autoclk.exe von trojan.win32.klacc.b befallen

#16 Hallo,
erst schon mal vielen Dank für die schnellen Antworten - hier mein neuer scan:

Logfile of HijackThis v1.97.7
Scan saved at 13:24:58, on 31.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Ulead Systems\Ulead Photo Express 2\CalCheck.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\unzipped\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://prdownloads.sourceforge.net/ghostscript/gs800w32.exe?download
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [PE2CKFNT] C:\Programme\Ulead Systems\Ulead Photo Express 2\ChkFont.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Express Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2\CalCheck.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38126.4884722222

----------------
Sollte ich dann doch noch ein Windows-Update machen? Habe jetzt erstmal die von Sabina genannten Tips gemacht - nur kam merkwürdigerweise beim Starten der mwav.exe eine Meldung, dass die Datei älter wäre als 30 Tage - aber er hat trotzdem ein Log-File angelegt hmmm, hoffe, dass das nun alles so richtig war..
na ja, zummindest läuft mein gutes Stück noch.... ohne sich selbständig zu machen
Gruß
Peggy

#17 fixe mit dem HijackThis:....es sei denn, du willst diese Seite
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://prdownloads.sourceforge.net/ghostscript/gs800w32.exe?download


neustarten

http://www.ish.de/service/internet/technikinfo/cache-leeren.html
saeubere den IE und stelle unter InternetOptionen die Startseite deiner Wahl ein.

#Dann scanne mit AdAware.(free) ...updaten vor dem Scannen !
http://www.lavasoft.de/support/download/
und Search&Destroy
http://beam.to/spybotsd


#Lade den RegCleaner (kannst du in Deutsch einstellen)
http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm

1. unter Tools<Registry saeubern< alles durchfuehren< saeuberst du den Comp.
2. Unter <Autostart< hakst du die Programme an, die nichts im Autostart zu suchen haben und startest neu (schreiben sich bei Benutzung wieder ein...kann man gut mit dem RegCleaner kontrollieren)
z.B. der Nero .
Im Autostart sollten nur der Virenscanner, Firewall, Modem und Trojaner- check sein, eventuell der Drucker( kann man aber auch rausnehmen)
Die Tools "spionieren nur unnoetig ins Netz"

Lade den Firefox (hijackerfrei) als Zweit und -SurfBrowser
http://firebird.stw.uni-duisburg.de/windows.php


Was hat denn die mwav.exe angezeigt ?
http://www.mwti.net/antivirus/free_utilities.asp
---------------------------------------
Mit der neuen Startseite poste dein Log noch einmaL.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Hallo,
so, habe alles "brav" gemacht allerdings beim löschen war ich teilweise unsicher. So ist zum Beispiel die Soundman.exe noch drin und "DSLMON.lnk = ?" und "Exif Launcher.lnk = ?" (was ist das?) kann ich diese auch bedenkenlos herausnehmen? Dann wundert mich, dass immer noch "AcroIEHelper.dll" auftaucht, hatte Acrobat auch herausgenommen.
Dann noch ein Frage: ich bin ja immer mit dem AOL-Browser im Netz, sollte ich dann doch besser mit Mozilla browsen? IE benutze ich eigentlich gar nicht.
Hier mein letztes Log-File:

Logfile of HijackThis v1.97.7
Scan saved at 21:28:00, on 31.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\unzipped\hijackthis1977\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Exif Launcher.lnk = ?
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38126.4884722222
---------------------------
Dann hier mal die Auflistung vom mwav.log:

Mon May 31 12:06:30 2004 => eScan AntiVirus Toolkit Utility.
Mon May 31 12:06:30 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Mon May 31 12:06:30 2004 => **********************************************************
Mon May 31 12:06:30 2004 => Version 4.2.2
Mon May 31 12:06:30 2004 => Log File: C:\DOKUME~1\PG\LOKALE~1\Temp\mwav.log
Mon May 31 12:06:30 2004 => Latest Date of files inside MWAV: 31 May 2004 06:04:54.
Mon May 31 12:06:32 2004 => AV Library Loaded...
Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\kavss.exe
Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\Getvlist.exe
Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\kavss.dll
Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\kavssdi.dll
Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\kavssi.dll
Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\kavvlg.dll
Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\msvlclnt.dll
Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\ipc.dll
Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\main.avi
Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\virus.avi
Mon May 31 12:06:32 2004 => Virus Database Date: 2004/05/31
Mon May 31 12:06:32 2004 => Virus Database Count: 93793
-------------------
die Log-Datei wurde erstellt beim öffner der zip-Datei - sonst passierte nichts weiter, keine Meldung oder so (bis auf den Hinweis die Version wäre abgelaufen, hmm naja)
Ich bin schon immer glücklich, wenn nach einem Neustart alles "normal" aussieht - als wenn man nix anderes zu tun hätte als am PC "herumzubasteln". Um so erfreuter und dankbarer bin ich über Eure Hilfe - mal ein ganz dickes Lob und Dankeschön!!
Was mich wundert, dass dieser Trojaner in keiner Datenbank auftaucht.
Bin beim suchen ja auch nur zufällig auf diese Seite gestoßen - somit auch dem ersten Poster dankbar, dass er den Namen so schön in den Titel gestellt hat. Das hat dann die Suchmachine ausgespuckt.... Ansonsten findet man nichts im Netz darüber. Schade, wenn ich Ahnung hätte, dann hätte ich mir dieses Ding mal genauer angesehen (die exe) aber die Hyroglyphen hätten mir eh' nichts gesagt. Naja, nu isse gelöscht.
schöne Grüße
Peggy

#19 Hallo zusammen,

da nun doch einige von Euch mein Posting genutzt haben und offensichtlich auch für sich selbst gute Lösungen gefunden haben, will ich im folgenden mein Hijack-Logfile posten.
Allerdings muß ich sagen, daß mir viele der Lösungsvorschläge SEHR technisch vorkamen. Ich bin mir nicht sicher, ob ich das alles so umsetzen könnte, wie es beschrieben ist.
Ich bitte Euch darum, Euch mal mein Logfile anzusehen, vielleicht könnt Ihr ja auf meinem Rechner was entdecken,w as mir bisher entgangen ist. Der Virenscanner ist still, die Firewall meldet nichts auffälliges und auch S&D 1.3 hat keine verdächtigen Einträge geliefert.
Dank an alle im Voraus, die sich die Mühe machen und mir helfen!!!

Jens


Logfile of HijackThis v1.97.7
Scan saved at 17:36:05, on 01.06.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\DELL\AccessDirect\dadapp.exe
C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
C:\WINNT\loadqm.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\System32\JupitCo.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\PROGRA~1\NETSCAPE\NETSCA~1\NETSCP.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Europe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.20.1.2:80
O1 - Hosts: 172.20.7.2 rberpsv1
O1 - Hosts: 172.20.7.2 rberpsv1.network.local
O1 - Hosts: 172.20.7.4 rberpsv2
O1 - Hosts: 172.20.7.4 rberpsv2.network.local
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DadApp] C:\Programme\DELL\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCA~1\NETSCP.EXE" -turbo
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A3B20E7-4E99-4044-9758-A1368566D2DE}: NameServer = 172.20.0.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{4A3B20E7-4E99-4044-9758-A1368566D2DE}: NameServer = 172.20.0.9

#20 Gut das bei dir "Thementarter" steht, sonst haette ich dein erstes Posting nicht gefunden!

Und: Ja, du kannst die Datei loeschen, denn die ganze Datei ist dieser Virus.
__________
MfG Ralf
SEO-Spam Hunter