autoclk.exe von trojan.win32.klacc.b befallen

#0
09.05.2004, 12:52
...neu hier

Beiträge: 5
#1 Hallo,
meine Virenscanner AntiVirenKit2004 von G-Data meldet einen Befall der Datei autoclk.exe mit dem Virus trojan.win32.klacc.b, kann ihn aber nicht entfernen. Ich habe die Datei in die sog. Quarantäne schoben. Kann ich die Datei löschen (d. h. hat die derVirus selbst mitgebracht) oder wird die Datei von einer Applikation gebraucht?
Leider habe ich weder hier im Forum noch bei Google was für mich als Laien brauchbares dazu finden können.
Danke im Voraus für Eure Antworten.
Jens
Seitenanfang Seitenende
09.05.2004, 13:04
Member
Avatar Dafra

Beiträge: 1122
#2 ja ich denke, du kannst sie löschen.
Mach danach nochmal das:

1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich )
2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich )
3,)Scanne deinen Rechner.
4.)Freuen.

MFG
DAFRA


P.s.
Wenn er dann immer noch da ist, poste mal ein Hijackthis Log.
Unten stehts wies geht.
Seitenanfang Seitenende
13.05.2004, 12:30
Member

Beiträge: 16
#3 Hi Leutz!
Ich hatte auch den besagten Trojaner.Heute war er in der Exe morgen in einer anderen.Leider habe ich jetzt ein Problem!
Seid der Virus runter ist,färt mein Rechner automatisch runter und wieder hoch.(mehrmals am Tag)
hat jemand eine Ahnung woran das liegen könnte?
Würde mich über Hilfe freuen.

mfg:Werwolf
Seitenanfang Seitenende
13.05.2004, 12:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 http://board.protecus.de/t9391.htm
Postet mal eure HijackThis-Logs
Lade, scanne, Log mit der Maus kopieren und ins Forum.
So fischen wir nicht im <Trueben<
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.05.2004, 18:12
Member

Beiträge: 16
#5 Logfile of HijackThis v1.97.7
Scan saved at 17:59:25, on 13.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\0190 warner präsentiert von aol\w0svc.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\unzipped\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.aol.de/e60/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.8\THGuard.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\RunServices: [RunAlert] C:\Programme\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: Ubisoft register.lnk = C:\Programme\Ubisoft\Register\schedule.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37888.4119444444
O16 - DPF: {CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_04) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0BC582D-9D46-43ED-87CC-DAF2A0B7A47D}: NameServer = 195.93.72.134

und nu?
Seitenanfang Seitenende
14.05.2004, 10:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 #Deaktiviere die Wiederherstellung

#Gehe in den abgesicherten Modus und scanne mit dem Antivirus.


#Ueberpruefe, ob das
dein dein normaler Servereintrag ist:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0BC582D-9D46-43ED-87CC-DAF2A0B7A47D}: NameServer = 195.93.72.134

---------------------------------------------------------------------------------

#FIXE (sind <gut<;), aber viel zu viel Eintraege im StartUp.Dort sollte nur das Modem, Firewall und Antivirus sein:

O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
---------------------------------------------------------------------------
EntfernungsTool:
http://www.2-spyware.com/file-autoclk-exe.html
-----------------------------------------------------------------------------

Mache mal folgendes gehe in Systemsteuerung/System/Erweitert/Starten und Wiederherstellen/Erweitert und da den Haken bei AutomatischNeustart durchfuehren weg. Dann sollte anstatt eines Neustartes ein Bluescreen kommen. Vieleicht kann man ja dort mehr sehen.(Treiberprobleme oder aehnliches)

Einen Virus habe ich nicht gefunden.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 14.05.2004 um 10:30 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.05.2004, 08:59
Member

Beiträge: 16
#7 Danke Sabina!
Ich habe alle Starteinträge gelöscht,die Du aufgelistet hast.
Bis jetzt läuft alles wieder normal ohne Absturz.Obwohl ich nebenbei aber auch noch die Firewall ausgeschaltet habe.Ob das so gut ist ist eine andere
Frage.
nochmals Danke Danke Danke
mfg:Werwolf
Seitenanfang Seitenende
18.05.2004, 09:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm

Lade mal von dieser Site den RegCleaner.

1) in Deutsch einstellen
2) Tools<Registry saeubern<alles durchfuehren (kannst beruhigt alles angezeigte loeschen, denn es verbleibt eine <Sicherung< fuer Notfaelle,

3) unter Autostart kannst du deine AutostarProgramme elegant ueberpruefen.



------------------------------------------------------------------------

Ich habe doch noch was gefunden::::

Fixe das bitte :
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: Ubisoft register.lnk = C:\Programme\Ubisoft\Register\schedule.exe

http://www.pestpatrol.com/PestInfo/p/powerreg_scheduler.asp

neustarten

Lade diese Tool und scanne.(AdAware, Spybot....)
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
Dann lade den e-scann (mwav.exe und poste das (infizierte Log)
oder loesche alles gleich manuell
http://www.mwti.net/antivirus/free_utilities.asp
;)
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.05.2004 um 09:37 Uhr von Sabina editiert.
Seitenanfang Seitenende
20.05.2004, 23:43
...neu hier

Beiträge: 6
#9 Hallo,

da hier so viele profis sind, würde ich mich freuen wenn sich jemand mal mein logfile anschaut, glaube da ist einiges drin zuviel,

vielen dank für die hilfe

Logfile of HijackThis v1.97.7
Scan saved at 23:36:43, on 20.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
D:\WINDOWS\Mixer.exe
D:\Programme\Browser mouse\1.3\mouse32a.exe
D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
D:\Programme\WinZip\WZQKPICK.EXE
D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
D:\WINDOWS\wt\updater\wcmdmgr.exe
D:\Programme\Outlook Express\msimn.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Yahoo!\Messenger\YPager.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
C:\PremiumTrader\ConsorsTrader.exe
C:\PremiumTrader\SIMEXNET.EXE
D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
D:\WINDOWS\PCHEALTH\HELPCTR\Binaries\helpctr.exe
D:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
D:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
D:\Dokumente und Einstellungen\Ute\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Echo Control] D:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] D:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [wcmdmgr] D:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKLM\..\RunOnce: [SpyBotSnD] "D:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: FRITZ!fax.lnk = D:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: FRITZ!data.lnk = D:\Programme\FRITZ!\FriDat32.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37939.4037615741
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C77672E-9F1C-40A0-AFDD-8128BC8B0904}: NameServer = 217.237.150.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{A66846F0-4698-4E2E-AB14-11FC30F3EAD4}: NameServer = 192.168.120.252,192.168.120.253
Seitenanfang Seitenende
21.05.2004, 11:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Fixe mit dem HijackThis.

O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx

O4 - HKLM\..\Run: [wcmdmgr] D:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe

Du hast einen Dialer !


LADE:
Lade diese Tool , UPDATE und scanne.(AdAware, Spybot,Cwshredder....)
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
Dann lade den e-scann (mwav.exe)<ALLE Dateien scanne <
loesche alles manuell, was er anzeigt
http://www.mwti.net/antivirus/free_utilities.asp
#Lade den Webwasher
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html
#Mache im abgesicherten Modus einen Vollscann mit dem aktualisierten Antivir.
(F8 beim Hochfahren druecken)
#Onlinescann mit PestPatrol
http://www.pestscan.com/Scan.asp
------------------------------------
wcmdmgr.exe It will periodically contact Wild Tangent servers to see if an update is available for your system and allows us to make the product exceptionally reliable. You can control its behavior, or disable it completely, inside your Windows Control Panel. Note that Wild Tanget's privacy policy states they also collect and share individuals information
O4 - HKLM\..\Run: [wcmdmgr] D:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
loeschen !!!!
-------------------------------------------------------------------

http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm
Lade mal von dieser Site den RegCleaner.
du kannst das Tool in Deutsch einstellen

dann nehme das Haeckchen raus vor allem ausser (<Autostart<;)
dem Firewall und Antivirus. und dem Modem und wenn du es brauchst, dem Drucker.
Bei Gebrauch tragen sich die Programme wieder ein.....kann man immer kontrollieren mit dem RegCleaner )

Dann poste das Log noch aml.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.05.2004 um 11:36 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.05.2004, 23:16
...neu hier

Beiträge: 6
#11 Hallo Sabina,

vielen Danke für deine Hilfe, puh das war ja doch einiges, hoffe habe jetzt alles richtig gelöscht und alle Hacker und Dialer und Vieren aus meinem System raus.

Kann man eigentlich über die loggfile auch erkennen, ob jemand den Rechner manipuliert?

Viele Dank nochmals für die tolle Hilfe

Gruß
Ute


Logfile of HijackThis v1.97.7
Scan saved at 23:17:04, on 27.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\Mixer.exe
D:\Programme\Browser mouse\1.3\mouse32a.exe
D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
D:\Programme\WinZip\WZQKPICK.EXE
D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
D:\Programme\Outlook Express\msimn.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Yahoo!\Messenger\YPager.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
C:\PremiumTrader\ConsorsTrader.exe
C:\PremiumTrader\SIMEXNET.EXE
D:\Programme\Internet Explorer\iexplore.exe
D:\PROGRA~1\YAHOO!\MESSEN~1\YSERVER.EXE
D:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Microsoft Office\Office\WINWORD.EXE
D:\Programme\Microsoft Office\Office\EXCEL.EXE
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\Ute\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] D:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [mwavscan] "D:\DOKUME~1\Ute\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37939.4037615741
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C77672E-9F1C-40A0-AFDD-8128BC8B0904}: NameServer = 217.237.150.97 194.25.2.129
Seitenanfang Seitenende
28.05.2004, 08:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 nicy35

D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe

Finde ich noch etwas komisch.....irgendwas ist noch drauf....

Deaktiviere mal die Wiederherstellung, update den Antivireus und scanne noch einmal, aber im abgesicherten Modus
(F8 beim Hochfahren druecken)

Scanne auch noch einmal mit dem mwav.exe und
Poste dann mal bitte, das <infizierte Log <

---------------------------------------------------------
WATCH.exe
Program Title: DLHelperEXE
Rating: 2 ( Not Required at Startup - Application Launcher, Microsoft Office Application )

das kannst du aus dem Systemstart nehmen
Start<Ausfuehren<msconfig

O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.05.2004 um 09:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
30.05.2004, 22:35
...neu hier

Beiträge: 3
#13 Hallo,
aus lauter Verzweiflung, habe ich mich entschlossen nun auch hier anzumelden.
Ich habe ebenfalls den Trojaner "TrojanWin32klacc.b" auf meinem Rechner.
Bereits zum zweitenmal. Deshalb bin ich vorsichtig und habe ihn noch nicht gelöscht. Beim erstenmal war es bei mir auch so, dass sich der Rechner selbst aus- und wieder eingeschaltet hat und zwar immer innerhalb 1 Minute, so dass ich keine Chance mehr hatte etwas zu machen. Abgesicherter Modus ging dann, aber das half mir auch nicht weiter. Mir ist jetzt nur aufgefallen, dass die "echte" Datei im Ordner Win32 liegt und der Trojaner direkt im Windows-Verzeichnis. Habe bereits Spyware-Programme laufen lassen und eine Datei entfernt (weiß aber nicht mehr wie die hieß) Meine Registry habe ich mir auch schon angesehen - scheint soweit in Odnung zu sein. Habe jetzt mal den Hijack laufen lassen mit folgendem Ergebnis:

Logfile of HijackThis v1.97.7
Scan saved at 22:57:39, on 29.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\gtwatch.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Ulead Systems\Ulead Photo Express 2\CalCheck.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\unzipped\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://prdownloads.sourceforge.net/ghostscript/gs800w32.exe?download
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [PE2CKFNT] C:\Programme\Ulead Systems\Ulead Photo Express 2\ChkFont.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Express Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2\CalCheck.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38126.4884722222
---------------------------------
Nun traue ich mich nicht die Datei zu löschen oder muss ich nur das Häkchen beim automatischen Neustart entfernen so wie oben schon beschrieben??
Ich musste beim letztenmal den PC neu formatieren, dass muss ich nicht noch mal haben. Allerdings war der Trojaner soweit ich das sehe gleich kurz danach wieder drauf (habe ich am Datum gesehen). Als ich mein Virenprogramm (AntiVirus v. GData) aufgespielt hatte, zeigte es mir merkwürdigerweise noch nichts an - erst ein paar Tage später. Ich meine aber, dass da der Virus schon dagewesen sein muss - vielleicht habe ich ihn erst später irgendwie aktiviert? Wenn ich nur wüsste woher das Ding kommt.
Seit der Virus aktiv ist, arbeitet mein AOL auch nicht mehr ganz richtig - stürzt öfter ab, wenn ich Cookies ablehne. Mit AOL kann man ja einen Computer-Check machen aber an dem Trojaner ist der Check dann gescheitert, da AOL beim Installieren/Reparieren auf diese Datei zugreifen wollte.
Ich weiß echt nicht mehr weiter und bin auch ziemlicher Laie auf diesem Gebiet - was kann ich tun? PLEASE HELP!
Ich bin sooo froh, dass ich auf dieses Forum gestoßen bin....
schönen Gruß
Peggy
Seitenanfang Seitenende
31.05.2004, 09:59
Member
Avatar Dafra

Beiträge: 1122
#14 Fix:
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe

1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich )
2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich )
3,)Scanne deinen Rechner mit einem Anti-Viren Programm.
4.)Freuen.
5.)Update dein Windows ( Klick mich )
MFG
DAFRA
Seitenanfang Seitenende
31.05.2004, 11:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 @Peggy

1. Deaktiviere die Wiederherstellung (kannst du nach der Reinigung wieder aktivieren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

2.Lade e-scann (mwav.exe)
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm


gehe in den abgesicherten Modus (F8 beim Hochfahren druecken)

Dort mit dem HijackThis: scann< dann hakst du an, was ich poste und <fix<

O4 - Startup: PowerReg Scheduler V3.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe

suche die mwav.exe und scanne <alle Dateien<

dann poste das Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 31.05.2004 um 11:14 Uhr von Sabina editiert.
Seitenanfang Seitenende