autoclk.exe von trojan.win32.klacc.b befallen |
||
---|---|---|
#0
| ||
31.05.2004, 13:33
...neu hier
Beiträge: 3 |
||
|
||
31.05.2004, 15:25
Ehrenmitglied
Beiträge: 29434 |
#17
fixe mit dem HijackThis:....es sei denn, du willst diese Seite
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://prdownloads.sourceforge.net/ghostscript/gs800w32.exe?download neustarten http://www.ish.de/service/internet/technikinfo/cache-leeren.html saeubere den IE und stelle unter InternetOptionen die Startseite deiner Wahl ein. #Dann scanne mit AdAware.(free) ...updaten vor dem Scannen ! http://www.lavasoft.de/support/download/ und Search&Destroy http://beam.to/spybotsd #Lade den RegCleaner (kannst du in Deutsch einstellen) http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm 1. unter Tools<Registry saeubern< alles durchfuehren< saeuberst du den Comp. 2. Unter <Autostart< hakst du die Programme an, die nichts im Autostart zu suchen haben und startest neu (schreiben sich bei Benutzung wieder ein...kann man gut mit dem RegCleaner kontrollieren) z.B. der Nero . Im Autostart sollten nur der Virenscanner, Firewall, Modem und Trojaner- check sein, eventuell der Drucker( kann man aber auch rausnehmen) Die Tools "spionieren nur unnoetig ins Netz" Lade den Firefox (hijackerfrei) als Zweit und -SurfBrowser http://firebird.stw.uni-duisburg.de/windows.php Was hat denn die mwav.exe angezeigt ? http://www.mwti.net/antivirus/free_utilities.asp --------------------------------------- Mit der neuen Startseite poste dein Log noch einmaL. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.05.2004 um 15:33 Uhr von Sabina editiert.
|
|
|
||
31.05.2004, 21:58
...neu hier
Beiträge: 3 |
#18
Hallo,
so, habe alles "brav" gemacht allerdings beim löschen war ich teilweise unsicher. So ist zum Beispiel die Soundman.exe noch drin und "DSLMON.lnk = ?" und "Exif Launcher.lnk = ?" (was ist das?) kann ich diese auch bedenkenlos herausnehmen? Dann wundert mich, dass immer noch "AcroIEHelper.dll" auftaucht, hatte Acrobat auch herausgenommen. Dann noch ein Frage: ich bin ja immer mit dem AOL-Browser im Netz, sollte ich dann doch besser mit Mozilla browsen? IE benutze ich eigentlich gar nicht. Hier mein letztes Log-File: Logfile of HijackThis v1.97.7 Scan saved at 21:28:00, on 31.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\unzipped\hijackthis1977\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Exif Launcher.lnk = ? O9 - Extra button: Real.com (HKLM) O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38126.4884722222 --------------------------- Dann hier mal die Auflistung vom mwav.log: Mon May 31 12:06:30 2004 => eScan AntiVirus Toolkit Utility. Mon May 31 12:06:30 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc. Mon May 31 12:06:30 2004 => ********************************************************** Mon May 31 12:06:30 2004 => Version 4.2.2 Mon May 31 12:06:30 2004 => Log File: C:\DOKUME~1\PG\LOKALE~1\Temp\mwav.log Mon May 31 12:06:30 2004 => Latest Date of files inside MWAV: 31 May 2004 06:04:54. Mon May 31 12:06:32 2004 => AV Library Loaded... Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\kavss.exe Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\Getvlist.exe Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\kavss.dll Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\kavssdi.dll Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\kavssi.dll Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\kavvlg.dll Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\msvlclnt.dll Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\ipc.dll Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\main.avi Mon May 31 12:06:32 2004 => Scanning File C:\DOKUME~1\PG\LOKALE~1\Temp\virus.avi Mon May 31 12:06:32 2004 => Virus Database Date: 2004/05/31 Mon May 31 12:06:32 2004 => Virus Database Count: 93793 ------------------- die Log-Datei wurde erstellt beim öffner der zip-Datei - sonst passierte nichts weiter, keine Meldung oder so (bis auf den Hinweis die Version wäre abgelaufen, hmm naja) Ich bin schon immer glücklich, wenn nach einem Neustart alles "normal" aussieht - als wenn