Problem wegen TR/ClaLdr.Dummy.C

#1 hi leutz,
habe seit gestern ein problem kann keine Windows Programme und Dateien mehr öffnen(Explorer und eigene dateien Arbeitsplatz usw...)beim versuch es zu öffnen flakkerts kurz dann verschwinden alle Icons vom Desktop und erscheinen wieder las ob nix gewesen wäre aber das Proramm was ich gewählt öffnent sich nicht :-(

Habe auch einen Trojaner auf der Platte C TR/ClaLdr.Dummy.C
Kann ihn aber nicht Löschen wegen den oben genannten Gründen wer kann mir helfen???

#2 Gehe in den abgesicherten Modus, dort muesste es eigentlich funktionieren.
(Beim Hochfahren F8 druecken)
Dort dann einen Virus-Scann versuchen.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 @velerius

1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich )
2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich )
3,)Scanne deinen Rechner.
4.)Freuen.

MFG
DAFRA


P.s.
Wenn er dann immer noch da ist, poste mal ein Hijackthis Log.
Unten steht wies geht.

#4 http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html
nach dem entfernen der Trojaner im abgesicherten Modus, lade webwasher und saeubere den IE
temp-internet files leeren (offline inhalte auch)...notfalls unter <InternetOptionen<


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hi Ihr,

bin neu hier und hab "natürlich " ein Prob, Smily:

hab diesen dämlichen Trojaner TR/ClaLdr.Dummy.C

folgende Geschichte:

mein Antivir ist aufm neuesten Stand, findet aber beim Scan keinen Trojaner, wenn ich jedoch im I-net bin, kommts bei einigen Seiten dazu, dass mein Antivir anschlägt und mir erzählt, die datei soundso sei ein Trojaner, was ich mit "Löschen der Datei" beantwortet habe (so an die 20 mal schon). Hab das gemacht, was in diesem Forum dazu geschrieben wurde (Systemwdhstllg weg, Temp-inetfiles weg, im abgesicherten Modus VirScan, wobei der bei mir ja beim Scan nix findet ?!?) und trotzdem kommts wieder!!

Hier mal mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 11:44:20, on 18.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Antivir\AVGUARD.EXE
C:\Programme\Antivir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\NETGEAR\Utility\WG511WLU.exe
C:\Programme\Antivir\AVGNT.EXE
C:\WINDOWS\autoclk.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\temp2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [autoclk] autoclk.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA52C46A-E1E2-4B51-8CB5-BC82899A149D}: NameServer = 217.237.151.161 217.237.151.33

Can you help me please?

Viiiiieeeeelen Dank im Voraus

Charlie2000, der dieses Forum klasse findet!!!!!!!!

PS: Hab zwar a bissl ahnung vom PC, aber bitte nicht zuviel verlangen ;-)

#6 Hallo @Charlie2000

#Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen..poste das Ergebnis
http://virusscan.jotti.dhs.org/
#Ueberpruefe folgende exe:
<2kadiras.exe
<C:\windows\autoclk.exe....Diagnose: Trojan win32.KillReg.d (?)


#fixe mit dem HijackThis,ABER NUR falls die exe Malware sind , dann PC neustarten:
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe--««[ AT-AR215 USB DSL Modem, ist für die Desktopverknüpfung "Verbindung zu AR-215" zuständig. ???????????]
O4 - HKCU\..\Run: [autoclk] autoclk.exe

neustarten

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

Loesche alle TemporaryInternet Files (nicht die Ordner selbst loeschen)
zum Beispiel: TR/ClaLdr.Dummy.C
C:\Documents and Settings\Local Settings\Temporary Internet Files\Content.IE5\SLQN0PAN

#a² free (scannen)
http://www.emsisoft.de/de/software/free/

#Deaktiviere deinen Virenscanner und lade die 15-Tage -Trialversion vom eScan Scanne im abgesicherten Modus (!)
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp
klicke auf: awn2k3e.exe

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Alaso nach Jotti's malware scan 2.42 , 2 kadiras ist clean,

autoclk:

F-Prot Antivirus destructive program (0.46 seconds taken)
mks_vir Trojan.Klacc.B (2.52 seconds taken)

Ich mach jetzt den Rest, dann post ich nochmal

DAAAANKE

#8 http://www.f-prot.com/download/corporate/trial/
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Sodele, jetzt mein neues LOg, nachdem ich das oben genannte gemacht hab:

Logfile of HijackThis v1.98.2
Scan saved at 15:02:57, on 18.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Antivir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\escan\TRAYSSER.EXE
D:\escan\avpm.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\NETGEAR\Utility\WG511WLU.exe
D:\escan\AVPMWrap.EXE
D:\escan\MAILDISP.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
D:\escan\MAILSCAN.EXE
D:\escan\SPOOLER.EXE
D:\escan\kavss.exe
C:\WINDOWS\System32\wuauclt.exe
D:\escan\AvpM.exe
C:\temp2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\escan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] D:\escan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] D:\escan\AVPMWrap.EXE
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing



PS: die Meldung bei einigen internetseiten kommt noch immer!

#10 Charlie2000

Das Log ist sauber

Mache noch diesen Onlinescann.
http://www.f-prot.com/download/corporate/trial/

Start<Ausfuehren<%temp%

Leere die TemporaryInternet Files (nicht den Ordner selbst loeschen)

zum Beispiel:

C:\Documents and Settings\Local Settings\Temporary Internet Files\Content.IE5\SLQN0PAN

playup21[1].jar
ArchiveType: ZIP
--> Dummy.class
[DETECTION] The Trojan horse TR/ClaLdr.Dummy.C

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 bei f-prot kommt bei autoclk.exe wieder: destructive file (habs gestern durch hijack gefixt)

Vielleicht ne dumme Frage, aber kann ich die datei nicht einfach löschen? für was ist die gut??

Danke

#12 Hallo @Charlie2000

Das habe ich gefunden:

Filename autoclk.exe is a part of Windows utility Autoclik. This program allows you to perform all mouse activity without clicking the mouse.

"Autoclik is has Windows utility that eliminates the need for clicking. This program allows you to perform all mouse activity with absolutely No clicking. Repetitive This program could Be beneficial for anyone who suffers from strain injury (eg. Carpal Tunnel Syndrome) gold anyone who has difficulty using to their hands. Autoclik supports both left and right mouse short props. Six different short prop configurations are allowed. Two Different modes of operation are supported. Preferences edge Be set such have dwell times and finely hiring. The Control Small is used have year entry not for all options. It is our solitary recommendation to practice autoclik one. The program may seem awkward At first, goal with some practice it becomes has very useful utility."

A very long winded way of saying you only need to click once! However, this file is flagged as a Trojan by Trend PC Cilln 2003 - is this what you used to find it? - so i'd say the best thing to do is go here -
http://www.kaspersky.com/remoteviruschk.html
__________________________________________________________________________

Allerdings duerfte die exe nicht im Autostart sein...es gibt viele Backdoors , welche Namen von korrekten Anwendungen verwenden.
Ich wuerde es loeschen....

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Vielen Dank an Dich, ich lösch das Ding jetzt mal, wird schon nix passieren!

Nochmals THXXXXXXX