"akl.exe" Was ist das?

#1 Heute zeigt meine Firewall, dass sich ein Programm namens "akl.exe" ins Interent einwählen will. Aber ich habe dieses Programm nicht installiert. Ich glaube es ist ein Virus. Bitte hilft mir! Wie kann ich es wieder entfernen?

Das Programm erscheint immer wenn sich der "Common Client User Session" ins Internet einwählen will.

#2 Hallo, lade dir das Tool AdAware, Spybot und CWShredder und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware, Spybot und CWShredder laden. Anschließend starte dein Antivirenprogramm.
Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte
das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten.

Rolf

#3 Logfile of HijackThis v1.99.1
Scan saved at 22:50:26, on 30.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Atilla\Desktop\Anti-Virus\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109770416312
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8D1D997-31D4-491E-A7B1-21A2487CBE47}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

#4 O17 - HKLM\System\CCS\Services\Tcpip\..\{B8D1D997-31D4-491E-A7B1-21A2487CBE47}: NameServer = 212.7.148.65 212.7.148.97

Diesen Eintrag bitte prüfen. Wenn er unbekannt ist dann mit HijackThis fixen.

Du kannst aber auch deine Logfile hier eingeben und auswerten lassen
http://www.hijackthis.de/

#5 Was das ist, ist mir bekannt. Aber das Prog akl.exe existiert immer noch.

Ich habe es schon mit Adaware und Spybot versucht, aber keine konnte es beseitigen.

#6 Ein bisschen Googlen hilft da!

akl.exe = Spyware.Ardakey.B (Symantec)
Spyware.Ardakey.B has the following functionality:
Keystroke logging. (also vorsorglich schon mal von einem unverseuchten Rechner aus alle Passworte ändern)
Log transferring via email.
Log transferring via FTP.
Hiding and Unhiding its tray icon using the Ctrl+Alt+Del+H key combination.

Beschreibung und Entfernung
http://securityresponse.symantec.com/avcenter/venc/data/spyware.ardakey.b.html

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#7 In dieser Seite steht:

Zitat

Adds the value:

"Ardamax Keylogger" = "%ProgramFiles%\Ardamax Keylogger\akl.exe"

Das Problem ist aber, dass ich die akl.exe garnicht auf meinem PC habe. Ich habe es gesucht jedoch nichts gefunden.

#8 Versucht denn die akl.exe noch immer sich ins Netz einzuwählen?

Deine Logfile ist sauber.

#9 Also so sieht das aus:


Ich habe das Prog geblockt damit es sich nicht mehr einwählen kann. Aber ich finde die Datei "akl.exe" nicht auf meinem PC.

#10 Dann probiere es doch einmal mit der Anzeige aller Dateien (oder hast Du das schon versucht?)

Melde Dich als Admin an,
Win Explorer öffnen => Extras => Ordneroptionen => Ansicht
Dort bei "Geschützte und Systemdateien verbergen" den Haken entfernen und "Alle Dateien anzeigen" markieren.
Dann benutze die Suchfunktion, um die Datei zu finden.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#11 Habe ich gemacht, aber trotzdem nichts gefunden.

Auffällig ist jedoch das die "akl.exe" sich ins Internet einwählen will, wenn der "Common Client User Session" sich ins Internet einwählt.

#12 Merkwürdig! Denn Dein Log ist, wie Rolfs schon gepostet hat, sauber!
Da hilft wohl nur noch die "Holzhammer-Methode".

eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

Erstelle einen Ordner c:\bases
das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern)

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten)

Das Programm mit "mwav.exe"(oder: "mwavscan.com") starten. Überall die Häkchen setzen bei:
All Files, Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories
=> und dann "Scan" klicken.
Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch