autoclk.exe von trojan.win32.klacc.b befallen |
||
---|---|---|
#0
| ||
09.05.2004, 12:52
...neu hier
Beiträge: 5 |
||
|
||
09.05.2004, 13:04
Member
Beiträge: 1122 |
#2
ja ich denke, du kannst sie löschen.
Mach danach nochmal das: 1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich ) 2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich ) 3,)Scanne deinen Rechner. 4.)Freuen. MFG DAFRA P.s. Wenn er dann immer noch da ist, poste mal ein Hijackthis Log. Unten stehts wies geht. |
|
|
||
13.05.2004, 12:30
Member
Beiträge: 16 |
#3
Hi Leutz!
Ich hatte auch den besagten Trojaner.Heute war er in der Exe morgen in einer anderen.Leider habe ich jetzt ein Problem! Seid der Virus runter ist,färt mein Rechner automatisch runter und wieder hoch.(mehrmals am Tag) hat jemand eine Ahnung woran das liegen könnte? Würde mich über Hilfe freuen. mfg:Werwolf |
|
|
||
13.05.2004, 12:39
Ehrenmitglied
Beiträge: 29434 |
#4
http://board.protecus.de/t9391.htm
Postet mal eure HijackThis-Logs Lade, scanne, Log mit der Maus kopieren und ins Forum. So fischen wir nicht im <Trueben< MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.05.2004, 18:12
Member
Beiträge: 16 |
#5
Logfile of HijackThis v1.97.7
Scan saved at 17:59:25, on 13.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\0190 warner präsentiert von aol\w0svc.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\AOL 9.0a\waol.exe C:\Programme\AOL 9.0a\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\unzipped\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.aol.de/e60/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [adiras] adiras.exe O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.8\THGuard.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\RunServices: [RunAlert] C:\Programme\MSI\PC Alert III\AService.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: PowerReg Scheduler.exe O4 - Startup: Ubisoft register.lnk = C:\Programme\Ubisoft\Register\schedule.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37888.4119444444 O16 - DPF: {CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_04) - O17 - HKLM\System\CCS\Services\Tcpip\..\{A0BC582D-9D46-43ED-87CC-DAF2A0B7A47D}: NameServer = 195.93.72.134 und nu? |
|
|
||
14.05.2004, 10:27
Ehrenmitglied
Beiträge: 29434 |
#6
#Deaktiviere die Wiederherstellung
#Gehe in den abgesicherten Modus und scanne mit dem Antivirus. #Ueberpruefe, ob das dein dein normaler Servereintrag ist: O17 - HKLM\System\CCS\Services\Tcpip\..\{A0BC582D-9D46-43ED-87CC-DAF2A0B7A47D}: NameServer = 195.93.72.134 --------------------------------------------------------------------------------- #FIXE (sind <gut<, aber viel zu viel Eintraege im StartUp.Dort sollte nur das Modem, Firewall und Antivirus sein: O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER --------------------------------------------------------------------------- EntfernungsTool: http://www.2-spyware.com/file-autoclk-exe.html ----------------------------------------------------------------------------- Mache mal folgendes gehe in Systemsteuerung/System/Erweitert/Starten und Wiederherstellen/Erweitert und da den Haken bei AutomatischNeustart durchfuehren weg. Dann sollte anstatt eines Neustartes ein Bluescreen kommen. Vieleicht kann man ja dort mehr sehen.(Treiberprobleme oder aehnliches) Einen Virus habe ich nicht gefunden. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.05.2004 um 10:30 Uhr von Sabina editiert.
|
|
|
||
18.05.2004, 08:59
Member
Beiträge: 16 |
#7
Danke Sabina!
