen niet terug activeren. Echter , deze spyware is slimmer, bij het killen van het process , blijkt het zich onmiddellijk terug in de laden onder een andere naam en zet het zich overal terug in ( prefetch enz.. )

Ik heb tot hiertoe alle spyware al kunnen verwijderen desnoods manueel , en ook deze gebruikt voor een stuk hetzelfde principe met de prefetch enzo , doch , dat automatisch hernoemen er reproduceren van het proces onder een andere naam , blijkt mij problemen te geven
Misschien heb ik ondertussen een geavanceerde versie, maar er moet ergens een file of serie van files zijn , die dat process terug activeren, misschien is explorer.exe besmet ofzo ... ik weet het echt niet meer

Ik kan natuurlijk formatteren ook

maandag 18 juli 2005 13:26

Acties:

chromeeh

the Gnome

@TS:
Gooi deze regel er eens uit:

code:

1	O4 - HKLM\..\Run: [iTunesHelper] C:\Programma's\iTunes\iTunesHelper.exe

Waarschijnlijk is dit de boosdoener, wel eens eerder tegen gekomen

"Some day, I hope to find the nuggets on a chicken."

woensdag 20 juli 2005 12:16

Acties:

-GF-Annihilator schreef op maandag 18 juli 2005 @ 12:17:
Autoherstel stond inderdaad af , en volgende tools heb ik gerunned :

Spybot
AdawareSE
Pestpatrol
Microsoft anti virus
spy sweeper
ewido
nailfix
enz...

Manueel , de nail.exe aangemaakt met een txt file die ik hernoemd heb naar.exe en read only gezet...

Alle scans meerdere keren laten lopen , onder de useraccounts en in safe mode...
De Prefetch directory leeggemaakt en de dllcache. Hierdoor kan een process zich bij het killen niet terug activeren. Echter , deze spyware is slimmer, bij het killen van het process , blijkt het zich onmiddellijk terug in de laden onder een andere naam en zet het zich overal terug in ( prefetch enz.. )

Ik heb tot hiertoe alle spyware al kunnen verwijderen desnoods manueel , en ook deze gebruikt voor een stuk hetzelfde principe met de prefetch enzo , doch , dat automatisch hernoemen er reproduceren van het proces onder een andere naam , blijkt mij problemen te geven
Misschien heb ik ondertussen een geavanceerde versie, maar er moet ergens een file of serie van files zijn , die dat process terug activeren, misschien is explorer.exe besmet ofzo ... ik weet het echt niet meer

Ik kan natuurlijk formatteren ook

Kleine kick

, niemand met een 100 % werkende tool ?

woensdag 20 juli 2005 14:02

Acties:

woensdag 20 juli 2005 14:06

Ondertitel

Vlak boven jouw methode wordt [rml]RMU in "[ adware]Aurora popups, normale middelen ..."[/rml] genoemd, misschien een idee om deze uit te proberen?

Signature

Acties:

woensdag 20 juli 2005 15:39

Wat geeft je hijackthis log aan (in Safe mode)?
Heb je ook al je temp files al eens gewist ?

Acties:

Temp files zijn verwijderd bij alle profielen.

Ik zal deze avond Hijackthis es runnen, ik zit nu op het werk...

pasta schreef op woensdag 20 juli 2005 @ 14:02:
Vlak boven jouw methode wordt [rml]RMU in "[ adware]Aurora popups, normale middelen ..."[/rml] genoemd, misschien een idee om deze uit te proberen?

Reeds geprobeerd , geen oplossing, volgens mij zit die pc met een nieuwe versie van deze spyware

[ Voor 65% gewijzigd door MPAnnihilator op 20-07-2005 15:41 ]