man nix anderes zu tun hätte als am PC "herumzubasteln". Um so erfreuter und dankbarer bin ich über Eure Hilfe - mal ein ganz dickes Lob und Dankeschön!! Was mich wundert, dass dieser Trojaner in keiner Datenbank auftaucht. Bin beim suchen ja auch nur zufällig auf diese Seite gestoßen - somit auch dem ersten Poster dankbar, dass er den Namen so schön in den Titel gestellt hat. Das hat dann die Suchmachine ausgespuckt.... Ansonsten findet man nichts im Netz darüber. Schade, wenn ich Ahnung hätte, dann hätte ich mir dieses Ding mal genauer angesehen (die exe) aber die Hyroglyphen hätten mir eh' nichts gesagt. Naja, nu isse gelöscht. schöne Grüße Peggy |
|
|
||
01.06.2004, 17:42
...neu hier
Themenstarter Beiträge: 5 |
#19
Hallo zusammen,
da nun doch einige von Euch mein Posting genutzt haben und offensichtlich auch für sich selbst gute Lösungen gefunden haben, will ich im folgenden mein Hijack-Logfile posten. Allerdings muß ich sagen, daß mir viele der Lösungsvorschläge SEHR technisch vorkamen. Ich bin mir nicht sicher, ob ich das alles so umsetzen könnte, wie es beschrieben ist. Ich bitte Euch darum, Euch mal mein Logfile anzusehen, vielleicht könnt Ihr ja auf meinem Rechner was entdecken,w as mir bisher entgangen ist. Der Virenscanner ist still, die Firewall meldet nichts auffälliges und auch S&D 1.3 hat keine verdächtigen Einträge geliefert. Dank an alle im Voraus, die sich die Mühe machen und mir helfen!!! Jens Logfile of HijackThis v1.97.7 Scan saved at 17:36:05, on 01.06.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\Ati2evxx.exe C:\Programme\AntiVirenKit 2004\AVKService.exe C:\Programme\AntiVirenKit 2004\AVKWCtl.exe C:\WINNT\System32\drivers\CDAC11BA.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\DELL\AccessDirect\dadapp.exe C:\PROGRA~1\Adaptec\DirectCD\directcd.exe C:\WINNT\loadqm.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINNT\System32\JupitCo.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe C:\PROGRA~1\NETSCAPE\NETSCA~1\NETSCP.EXE C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Europe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.20.1.2:80 O1 - Hosts: 172.20.7.2 rberpsv1 O1 - Hosts: 172.20.7.2 rberpsv1.network.local O1 - Hosts: 172.20.7.4 rberpsv2 O1 - Hosts: 172.20.7.4 rberpsv2.network.local O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [DadApp] C:\Programme\DELL\AccessDirect\dadapp.exe O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCA~1\NETSCP.EXE" -turbo O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4A3B20E7-4E99-4044-9758-A1368566D2DE}: NameServer = 172.20.0.9 O17 - HKLM\System\CS1\Services\Tcpip\..\{4A3B20E7-4E99-4044-9758-A1368566D2DE}: NameServer = 172.20.0.9 |
|
|
||
01.06.2004, 19:37
Moderator
Beiträge: 7805 |
#20
Gut das bei dir "Thementarter" steht, sonst haette ich dein erstes Posting nicht gefunden!
Und: Ja, du kannst die Datei loeschen, denn die ganze Datei ist dieser Virus. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
erst schon mal vielen Dank für die schnellen Antworten - hier mein neuer scan:
Logfile of HijackThis v1.97.7
Scan saved at 13:24:58, on 31.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Ulead Systems\Ulead Photo Express 2\CalCheck.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\unzipped\hijackthis1977\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://prdownloads.sourceforge.net/ghostscript/gs800w32.exe?download
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [PE2CKFNT] C:\Programme\Ulead Systems\Ulead Photo Express 2\ChkFont.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Express Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2\CalCheck.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38126.4884722222
----------------
Sollte ich dann doch noch ein Windows-Update machen? Habe jetzt erstmal die von Sabina genannten Tips gemacht - nur kam merkwürdigerweise beim Starten der mwav.exe eine Meldung, dass die Datei älter wäre als 30 Tage - aber er hat trotzdem ein Log-File angelegt hmmm, hoffe, dass das nun alles so richtig war..
na ja, zummindest läuft mein gutes Stück noch.... ohne sich selbständig zu machen
Gruß
Peggy