Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Entfernen der Dateien (Viren) atmclk.exe und dcomcfg.exe (https://www.trojaner-board.de/28891-entfernen-dateien-viren-atmclk-exe-dcomcfg-exe.html)

Druidika 29.04.2006 15:33

Entfernen der Dateien (Viren) atmclk.exe und dcomcfg.exe
 
Mich plagen seid einiger Zeit die beiden Dateien atmclk.exe und dcomcfg.exe.
Sie führen zu ständigen Popups und einem Symbol das sich als Anti-Spyware-Programm ausgibt. Ich habe schon mehrmals die beiden Dateien mit "!Killbox" entfernt doch nach etwa einem Tag hat sie sich wieder in system32 eingenistet und nervt mich. Ich brauche dringend Hilfe um diese Dateien von meinem PC zu verbannen. Außerdem locken diese Dateien immer mehr Viren und Trojaner an die vorher entfernt worden waren!

Hier noch Mein HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:36:18, on 29.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\programme\Asus\AsusProb.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Spiele\Steam\Steam.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
E:\Eigene Dateien\****\Teamspeak 2\teamspeak2_RC2\TeamSpeak.exe
d:\spiele\steam\steamapps\hurtzmann\counter-strike\hl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\Programme\Highjack\HijackThis.exe

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp4D5B.tmp
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ASUS Probe] c:\programme\Asus\AsusProb.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123505969031
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp\WinStylerThemeSvc.exe




Bitte helft mir mich von meinen Problemen zu befreien und sagt mir was ich alles löschen sollte.

mfg Druidika

p.s. Ich habe die Antivirenprogramme: ewido, Norton Anti-Vir, Spybot S&Q und Ad-Aware)

Druidika 29.04.2006 19:54

So ich habe es jetzt selbst noch einmal ausprobiert... mal sehen ob ich jetzt von allem befreit bin!
;)

mfg, Druidika

mc_buggel 01.05.2006 23:59

ich hatte auch die datei atmclk.exe auf meinem rechner
weg bekommen hab ich sie indem ich im abgesichertem modus startete und dann konnte ich sie löschen, dass musste ich 2 mal machen und im moment habe ich ruhe....
wie hast du es hinbekommen?

MFG

MC_Buggel

PhoeniXYZ 09.05.2006 14:45

Also ich hatte eine ziemlich hartnäckige Inkarnation dieses Viruses und hab nach einigem nachforschen jetzt diese Methode rausbekommen:

Systemwiederherstellung abschalten !
Papierkorb leeren
Abgesicherter Modus:

HijackThis fixen:
O2 - BHO: Nothing - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - C:\WINDOWS\system32\hpXXXX.tmp
R3 - URLSearchHook: (no name) - _{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - (no file)

die x gehören zu einer sich immer unterschiedlichen gestaltenden Hexadezimalen Nummer...

Löschen:
Inhalt von c:/windows/temp und c:/windows/prefetch
c:/windows/system32/1024 den Ordner löschen
c:/windows/system32/atmclk.exe
c:/windows/system32/dcomcfg.exe
c:/windows/system32/regperf.exe
Und alle hpXXXX.tmp Dateien löschen

Regedit:
HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer
oder
HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run
oder
HKLM/Software/Microsoft/Windows/CurrentVersion/Run

Alle Keys mit den Werten
"dcomcfg.exe"
"atmclk.exe"
"regperf.exe"
"c:/windows/system32/regperf.exe"
"c:/windows/system32/atmclk.exe"
"c:/windows/system32/dcomcfg.exe"
löschen

Neustarten im normalen Modus und Systemwiederherstellung wieder aktivieren...

MfG
PhoeniXYZ

KleisterHoch3 13.05.2006 11:50

Hi Leute, brauche dringend dringend dringend nochmal Hilfe zu dem Virus der anscheinend was mit der Datei Atmclk zutun hat und diesem Spy Falcon angeblichem Anti Spyware Programm.