Ich habe alle Starteinträge gelöscht,die Du aufgelistet hast. Bis jetzt läuft alles wieder normal ohne Absturz.Obwohl ich nebenbei aber auch noch die Firewall ausgeschaltet habe.Ob das so gut ist ist eine andere Frage. nochmals Danke Danke Danke mfg:Werwolf |
|
|
||
18.05.2004, 09:33
Ehrenmitglied
Beiträge: 29434 |
#8
http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm
Lade mal von dieser Site den RegCleaner. 1) in Deutsch einstellen 2) Tools<Registry saeubern<alles durchfuehren (kannst beruhigt alles angezeigte loeschen, denn es verbleibt eine <Sicherung< fuer Notfaelle, 3) unter Autostart kannst du deine AutostarProgramme elegant ueberpruefen. ------------------------------------------------------------------------ Ich habe doch noch was gefunden:::: Fixe das bitte : O4 - Startup: PowerReg Scheduler.exe O4 - Startup: Ubisoft register.lnk = C:\Programme\Ubisoft\Register\schedule.exe http://www.pestpatrol.com/PestInfo/p/powerreg_scheduler.asp neustarten Lade diese Tool und scanne.(AdAware, Spybot....) http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Dann lade den e-scann (mwav.exe und poste das (infizierte Log) oder loesche alles gleich manuell http://www.mwti.net/antivirus/free_utilities.asp MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.05.2004 um 09:37 Uhr von Sabina editiert.
|
|
|
||
20.05.2004, 23:43
...neu hier
Beiträge: 6 |
#9
Hallo,
da hier so viele profis sind, würde ich mich freuen wenn sich jemand mal mein logfile anschaut, glaube da ist einiges drin zuviel, vielen dank für die hilfe Logfile of HijackThis v1.97.7 Scan saved at 23:36:43, on 20.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINDOWS\System32\drivers\CDAC11BA.EXE D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\system32\ZONELABS\vsmon.exe D:\WINDOWS\Explorer.EXE D:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe D:\WINDOWS\Mixer.exe D:\Programme\Browser mouse\1.3\mouse32a.exe D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe D:\Programme\AVPersonal\AVGNT.EXE D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe D:\Programme\Messenger\msmsgs.exe D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe D:\Programme\WinZip\WZQKPICK.EXE D:\WINDOWS\twain_32\A4CIS600\WATCH.exe D:\WINDOWS\wt\updater\wcmdmgr.exe D:\Programme\Outlook Express\msimn.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Yahoo!\Messenger\YPager.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe C:\PremiumTrader\ConsorsTrader.exe C:\PremiumTrader\SIMEXNET.EXE D:\Programme\Spybot - Search & Destroy\SpybotSD.exe D:\WINDOWS\PCHEALTH\HELPCTR\Binaries\helpctr.exe D:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe D:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe D:\Dokumente und Einstellungen\Ute\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [C-Media Echo Control] D:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [FLMMEDIONMOUSE] D:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [HP Software Update] D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [DeviceDiscovery] D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [adiras] adiras.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [wcmdmgr] D:\WINDOWS\wt\updater\wcmdmgrl.exe -launch O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKLM\..\RunOnce: [SpyBotSnD] "D:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4CIS600\WATCH.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: FRITZ!fax.lnk = D:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: FRITZ!data.lnk = D:\Programme\FRITZ!\FriDat32.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37939.4037615741 O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312 O17 - HKLM\System\CCS\Services\Tcpip\..\{1C77672E-9F1C-40A0-AFDD-8128BC8B0904}: NameServer = 217.237.150.97 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{A66846F0-4698-4E2E-AB14-11FC30F3EAD4}: NameServer = 192.168.120.252,192.168.120.253 |
|
|
||
21.05.2004, 11:10
Ehrenmitglied
Beiträge: 29434 |
#10
Fixe mit dem HijackThis.
