C:\WINDOWS\cll.exe Ein Virus, Spyware?

[VoKuHiLa]

Hallo,

vor ca. 2,5 Jahren habe ich mich von Norton getrennt, da ich es leid war ca. 50% meiner Systemleistung für firewall und Antivirenüberprüfungen zu verschleudern. Seit dem läuft das System mit vernünftigen Browsern, der Firewall im Router und dem nötigem Grundverständnis fehlerfrei. Hatte nie irgendwelche Probleme mit Viren und mir ist bisher auch kein ungewollter Datentransfer ins Internet aufgefallen.

Nun ist mir aber vor ein paar Tagen aufgefallen, dass das System etwas länger zum starten braucht und das sich der Eintrag "C:\WINDOWS\cll.exe" zwar aus dem Systemstart entfernen lässt, aber nach erneutem Start wieder aktiviert ist. Des weiteren kann ich mir nicht erklären, wo dieser eintrag her kommt.

Also habe ich mich entschieden doch zur Sicherheit mal Antivir drüberlaufen zu lassen, könnte ja sein, das ich mir doch was eingefangen habe... Allerdings meldet mir Antivir nur, das es die Datei nicht Öffnen kann.

Jetzt bin ich mir nicht sicher, was ich davon halten soll. Kennt vielleicht einer das gleiche Problem oder hat einen anderen Lösungsansatz?
Achso, der Autostarteintrag steht unter dem Namen "Save".

Vielen Dank für jede Hilfe schonmal im Vorraus.

Simon

 

[werkam]

In der Datei 'C:\WINDOWS\cll.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.158742' [trojan] gefunden. Ausgeführte Aktion: Datei löschen

Das habe ich gefunden im Netz, also lass mal mit HighJack eine Analyse durchlaufen und evtl Fehler korrigieren.

 

[Ria]

Hallo,

der Große Google-Gott meint, dass diese Datei sowohl zu einer Soundkarte, als auch Malware sein könnte.

Vielleicht nutzt Du die zur Verfügung stehenden Online-Malware-Tester wie:

Virus Total - Link hierzu: http://www.virustotal.com/de/

...

mfg

Ria


PS: Du gehörst also zu den 10 bis 20 Prozent von Computernutzern, denen die eigene - aber auch die Sicherheit seiner Mitmenschen am Arsch vorbei geht!

 

[SaveMan]

PS: Du gehörst also zu den 10 bis 20 Prozent von Computernutzern, denen die eigene - aber auch die Sicherheit seiner Mitmenschen am Arsch vorbei geht!

aus deinem satz werde ich nicht schlau.... was meinst du damit

 

[jochen1001]

Hier findest du auch einen guten Virus/Malware Scanner:

www.housecall.de


JRE wird vorausgesetzt

 

[VoKuHiLa]

Vielen Dank für die schnelle Antwort.

Leider kann ich mir HjackThis nicht an der Datei verändern. Aber vielleicht fällt ja jemand was an meinem Logfile auf.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:18:48, on 18.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
F:\Programme\RealVNC\VNC4\WinVNC4.exe
F:\programme\powerstrip\pstrip.exe
F:\Programme\Logitech\iTouch\iTouch.exe
F:\Programme\Creative\Surround Mixer\CTSysVol.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\Remote Anything\Master.exe
f:\progra~1\winamp\winamp.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\msiexec.exe
F:\Programme\DU Meter\DUMeter.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\Ad-Aware\aawservice.exe
F:\Programme\Ad-Aware\Ad-Aware.exe
C:\WINDOWS\system32\NOTEPAD.EXE
F:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arcor-ip.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [PowerStrip] f:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [zBrowser Launcher] F:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CTSysVol] F:\Programme\Creative\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [NVRaidService] REM C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NvMediaCenter] REM RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [safe] C:\WINDOWS\cll.exe
O4 - HKCU\..\Run: [ctfmon.exe] REM C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://F:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - F:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - F:\Programme\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E61D42F6-8618-4986-A712-4BC9AFCAC3FB}: NameServer = 145.253.2.11,145.253.2.171
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Programme\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - F:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 7284 bytes


Vielen Dank nochmals für die schnelle Hilfe.

