Problem wegen TR/ClaLdr.Dummy.C

#0
04.05.2004, 22:34
...neu hier

Beiträge: 1
#1 hi leutz,
habe seit gestern ein problem kann keine Windows Programme und Dateien mehr öffnen(Explorer und eigene dateien Arbeitsplatz usw...)beim versuch es zu öffnen flakkerts kurz dann verschwinden alle Icons vom Desktop und erscheinen wieder las ob nix gewesen wäre aber das Proramm was ich gewählt öffnent sich nicht :-(

Habe auch einen Trojaner auf der Platte C TR/ClaLdr.Dummy.C
Kann ihn aber nicht Löschen wegen den oben genannten Gründen wer kann mir helfen???
Seitenanfang Seitenende
05.05.2004, 10:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Gehe in den abgesicherten Modus, dort muesste es eigentlich funktionieren.
(Beim Hochfahren F8 druecken)
Dort dann einen Virus-Scann versuchen.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.05.2004, 14:15
Member
Avatar Dafra

Beiträge: 1122
#3 @velerius

1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich )
2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich )
3,)Scanne deinen Rechner.
4.)Freuen.

MFG
DAFRA


P.s.
Wenn er dann immer noch da ist, poste mal ein Hijackthis Log.
Unten steht wies geht.
Seitenanfang Seitenende
14.05.2004, 15:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html
nach dem entfernen der Trojaner im abgesicherten Modus, lade webwasher und saeubere den IE
temp-internet files leeren (offline inhalte auch)...notfalls unter <InternetOptionen<


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2004, 11:56
Member

Beiträge: 14
#5 Hi Ihr,

bin neu hier und hab "natürlich " ein Prob, Smily:

hab diesen dämlichen Trojaner TR/ClaLdr.Dummy.C

folgende Geschichte:

mein Antivir ist aufm neuesten Stand, findet aber beim Scan keinen Trojaner, wenn ich jedoch im I-net bin, kommts bei einigen Seiten dazu, dass mein Antivir anschlägt und mir erzählt, die datei soundso sei ein Trojaner, was ich mit "Löschen der Datei" beantwortet habe (so an die 20 mal schon). Hab das gemacht, was in diesem Forum dazu geschrieben wurde (Systemwdhstllg weg, Temp-inetfiles weg, im abgesicherten Modus VirScan, wobei der bei mir ja beim Scan nix findet ?!?) und trotzdem kommts wieder!!

Hier mal mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 11:44:20, on 18.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Antivir\AVGUARD.EXE
C:\Programme\Antivir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\NETGEAR\Utility\WG511WLU.exe
C:\Programme\Antivir\AVGNT.EXE
C:\WINDOWS\autoclk.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\temp2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [autoclk] autoclk.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA52C46A-E1E2-4B51-8CB5-BC82899A149D}: NameServer = 217.237.151.161 217.237.151.33

Can you help me please?

Viiiiieeeeelen Dank im Voraus

Charlie2000, der dieses Forum klasse findet!!!!!!!!

PS: Hab zwar a bissl ahnung vom PC, aber bitte nicht zuviel verlangen ;-)
Seitenanfang Seitenende
18.10.2004, 12:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo @Charlie2000

#Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen..poste das Ergebnis
http://virusscan.jotti.dhs.org/
#Ueberpruefe folgende exe:
<2kadiras.exe
<C:\windows\autoclk.exe....Diagnose: Trojan win32.KillReg.d (?)


#fixe mit dem HijackThis,ABER NUR falls die exe Malware sind , dann PC neustarten:
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe--««[ AT-AR215 USB DSL Modem, ist für die Desktopverknüpfung "Verbindung zu AR-215" zuständig. ???????????]
O4 - HKCU\..\Run: [autoclk] autoclk.exe

neustarten

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

Loesche alle TemporaryInternet Files (nicht die Ordner selbst loeschen)

zum Beispiel: TR/ClaLdr.Dummy.C
C:\Documents and Settings\Local Settings\Temporary Internet Files\Content.IE5\SLQN0PAN

#a² free (scannen)
http://www.emsisoft.de/de/software/free/

#Deaktiviere deinen Virenscanner und lade die 15-Tage -Trialversion vom eScan Scanne im abgesicherten Modus (!)
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp
klicke auf: awn2k3e.exe