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx O4 - HKLM\..\Run: [wcmdmgr] D:\WINDOWS\wt\updater\wcmdmgrl.exe -launch O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe Du hast einen Dialer ! LADE: Lade diese Tool , UPDATE und scanne.(AdAware, Spybot,Cwshredder....) http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Dann lade den e-scann (mwav.exe)<ALLE Dateien scanne < loesche alles manuell, was er anzeigt http://www.mwti.net/antivirus/free_utilities.asp #Lade den Webwasher http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html #Mache im abgesicherten Modus einen Vollscann mit dem aktualisierten Antivir. (F8 beim Hochfahren druecken) #Onlinescann mit PestPatrol http://www.pestscan.com/Scan.asp ------------------------------------ wcmdmgr.exe It will periodically contact Wild Tangent servers to see if an update is available for your system and allows us to make the product exceptionally reliable. You can control its behavior, or disable it completely, inside your Windows Control Panel. Note that Wild Tanget's privacy policy states they also collect and share individuals information O4 - HKLM\..\Run: [wcmdmgr] D:\WINDOWS\wt\updater\wcmdmgrl.exe -launch loeschen !!!! ------------------------------------------------------------------- http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm Lade mal von dieser Site den RegCleaner. du kannst das Tool in Deutsch einstellen dann nehme das Haeckchen raus vor allem ausser (<Autostart< dem Firewall und Antivirus. und dem Modem und wenn du es brauchst, dem Drucker. Bei Gebrauch tragen sich die Programme wieder ein.....kann man immer kontrollieren mit dem RegCleaner ) Dann poste das Log noch aml. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.05.2004 um 11:36 Uhr von Sabina editiert.
|
|
|
||
27.05.2004, 23:16
...neu hier
Beiträge: 6 |
#11
Hallo Sabina,
vielen Danke für deine Hilfe, puh das war ja doch einiges, hoffe habe jetzt alles richtig gelöscht und alle Hacker und Dialer und Vieren aus meinem System raus. Kann man eigentlich über die loggfile auch erkennen, ob jemand den Rechner manipuliert? Viele Dank nochmals für die tolle Hilfe Gruß Ute Logfile of HijackThis v1.97.7 Scan saved at 23:17:04, on 27.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINDOWS\System32\drivers\CDAC11BA.EXE D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\system32\ZONELABS\vsmon.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\Mixer.exe D:\Programme\Browser mouse\1.3\mouse32a.exe D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe D:\Programme\AVPersonal\AVGNT.EXE D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe D:\Programme\WinZip\WZQKPICK.EXE D:\WINDOWS\twain_32\A4CIS600\WATCH.exe D:\Programme\Outlook Express\msimn.exe D:\Programme\Messenger\msmsgs.exe D:\Programme\Yahoo!\Messenger\YPager.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe C:\PremiumTrader\ConsorsTrader.exe C:\PremiumTrader\SIMEXNET.EXE D:\Programme\Internet Explorer\iexplore.exe D:\PROGRA~1\YAHOO!\MESSEN~1\YSERVER.EXE D:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Microsoft Office\Office\WINWORD.EXE D:\Programme\Microsoft Office\Office\EXCEL.EXE D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe D:\Dokumente und Einstellungen\Ute\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:// R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [FLMMEDIONMOUSE] D:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [HP Software Update] D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [DeviceDiscovery] D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [mwavscan] "D:\DOKUME~1\Ute\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4CIS600\WATCH.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37939.4037615741 O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312 O17 - HKLM\System\CCS\Services\Tcpip\..\{1C77672E-9F1C-40A0-AFDD-8128BC8B0904}: NameServer = 217.237.150.97 194.25.2.129 |
|
|
||
28.05.2004, 08:55
Ehrenmitglied
Beiträge: 29434 |
#12
nicy35
D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe Finde ich noch etwas komisch.....irgendwas ist noch drauf.... Deaktiviere mal die Wiederherstellung, update den Antivireus und scanne noch einmal, aber im abgesicherten Modus (F8 beim Hochfahren druecken) Scanne auch noch einmal mit dem mwav.exe und Poste dann mal bitte, das <infizierte Log < --------------------------------------------------------- WATCH.exe Program Title: DLHelperEXE Rating: 2 ( Not Required at Startup - Application Launcher, Microsoft Office Application ) das kannst du aus dem Systemstart nehmen Start<Ausfuehren<msconfig O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4CIS600\WATCH.exe MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.05.2004 um 09:04 Uhr von Sabina editiert.
