|
Entfernen der Dateien (Viren) atmclk.exe und dcomcfg.exe Mich plagen seid einiger Zeit die beiden Dateien atmclk.exe und dcomcfg.exe. Sie führen zu ständigen Popups und einem Symbol das sich als Anti-Spyware-Programm ausgibt. Ich habe schon mehrmals die beiden Dateien mit "!Killbox" entfernt doch nach etwa einem Tag hat sie sich wieder in system32 eingenistet und nervt mich. Ich brauche dringend Hilfe um diese Dateien von meinem PC zu verbannen. Außerdem locken diese Dateien immer mehr Viren und Trojaner an die vorher entfernt worden waren! Hier noch Mein HJT-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 16:36:18, on 29.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Programme\ewido anti-malware\ewidoguard.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\Explorer.EXE C:\programme\Asus\AsusProb.exe C:\WINDOWS\Mixer.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe D:\Spiele\Steam\Steam.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Xfire\Xfire.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE E:\Eigene Dateien\****\Teamspeak 2\teamspeak2_RC2\TeamSpeak.exe d:\spiele\steam\steamapps\hurtzmann\counter-strike\hl.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\dcomcfg.exe C:\WINDOWS\system32\atmclk.exe C:\Programme\Highjack\HijackThis.exe O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp4D5B.tmp O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ASUS Probe] c:\programme\Asus\AsusProb.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123505969031 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp\WinStylerThemeSvc.exe Bitte helft mir mich von meinen Problemen zu befreien und sagt mir was ich alles löschen sollte. mfg Druidika p.s. Ich habe die Antivirenprogramme: ewido, Norton Anti-Vir, Spybot S&Q und Ad-Aware) |
So ich habe es jetzt selbst noch einmal ausprobiert... mal sehen ob ich jetzt von allem befreit bin! ;) mfg, Druidika |
ich hatte auch die datei atmclk.exe auf meinem rechner weg bekommen hab ich sie indem ich im abgesichertem modus startete und dann konnte ich sie löschen, dass musste ich 2 mal machen und im moment habe ich ruhe.... wie hast du es hinbekommen? MFG MC_Buggel |
Also ich hatte eine ziemlich hartnäckige Inkarnation dieses Viruses und hab nach einigem nachforschen jetzt diese Methode rausbekommen: Systemwiederherstellung abschalten ! Papierkorb leeren Abgesicherter Modus: HijackThis fixen: O2 - BHO: Nothing - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - C:\WINDOWS\system32\hpXXXX.tmp R3 - URLSearchHook: (no name) - _{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - (no file) die x gehören zu einer sich immer unterschiedlichen gestaltenden Hexadezimalen Nummer... Löschen: Inhalt von c:/windows/temp und c:/windows/prefetch c:/windows/system32/1024 den Ordner löschen c:/windows/system32/atmclk.exe c:/windows/system32/dcomcfg.exe c:/windows/system32/regperf.exe Und alle hpXXXX.tmp Dateien löschen Regedit: HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer oder HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run oder HKLM/Software/Microsoft/Windows/CurrentVersion/Run Alle Keys mit den Werten "dcomcfg.exe" "atmclk.exe" "regperf.exe" "c:/windows/system32/regperf.exe" "c:/windows/system32/atmclk.exe" "c:/windows/system32/dcomcfg.exe" löschen Neustarten im normalen Modus und Systemwiederherstellung wieder aktivieren... MfG PhoeniXYZ |
Hi Leute, brauche dringend dringend dringend nochmal Hilfe zu dem Virus der anscheinend was mit der Datei Atmclk zutun hat und diesem Spy Falcon angeblichem Anti Spyware Programm. Also Leute ich habe alle Schritte die hier im Forum standen getan und bin der Meinung, dass die Spyware runter ist, allerdings befindet sich unten Rechts aufm Desktop da wo die Uhr ist, noch so ein Symbol, welches anzeigt, dass sich ein Virus auf meiner Festplatte befindet, könnt ihr mir helfen, dat ding wegzukriegen? hijackthis logfile: Logfile of HijackThis v1.99.1 Scan saved at 12:43:31, on 13.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Xfire\Xfire.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Teamspeak2_RC2\TeamSpeak.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.094\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Startup: PowerReg Scheduler V3.exe O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130758725373 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: winmyy32 - C:\WINDOWS\SYSTEM32\winmyy32.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing) O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing) Thx im Vorraus |
Moin @Kleisterhoch ich glaube du hast noch ein ganz anderes Problem als Spyfalcon! Lass mal bitte folgende Datei bei Virustotal überprüfen: C:\WINDOWS\SYSTEM32\winmyy32.dll und poste danach die Auswertung.. Gruß Daniel |
Hier das was rauskam: * 2006.05.13 15:10:44 :: Trojan-Dropper.Win32.Delf.np * 2006.05.13 15:10:24 :: Suspicious file * 2006.05.13 15:10:14 :: JS/Feebs.gen.f@MM * 2006.05.13 15:10:14 :: JS/Feebs.gen.h@MM * 2006.05.13 15:09:34 :: potentially unw...ram Tool-TPatch * 2006.05.13 15:09:14 :: potentially unw...ram Tool-TPatch * 2006.05.13 15:09:04 :: Trojan.Small * 2006.05.13 15:09:04 :: New Malware.w # 2006.05.13 15:14:34 :: Trojan.Win32.Regger.s # 2006.05.13 15:14:14 :: Trojan.Win32.KillDisk.x # 2006.05.13 15:14:14 :: Downloader-AVS # 2006.05.13 15:13:24 :: BackDoor-ASB.gen # 2006.05.13 15:12:54 :: potentially unw...ogram PrcViewer # 2006.05.13 15:12:14 :: TR/Hijack.Barben.1 # 2006.05.13 15:12:04 :: Suspicious file # 2006.05.13 15:10:44 :: potentially unw...m Adware-ISTbar Was soll ich tun? |
Ok das ist rausgekommen bei der Datei: TR/Agent.QT.11 Win32:Trojano-BJ Agent.GU Trojan.Agent.QT no virus found Trojan.Agent-461 Trojan.Click.1152 Win32/Agent.5xf!DLL!Trojan Win32/SillyDl.AMP Trojan.Agent.qt W32/Agent.QT!tr no virus found Backdoor.Win32.Hupigon.bv Trojan.Win32.Agent.qt no virus found Win32/TrojanDownloader.Small.CML W32/Agent.ZXH Adware/PurityScan no virus found Backdoor.Trojan Trojan/Agent.qt Trojan.Win32.Agent Trojan.Win32.Agent.qt |
Hallo! Ich habe ein ähnliches Problem. Seit heute sind bei mir die Dateien atmclk.exe und dcomcfg.exe aufgetaucht. Habe auch schon versucht sie manuell zu löschen und bin auch nach der Anleitung geganen, mein Problem ist aber: Ich kann die besagten Dateien nicht löschen, da immer wenn ich versuche sie zu löschen eine Windows-Fehlermeldung kommt und mir mitteilt das die Dateien gerade benutzt werden und ich erst alle Programme welche sie benutzen würden beenden sollte. Die Prozesse selber zu beenden ist zwar möglich, doch die Prozesse starten ca. 1 Sekunde nach dem Beenden erneut und sind somit nicht zu löschen. Wisst ihr Rat? |
@ lolifant Bitte eröffne einen eigenen Thread für dein Anliegen. Beschreibe dein Problem, den Schädlingsbefall (welches AV hat was wo gefunden (Pfadangabe). Ein HJT-Log wäre auch interessant. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board