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.10.2004 um 12:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.10.2004, 12:28
Member

Beiträge: 14
#7 Alaso nach Jotti's malware scan 2.42 , 2 kadiras ist clean,

autoclk:

F-Prot Antivirus destructive program (0.46 seconds taken)
mks_vir Trojan.Klacc.B (2.52 seconds taken)

Ich mach jetzt den Rest, dann post ich nochmal

DAAAANKE
Dieser Beitrag wurde am 18.10.2004 um 12:29 Uhr von Charlie2000 editiert.
Seitenanfang Seitenende
18.10.2004, 12:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 http://www.f-prot.com/download/corporate/trial/
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.10.2004 um 12:49 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.10.2004, 15:05
Member

Beiträge: 14
#9 Sodele, jetzt mein neues LOg, nachdem ich das oben genannte gemacht hab:

Logfile of HijackThis v1.98.2
Scan saved at 15:02:57, on 18.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Antivir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\escan\TRAYSSER.EXE
D:\escan\avpm.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\NETGEAR\Utility\WG511WLU.exe
D:\escan\AVPMWrap.EXE
D:\escan\MAILDISP.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
D:\escan\MAILSCAN.EXE
D:\escan\SPOOLER.EXE
D:\escan\kavss.exe
C:\WINDOWS\System32\wuauclt.exe
D:\escan\AvpM.exe
C:\temp2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\escan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] D:\escan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] D:\escan\AVPMWrap.EXE
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing



PS: die Meldung bei einigen internetseiten kommt noch immer!
Dieser Beitrag wurde am 18.10.2004 um 15:24 Uhr von Charlie2000 editiert.
Seitenanfang Seitenende
19.10.2004, 00:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Charlie2000

Das Log ist sauber

Mache noch diesen Onlinescann.
http://www.f-prot.com/download/corporate/trial/

Start<Ausfuehren<%temp%

Leere die TemporaryInternet Files (nicht den Ordner selbst loeschen)

zum Beispiel:

C:\Documents and Settings\Local Settings\Temporary Internet Files\Content.IE5\SLQN0PAN

playup21[1].jar
ArchiveType: ZIP
--> Dummy.class
[DETECTION] The Trojan horse TR/ClaLdr.Dummy.C

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.10.2004 um 00:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.10.2004, 16:25
Member

Beiträge: 14
#11 bei f-prot kommt bei autoclk.exe wieder: destructive file (habs gestern durch hijack gefixt)

Vielleicht ne dumme Frage, aber kann ich die datei nicht einfach löschen? für was ist die gut??

Danke
Dieser Beitrag wurde am 19.10.2004 um 16:27 Uhr von Charlie2000 editiert.
Seitenanfang Seitenende
19.10.2004, 16:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo @Charlie2000

Das habe ich gefunden:

Filename autoclk.exe is a part of Windows utility Autoclik. This program allows you to perform all mouse activity without clicking the mouse.

"Autoclik is has Windows utility that eliminates the need for clicking. This program allows you to perform all mouse activity with absolutely No clicking. Repetitive This program could Be beneficial for anyone who suffers from strain injury (eg. Carpal Tunnel Syndrome) gold anyone who has difficulty using to their hands. Autoclik supports both left and right mouse short props. Six different short prop configurations are allowed. Two Different modes of operation are supported. Preferences edge Be set such have dwell times and finely hiring. The Control Small is used have year entry not for all options. It is our solitary recommendation to practice autoclik one. The program may seem awkward At first, goal with some practice it becomes has very useful utility."

A very long winded way of saying you only need to click once! However, this file is flagged as a Trojan by Trend PC Cilln 2003 - is this what you used to find it? - so i'd say the best thing to do is go here -
http://www.kaspersky.com/remoteviruschk.html
__________________________________________________________________________

Allerdings duerfte die exe nicht im Autostart sein...es gibt viele Backdoors , welche Namen von korrekten Anwendungen verwenden.
Ich wuerde es loeschen.... :p

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.10.2004 um 16:53 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.10.2004, 21:25
Member

Beiträge: 14
#13 Vielen Dank an Dich, ich lösch das Ding jetzt mal, wird schon nix passieren!

Nochmals THXXXXXXX
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: