Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Troj/Clicker-L ???

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 15.03.2005, 19:18   #1
blint
 
Troj/Clicker-L ??? - Standard

Troj/Clicker-L ???



Ich bin absoluter Amateuer, Anfänger...

Seit drei Tagen versuche herauszufinden, wie ich folgendes Phänomen beseitigen kann:
Es öffnen sich verschiedene Pop up's vorallem einer Strippoker-Seite und eine Meldung "your computer might be at risk" mit Ballon. Sowie die Meldung meine Microsoft Firewall funktioniere nicht ausreichend (dabei hab ich keine Firewall)

Die Info die ich bisher darüber finden konnte ist:
http://www.sophos.com/virusinfo/anal...jclickerl.html

ein ähnliches Problem wird im folgenden Beitrag behandelt:
http://www.trojaner-board.de/archive...p/t-10712.html

<= die dort verhandelten schritte sind aber echt zu hoch für mich...


bei der analyse von hijack this wurden die folgenden mir nichts sagenden elemente als fragwürdig eingestuft (kann mir jemand sagen, was das ist?):

O2 - BHO: Name - {F3FB7EFC-6108-403D-BA33-ABA92DB6D65A} - C:\WINDOWS\SYSTEM\MSRKH.DLL

O2 - BHO: Name - {5AF7ED72-5EBC-4997-8D30-42228A872C97} - C:\WINDOWS\SYSTEM\MSRKH.DLL

außerdem hatte/ habe ich etwas, das sich "freshbar" nennt
spybot hat das zwar gefixt, aber XsoftSpy findet sie immer noch

antivir und bitedefender finden nichts mehr

Spybots letzter fund war:
FindSpy.A
C:\WINDOWS\ballon.wav

denke das könnte zusammenhämgen, wegen dem ballon, aber das problem ist nicht weg...


bitte berücksichtigen:
ich hab zwar alle diese programme laufen lassen, weiß aber nicht wirklich auf welchen ebenen sie funktionieren und hab keine ahnung von regestry einträgen, bootsektoren und sonstigen innereien meines rechners

für jede hilfe dankbar

blint

Alt 15.03.2005, 19:24   #2
Cidre
Administrator, a.D.
 
Troj/Clicker-L ??? - Standard

Troj/Clicker-L ???



Hallo,

poste doch mal das HijackThis Log-File, damit wir mehr Infos über dein infiziertes System bekommen.

Ebenso empfehlenswert wäre ->

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________

__________________

Alt 16.03.2005, 13:32   #3
blint
 
Troj/Clicker-L ??? - Standard

Troj/Clicker-L ???



Uiuiui... Da ich leider keine Ahnung habe, wie ich im abgesicherten Modus die von escan geforderte Internetverbindung herstellen kann, hier die Scanresultate aus dem normalen Modus (Betriebssystem is übrigens Windows ME, falls das wichtig ist):

File C:\WINDOWS\SYSTEM\DOSXPD.EXE infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\DOSXPD.EXE infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\AUDISSRP.EXE infected by "Trojan-Clicker.Win32.Agent.cn" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\AUDISSRP.EXE infected by "Trojan-Clicker.Win32.Agent.cn" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\FIXMAPIRS.EXE infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\FIXMAPIRS.EXE infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\dosxpd.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\audissrp.exe infected by "Trojan-Clicker.Win32.Agent.cn" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\fixmapirs.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\autodmfp.exe infected by "Trojan-Dropper.Win32.Agent.gp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\docntrop.dll infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\chkntfsfat.exe infected by "Trojan.Win32.StartPage.vt" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\dwcrnt.exe infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
(Anmerkung blint: Hierzu kam heute die AntiVir Meldung, dass diese Datei einen Virus Namens DDS/Hidd.E.1 enthalte und nach den Standardeinstellungen verschoben wurde)
File C:\_RESTORE\TEMP\A0246701.CPY infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0246702.CPY infected by "Trojan-Clicker.Win32.Agent.cn" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0246703.CPY infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0246721.CPY infected by "HackTool.Win32.Hidd.h" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\ARCHIVE\FS3.CAB infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.

Das klingt selbst für mein Verständnis ziemlich übel Soll man die nun einfach löschen??????

Die Log-File von HijacThis ist:
Logfile of HijackThis v1.99.1
Scan saved at 13:19:04, on 16.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\VIRENDEN\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Name - {5AF7ED72-5EBC-4997-8D30-42228A872C97} - C:\WINDOWS\SYSTEM\MSRKH.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: Name - {F3FB7EFC-6108-403D-BA33-ABA92DB6D65A} - C:\WINDOWS\SYSTEM\MSRKH.DLL
O2 - BHO: Name - {45A523F8-FF82-482B-BC56-613F1F40567D} - C:\WINDOWS\SYSTEM\MSRKH.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\Programme\DirectCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [Norton CrashGuard Monitor] "C:\PROGRAMME\NORTON CRASHGUARD\CGMenu.EXE"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe
O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe
O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Programme\Softwin\BitDefender Free Edition\\bdinit.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Startup: Sitecom WLAN Client Utility.lnk = C:\Programme\Sitecom\Sitecom WLAN\WLANUTL.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab


Ich bin dankbar für jede Hilfe. Ausserdem schliesst sich noch folgende Frage an:
Durch den aktuellen Fall hab ich alle möglichen Virenprogramm runtergeladen, um irgendwas rauszufinden... Welche aus der folgenden Liste sind denn sinnvoll zu behalten und was wäre weiterhin sinnvoll, um das System zu schützen? (Z.B. hab ich keine Firewall...)

eScan
AntiVir
Bitdefender
Spybot
Hijack
Spysubstract mit CWShredder (30Tage Testversion)
XoftSpy (Testversion, findet aber keine Aktionen)

Können die sich gegenseitig negativ beeinflussen?

Herzlichen Dank im voraus...

blint (sich ziemlich unbeholfen fühlt)
__________________

Antwort

Themen zu Troj/Clicker-L ???
beseitigen, bho, c:\windows, computer, einträge, firewall, folge, fund, funktionieren, hijack, hijack this, keine ahnung, keine firewall, meldung, microsoft, nichts, phänomen, pop up, problem, programme, system, this, träge, verschiedene, windows, your computer might be at risk, zu hoch, öffnen




Ähnliche Themen: Troj/Clicker-L ???


  1. Troj.TR/Crypt.Zpack.151493+Troj.TR/Crypt.Xpack.138980 entfernen+daten entschlüsseln
    Log-Analyse und Auswertung - 27.08.2015 (27)
  2. Troj/ExpJS-EG / Troj/ZbotMem-B / Trojan.Phex.THAGen6 - BA-BA-BA-BA-BANKÜBERFALL 2012
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (19)
  3. Trojan.Clicker in einer .jpg?
    Log-Analyse und Auswertung - 27.07.2010 (38)
  4. TR/Clicker.86531
    Plagegeister aller Art und deren Bekämpfung - 17.07.2009 (0)
  5. Trojan.Clicker.Agent.JH?!
    Plagegeister aller Art und deren Bekämpfung - 23.04.2007 (11)
  6. Trojan-Clicker.Win32.VB.gs
    Plagegeister aller Art und deren Bekämpfung - 01.04.2007 (4)
  7. Trojan-Clicker löschen?
    Plagegeister aller Art und deren Bekämpfung - 10.10.2006 (4)
  8. Trojan-Clicker.Win32.VB.fo
    Mülltonne - 06.10.2006 (3)
  9. Trojan-Clicker.JS.Tagem.A
    Mülltonne - 10.07.2006 (9)
  10. HILFE Trojaner Clicker.FR
    Plagegeister aller Art und deren Bekämpfung - 05.07.2006 (1)
  11. trojan.clicker ...was nun?
    Plagegeister aller Art und deren Bekämpfung - 12.01.2006 (1)
  12. Trojan Clicker----------Hilfe
    Plagegeister aller Art und deren Bekämpfung - 23.06.2005 (1)
  13. TR/Clicker.Agent.N.1.
    Plagegeister aller Art und deren Bekämpfung - 08.03.2005 (23)
  14. TR/Clicker.Libie.A
    Plagegeister aller Art und deren Bekämpfung - 13.02.2005 (3)
  15. mIRC wurm und Troj LADDER.A /Troj RAS.DLDR
    Plagegeister aller Art und deren Bekämpfung - 24.12.2004 (1)
  16. trojan.clicker.delf.r
    Plagegeister aller Art und deren Bekämpfung - 01.07.2004 (1)
  17. TROJ PROCKILLA / TROJ TARNO.A
    Plagegeister aller Art und deren Bekämpfung - 06.01.2004 (3)

Zum Thema Troj/Clicker-L ??? - Ich bin absoluter Amateuer, Anfänger... Seit drei Tagen versuche herauszufinden, wie ich folgendes Phänomen beseitigen kann: Es öffnen sich verschiedene Pop up's vorallem einer Strippoker-Seite und eine Meldung "your computer - Troj/Clicker-L ???...
Archiv
Du betrachtest: Troj/Clicker-L ??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.