Simon

 

[rueckspiegel]

In dem er seinen PC Hackern zur verfügung stellt um Vieren und anderes zeugs weiter zu verteilen werden auch seine mitmenschen durch vieren infiziert. schon alleine, wenn er nem bekannten ne cd von seinem vierenverseuchten pc brennt ist das recht heikel!

einen pc ohne vierenscanner zu nutzen ist in der heutigen zeit wirklich sehr unnklug, wenn nicht sogar dumm, wie man ja jetzt auch sieht. eine zeit lang geht das vll gut, aber irgendwann hat man halt mal nen virus auf dem rechner ist einfach so, egal wie schlau man sich anstellt.

ne firewall ist, wenn man nen router benutzt nicht wirklich notwendig wie ich finde. oder man nutzt einfach die windowsfirewall, die hilft auch schon etwas.

diese ganzen highjack geschichten muss ich sagen sind mir auch sehr suspekt. habe damit auch mal versucht nen problem zu lösen, was aber nicht wirklich hingehaun hat.

ich würde bei so einer situation einfach den rechner neu aufsetzten. das ist am sichersten und einfachsten wie ich finde.

das herumspielen mit dem highjack usw. verbraucht nämlich auch ganz schön viel zeit wie ich finde.

 

[werkam]

Wieso kann HighJack nichts ändern, mach einen Haken rein bei dem Eintrag
O4 - HKLM\..\Run: [safe] C:\WINDOWS\cll.exe
und lass es fixen.

 

[Faihtless]

Ich würde dir Vorschlagen bei So was Daten Sichern und System neu aufspielen,ich denk mal das noch mehr betropffen ist und daher ist das beste alles neu zu installieren um sicher zu gehen.

 

[VoKuHiLa]

Nun ja. Die Windows, wie auch die Routerfirewall sind ja reine Portblocker. Bisher war ich im Glauben, das die Routerseitige Blockierung der Ports die sicherste ist. Das dies auch nur ein kleiner Schutz ist und das jemand, wenn er es drauf anlegt immernoch Schaden anrichten kann ist mir durchaus bewusst.
Doch nachdem ich jetzt ein paar Jahre damit gut auskam und auf die gesamten Einschränkungen durch Virenprogramme verzichten konnte, ist das für mich ausriechende Sicherheit.

Habe heute ein paar Antivirenprogramme sowie AdAware früberlaufen lassen. Allerdings wurde nichts gefunden, außer das sich diese Datei nicht öffnen lies. Das dumme ist halt, das ich sehr ungern im Ungewissen bin, was es mit der Datei auf sich hat und woher er nicht löschbare Autostarteintrag kommt. Auch AdAware hat nichts finden können außer ein Haufen alter IE Cookies.

MfG

Simon

 

[Faihtless]

Löschen im Abgesicherten Modus hast du das schon gemacht? ?

 

[VoKuHiLa]

Wieso kann HighJack nichts ändern, mach einen Haken rein bei dem Eintrag
O4 - HKLM\..\Run: [safe] C:\WINDOWS\cll.exe
und lass es fixen.

Dann sag ich erstmal Vielen Dank!

Ehrlich gesagt kannte ich bisher Hijack nicht und nachdem ich die Datei markiert hatte und auf Fix geklickt habe, kam keine Meldung, nur die Liste war lehr. Dachte nicht, das sich etwas verändert hat.

Habe nun gerade einfach mal nen Neustart gemacht und siehe da: Alles wieder einwandfrei! Die verzögerung beim hochfahren ist weg und der Eintrag lässt isch aus dem Autostart löschen. Keine Ahnung, was das Programm angestellt hat, aber es hat geholfen.

Nuja, vielen Dank an alle für genial schnelle Hilfe. Ist einfach was feines, wenn einem so schnell geholfen werden kann.

Simon