|
|
|
||
30.05.2004, 22:35
...neu hier
Beiträge: 3 |
#13
Hallo,
aus lauter Verzweiflung, habe ich mich entschlossen nun auch hier anzumelden. Ich habe ebenfalls den Trojaner "TrojanWin32klacc.b" auf meinem Rechner. Bereits zum zweitenmal. Deshalb bin ich vorsichtig und habe ihn noch nicht gelöscht. Beim erstenmal war es bei mir auch so, dass sich der Rechner selbst aus- und wieder eingeschaltet hat und zwar immer innerhalb 1 Minute, so dass ich keine Chance mehr hatte etwas zu machen. Abgesicherter Modus ging dann, aber das half mir auch nicht weiter. Mir ist jetzt nur aufgefallen, dass die "echte" Datei im Ordner Win32 liegt und der Trojaner direkt im Windows-Verzeichnis. Habe bereits Spyware-Programme laufen lassen und eine Datei entfernt (weiß aber nicht mehr wie die hieß) Meine Registry habe ich mir auch schon angesehen - scheint soweit in Odnung zu sein. Habe jetzt mal den Hijack laufen lassen mit folgendem Ergebnis: Logfile of HijackThis v1.97.7 Scan saved at 22:57:39, on 29.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe C:\Programme\FreePDF\FreePDFA.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\gtwatch.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\Programme\Ulead Systems\Ulead Photo Express 2\CalCheck.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\unzipped\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://prdownloads.sourceforge.net/ghostscript/gs800w32.exe?download O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [PE2CKFNT] C:\Programme\Ulead Systems\Ulead Photo Express 2\ChkFont.exe O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: PowerReg Scheduler V3.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Photo Express Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2\CalCheck.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Real.com (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38126.4884722222 --------------------------------- Nun traue ich mich nicht die Datei zu löschen oder muss ich nur das Häkchen beim automatischen Neustart entfernen so wie oben schon beschrieben?? Ich musste beim letztenmal den PC neu formatieren, dass muss ich nicht noch mal haben. Allerdings war der Trojaner soweit ich das sehe gleich kurz danach wieder drauf (habe ich am Datum gesehen). Als ich mein Virenprogramm (AntiVirus v. GData) aufgespielt hatte, zeigte es mir merkwürdigerweise noch nichts an - erst ein paar Tage später. Ich meine aber, dass da der Virus schon dagewesen sein muss - vielleicht habe ich ihn erst später irgendwie aktiviert? Wenn ich nur wüsste woher das Ding kommt. Seit der Virus aktiv ist, arbeitet mein AOL auch nicht mehr ganz richtig - stürzt öfter ab, wenn ich Cookies ablehne. Mit AOL kann man ja einen Computer-Check machen aber an dem Trojaner ist der Check dann gescheitert, da AOL beim Installieren/Reparieren auf diese Datei zugreifen wollte. Ich weiß echt nicht mehr weiter und bin auch ziemlicher Laie auf diesem Gebiet - was kann ich tun? PLEASE HELP! Ich bin sooo froh, dass ich auf dieses Forum gestoßen bin.... schönen Gruß Peggy |
|
|
||
31.05.2004, 09:59
Member
Beiträge: 1122 |
#14
Fix:
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe 1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich ) 2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich ) 3,)Scanne deinen Rechner mit einem Anti-Viren Programm. 4.)Freuen. 5.)Update dein Windows ( Klick mich ) MFG DAFRA |
|
|
||
31.05.2004, 11:11
Ehrenmitglied
Beiträge: 29434 |
#15
@Peggy
1. Deaktiviere die Wiederherstellung (kannst du nach der Reinigung wieder aktivieren) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 2.Lade e-scann (mwav.exe) http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm gehe in den abgesicherten Modus (F8 beim Hochfahren druecken) Dort mit dem HijackThis: scann< dann hakst du an, was ich poste und <fix< O4 - Startup: PowerReg Scheduler V3.exe O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe suche die mwav.exe und scanne <alle Dateien< dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.05.2004 um 11:14 Uhr von Sabina editiert.
|
|
|
||
meine Virenscanner AntiVirenKit2004 von G-Data meldet einen Befall der Datei autoclk.exe mit dem Virus trojan.win32.klacc.b, kann ihn aber nicht entfernen. Ich habe die Datei in die sog. Quarantäne schoben. Kann ich die Datei löschen (d. h. hat die derVirus selbst mitgebracht) oder wird die Datei von einer Applikation gebraucht?
Leider habe ich weder hier im Forum noch bei Google was für mich als Laien brauchbares dazu finden können.
Danke im Voraus für Eure Antworten.
Jens