Also Leute ich habe alle Schritte die hier im Forum standen getan und bin der Meinung, dass die Spyware runter ist, allerdings befindet sich unten Rechts aufm Desktop da wo die Uhr ist, noch so ein Symbol, welches anzeigt, dass sich ein Virus auf meiner Festplatte befindet, könnt ihr mir helfen, dat ding wegzukriegen?

hijackthis logfile:
Logfile of HijackThis v1.99.1
Scan saved at 12:43:31, on 13.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.094\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130758725373
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winmyy32 - C:\WINDOWS\SYSTEM32\winmyy32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)



Thx im Vorraus

Sunny 13.05.2006 12:04

Moin @Kleisterhoch

ich glaube du hast noch ein ganz anderes Problem als Spyfalcon!
Lass mal bitte folgende Datei bei Virustotal überprüfen:

C:\WINDOWS\SYSTEM32\winmyy32.dll
und poste danach die Auswertung..

Gruß
Daniel

KleisterHoch3 13.05.2006 14:27

Hier das was rauskam:


* 2006.05.13 15:10:44 :: Trojan-Dropper.Win32.Delf.np
* 2006.05.13 15:10:24 :: Suspicious file
* 2006.05.13 15:10:14 :: JS/Feebs.gen.f@MM
* 2006.05.13 15:10:14 :: JS/Feebs.gen.h@MM
* 2006.05.13 15:09:34 :: potentially unw...ram Tool-TPatch
* 2006.05.13 15:09:14 :: potentially unw...ram Tool-TPatch
* 2006.05.13 15:09:04 :: Trojan.Small
* 2006.05.13 15:09:04 :: New Malware.w

# 2006.05.13 15:14:34 :: Trojan.Win32.Regger.s
# 2006.05.13 15:14:14 :: Trojan.Win32.KillDisk.x
# 2006.05.13 15:14:14 :: Downloader-AVS
# 2006.05.13 15:13:24 :: BackDoor-ASB.gen
# 2006.05.13 15:12:54 :: potentially unw...ogram PrcViewer
# 2006.05.13 15:12:14 :: TR/Hijack.Barben.1
# 2006.05.13 15:12:04 :: Suspicious file
# 2006.05.13 15:10:44 :: potentially unw...m Adware-ISTbar

Was soll ich tun?

KleisterHoch3 13.05.2006 14:38

Ok das ist rausgekommen bei der Datei:


TR/Agent.QT.11
Win32:Trojano-BJ
Agent.GU
Trojan.Agent.QT
no virus found
Trojan.Agent-461
Trojan.Click.1152
Win32/Agent.5xf!DLL!Trojan
Win32/SillyDl.AMP
Trojan.Agent.qt
W32/Agent.QT!tr
no virus found
Backdoor.Win32.Hupigon.bv
Trojan.Win32.Agent.qt

no virus found
Win32/TrojanDownloader.Small.CML
W32/Agent.ZXH
Adware/PurityScan
no virus found
Backdoor.Trojan
Trojan/Agent.qt
Trojan.Win32.Agent
Trojan.Win32.Agent.qt

lolifant 25.05.2006 00:10

Hallo!

Ich habe ein ähnliches Problem. Seit heute sind bei mir die Dateien atmclk.exe und dcomcfg.exe aufgetaucht. Habe auch schon versucht sie manuell zu löschen und bin auch nach der Anleitung geganen, mein Problem ist aber:

Ich kann die besagten Dateien nicht löschen, da immer wenn ich versuche sie zu löschen eine Windows-Fehlermeldung kommt und mir mitteilt das die Dateien gerade benutzt werden und ich erst alle Programme welche sie benutzen würden beenden sollte.

Die Prozesse selber zu beenden ist zwar möglich, doch die Prozesse starten ca. 1 Sekunde nach dem Beenden erneut und sind somit nicht zu löschen.

Wisst ihr Rat?

cronos 25.05.2006 01:50

@ lolifant

Bitte eröffne einen eigenen Thread für dein Anliegen.

Beschreibe dein Problem, den Schädlingsbefall (welches AV hat was wo gefunden (Pfadangabe). Ein HJT-Log wäre auch interessant.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131