Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   atmclk.exe und dcomcfg.exe entfernen (https://www.trojaner-board.de/29471-atmclk-exe-dcomcfg-exe-entfernen.html)

lolifant 25.05.2006 12:12
atmclk.exe und dcomcfg.exe entfernen
 
Hallo!

Also, ich habe ein ähnliches Problem wie hier! Es wurde gesagt ich sollte einen neuen Thread aufmachen.

Habe gestern Abend die beiden Prozesse atmclk.exe und dcomcfg.exe im Task-Manager entdeckt. Ich habe dann versucht sie zu beenden was mir auch möglich war, die Prozesse haben sich aber ca. eine Sekunde später neugestartet.

Ich bin auch die im obigen Thread angegebene Lösch-Anleitung durchgegangen, diese konnte ich aber nicht kommplett durchführen weil ich die besagten Dateien nicht löschen kann, da immer wenn ich dies versuche eine Windows-Fehlermeldung kommt, welche besagt das die Dateien in benutzung seien und ich erst alle Programme (bzw. Prozesse) welche sie benötigten/benutzen beenden sollte. Dies wiederum ist mir nicht möglich da sich die Prozesse ja nach ca. einer Sekunde neustarten.

Ihr versteht mein Problem? Ich hoffe es weiß jemand eine Lösung, denn diese Prozesse sind ziemlich nervig.

HJT-Logfile:

Zitat:
Zitat von Hijack This
Logfile of HijackThis v1.99.1
Scan saved at 13:01:37, on 25.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\LiteStep\litestep.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\System32\atmclk.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
F:\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\...\Desktop\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\System32\hp100.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - F:\Modding\Styler\TB\StylerTB.dll
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOKUME~1\...\LOKALE~1\Temp\dnlsvc.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Wildone 25.05.2006 12:17
Hallo,
führe Smitfraudfix wie hier beschrieben aus, du kannst es gleich mit der Option "2" machen. Dann postest du die Datei C:\rapport.txt und berichtest ob das Problem noch besteht.


Edit
Scanne zusätzlich dein System mit Rootkitrevealer, während dem Scan nichts anderes machen! Poste danach das Logfile (File>>Safe)


Grüße Wildone

lolifant 25.05.2006 13:31
Ok habe jetzt mit RootKitRevealer gescannt..

Zitat:
Zitat von RootKitRevealer
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 25.05.2006 14:07 80 bytes Data mismatch between Windows API and raw hive data.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb00311.log 25.05.2006 14:09 128.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb00312.log 25.05.2006 14:11 128.00 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edbtmp.log 25.05.2006 14:09 128.00 KB Hidden from Windows API.
Werde jetzt neustarten und dann mit Smitfraudfix hoffentlich alles löschen können!

/edit

Offenbar wurde jetzt fast alles entfernt.. bestehen noch ein paar Sachen, aber die lassen sich nicht löschen da sie entweder noch benutzt werden (diesmal vom prozess winlogon welchen ich nicht killen kann) oder ich habe keinen Zugriff..

Zitat:
Zitat von rapport.txt
SmitFraudFix v2.47

Scan done at 15:18:42,06, 25.05.2006
Run from C:\Dokumente und Einstellungen\David\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{0c7416f0-dd23-420f-97f5-aae352ea2bf1}"="glochid"

[HKEY_CLASSES_ROOT\CLSID\{0c7416f0-dd23-420f-97f5-aae352ea2bf1}\InProcServer32]
@="C:\WINDOWS\System32\wfkduei.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{0c7416f0-dd23-420f-97f5-aae352ea2bf1}\InProcServer32]
@="C:\WINDOWS\System32\wfkduei.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\WINDOWS\system32\atmclk.exe
Problem while deleting C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\hp????.tmp Deleted
Problem while deleting C:\WINDOWS\system32\ld????.tmp
C:\WINDOWS\system32\ot.ico Deleted
Problem while deleting C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\simpole.tlb Deleted
Problem while deleting C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\David\FAVORI~1\Antivirus Test Online.url Deleted
C:\DOKUME~1\David\STARTM~1\SpywareQuake.com 2.1.lnk Deleted
C:\DOKUME~1\David\STARTM~1\PROGRA~1\SpywareQuake.com Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\System32\wfkduei.dll -> Hoax.Win32.Renos.gen
C:\WINDOWS\System32\wfkduei.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\atmclk.exe Deleted
C:\WINDOWS\system32\dcomcfg.exe Deleted
Problem while deleting C:\WINDOWS\system32\ld????.tmp
C:\WINDOWS\system32\stdole3.tlb Deleted

»»»»»»»»»»»»»»»»»»»»»»»» End

Webspinner 06.06.2006 00:59
DANKE, LEUTE!
Ich hatte gestern 'ne LAN und naja waehrend des Internezzz-Zugangs musste ich kurzzeitig meine "Deff" (^^) Zole Alarm ausmachen.Tja letztendlich kamen dabei raus 183 Viren/Trojaner/Wuermer und die schlimmsten hab ich mithilfe von Smitfraudfix gekillt.Hier im Ganzen:

Zitat:
SmitFraudFix v2.55

Scan done at 1:44:54,64, 06.06.2006
Run from C:\Dokumente und Einstellungen\ColdFire-SoD-.SONS-ESNKPAFFVA\Desktop\WoW Testrealm\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{5aaf6542-f4ba-4df4-873d-4902ecbe794c}"="acheweed"

[HKEY_CLASSES_ROOT\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}\InProcServer32]
@="C:\WINDOWS\System32\acvgxw.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}\InProcServer32]
@="C:\WINDOWS\System32\acvgxw.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}"="DCOM Server"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\uniq Deleted
C:\WINDOWS\teller2.chk Deleted
C:\WINDOWS\system32\acvgxw.dll Deleted
C:\WINDOWS\system32\dcom_21.dll Deleted
C:\WINDOWS\system32\dcomcfg.exe Deleted
C:\WINDOWS\system32\dxole32.exe Deleted
Problem while deleting C:\WINDOWS\system32\hp???.tmp
Problem while deleting C:\WINDOWS\system32\hp????.tmp
Problem while deleting C:\WINDOWS\system32\ld????.tmp
C:\WINDOWS\system32\ot.ico Deleted
Problem while deleting C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\simpole.tlb Deleted
Problem while deleting C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\COLDFI~1.SON\FAVORI~1\Antivirus Test Online.url Deleted
C:\Programme\Common Files\VCClient Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\System32\acvgxw.dll -> Missing File


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{5aaf6542-f4ba-4df4-873d-4902ecbe794c}"="acheweed"

[HKEY_CLASSES_ROOT\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}\InProcServer32]
@="C:\WINDOWS\System32\acvgxw.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}\InProcServer32]
@="C:\WINDOWS\System32\acvgxw.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}"="DCOM Server"
Man siehe da, alles klappt wieder ohne Probleme...


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27