| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/click.cycler.ajsmWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
17.06.2010, 23:25
| #1 |
 |  TR/click.cycler.ajsm Hallo, ich habe ein Problem mit dem Virus click.cycler.ajsm. eingefangen habe ich ihn mir an dem Tag an dem er entdeckt wurde, nur leider ein paar stunden zu spät, sodass er durch AntiVir nicht vorher erkannt wurde sondern erst, als er das System bereits infiziert hatte. Betroffen sind 2 Dateien, beides Prozesse: einmal services.exe und smss.exe. Eine Beendigung durch den TaskManager wird nicht zugelassen, da ca.: systemkritischer Prozess. AntiVir erkennt Ihn zwar, aber nach dem löschen/in quarantäne verschieben/zugriff verweigern wird er nach ca 20-30 sekunden wieder entdeckt. das spiel kann ich ewig machen. das problem mit services.exe scheint mitlerweile unerklärlicher weise verschwunden, da es nicht mehr von antivir angezeigt wird, ich vermute einen plotter, welcher bei einen systemweiten scan entdeckt und gelöscht worden ist. allerdings finde ich ihn nicht für die andere datei und meine kenntnisse reichen nicht aus ihn zu finden/löschen. hoffe ihr könnt helfen. beide dateien befinden sich im system32 ordner angehängt ein bild, damit ihr nen eindruck gewinnt. im internet fand ich keine anleitung zur entfernung oder andere informationen, der virus scheint zu neu, nur das hier erschien mir ähnlich, daher poste ich auf dieser seite: hxxp://w*w.trojaner-board.de/6320-services-exe-problem-2.html hier erstmal das bild: ist hoffentlich angefügt eine überprüfung der dateien mit kaspersky online scan ergab keine ergebnisse. fast vergessen: seid dem virus funktioniert mein sound nicht mehr, vvlt ein zufall, glaub ich eher aber nicht. weder externe boxen, noch musikanlage, noch die in den bildschirm integrierten boxen funktionieren. eine reinstallation der treiber hilft nicht. des weiteren wird selten, also alle paar stunden, der internet explorer gestartet und eine werbeseite aufgerufen. ich hoffe ihr wisst weiter, ich bin mit meinem latein am ende danke schon im voraus 000 hier noch der antvir scan: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 14. Juni 2010 22:20 Es wird nach 2213168 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : Admin Computername : C-01 Versionsinformationen: BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:20:24 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 18:20:30 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 18:20:31 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:48:11 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 06:14:55 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 15:34:28 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 15:34:29 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 15:34:32 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 15:34:37 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 15:34:37 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 15:34:38 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 15:34:38 VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 06:34:25 VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 06:05:15 VBASE015.VDF : 7.10.8.70 2048 Bytes 14.06.2010 06:05:15 VBASE016.VDF : 7.10.8.71 2048 Bytes 14.06.2010 06:05:15 VBASE017.VDF : 7.10.8.72 2048 Bytes 14.06.2010 06:05:15 VBASE018.VDF : 7.10.8.73 2048 Bytes 14.06.2010 06:05:15 VBASE019.VDF : 7.10.8.74 2048 Bytes 14.06.2010 06:05:15 VBASE020.VDF : 7.10.8.75 2048 Bytes 14.06.2010 06:05:15 VBASE021.VDF : 7.10.8.76 2048 Bytes 14.06.2010 06:05:15 VBASE022.VDF : 7.10.8.77 2048 Bytes 14.06.2010 06:05:15 VBASE023.VDF : 7.10.8.78 2048 Bytes 14.06.2010 06:05:16 VBASE024.VDF : 7.10.8.79 2048 Bytes 14.06.2010 06:05:16 VBASE025.VDF : 7.10.8.80 2048 Bytes 14.06.2010 06:05:16 VBASE026.VDF : 7.10.8.81 2048 Bytes 14.06.2010 06:05:16 VBASE027.VDF : 7.10.8.82 2048 Bytes 14.06.2010 06:05:16 VBASE028.VDF : 7.10.8.83 2048 Bytes 14.06.2010 06:05:16 VBASE029.VDF : 7.10.8.84 2048 Bytes 14.06.2010 06:05:16 VBASE030.VDF : 7.10.8.85 2048 Bytes 14.06.2010 06:05:16 VBASE031.VDF : 7.10.8.87 20992 Bytes 14.06.2010 20:18:59 Engineversion : 8.2.2.6 AEVDF.DLL : 8.1.2.0 106868 Bytes 22.04.2010 10:24:13 AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 29.05.2010 15:35:42 AESCN.DLL : 8.1.6.1 127347 Bytes 09.05.2010 13:09:32 AESBX.DLL : 8.1.3.1 254324 Bytes 22.04.2010 10:24:13 AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 17:30:47 AEPACK.DLL : 8.2.1.1 426358 Bytes 20.03.2010 03:05:36 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 09.05.2010 13:09:32 AEHEUR.DLL : 8.1.1.33 2724214 Bytes 31.05.2010 15:55:36 AEHELP.DLL : 8.1.11.5 242038 Bytes 29.05.2010 15:34:57 AEGEN.DLL : 8.1.3.10 377205 Bytes 29.05.2010 15:34:53 AEEMU.DLL : 8.1.2.0 393588 Bytes 22.04.2010 10:24:12 AECORE.DLL : 8.1.15.3 192886 Bytes 09.05.2010 13:09:32 AEBB.DLL : 8.1.1.0 53618 Bytes 22.04.2010 10:24:12 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59 AVREP.DLL : 8.0.0.7 159784 Bytes 26.02.2010 18:20:40 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Aktive Prozesse Konfigurationsdatei...................: c:\programme\avira\antivir desktop\process.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +JOKE,+PFS, Beginn des Suchlaufs: Montag, 14. Juni 2010 22:20 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '83' Modul(e) wurden durchsucht Durchsuche Prozess 'tcguard.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'tc6.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'IEXPLORE.EXE' - '88' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '115' Modul(e) wurden durchsucht Durchsuche Prozess 'jucheck.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '178' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '13' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'soundman.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'CLI.exe' - '139' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '135' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '47' Modul(e) wurden durchsucht Modul ist infiziert -> 'C:\System Volume Information\Microsoft\smss.exe' Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '11' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Prozess 'smss.exe' wird beendet Catched Exception in SCAN_ProcessList ACCESS_VIOLATION EAX = 00000000 EBX = 00000000 ECX = 0000013C EDX = 00469224 ESI = 00469214 EDI = 00000000 EIP = 7C928FEA EBP = 01C4FD3C ESP = 01C4FCC8 Flg = 00010246 CS = 00000023 SS = 0000001B Ende des Suchlaufs: Montag, 14. Juni 2010 22:24 Benötigte Zeit: 04:00 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 1905 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 1903 Dateien ohne Befall 0 Archive wurden durchsucht 1 Warnungen 0 Hinweise zum schluss noch der HijackThis log:HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 01:52:17, on 17.06.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\System Volume Information\Microsoft\smss.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe E:\Programme\Open Office\OpenOffice.org 3\program\soffice.exe E:\Programme\Open Office\OpenOffice.org 3\program\soffice.bin C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre6\bin\jucheck.exe E:\virus\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: FrostWire Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\AdobeReader\2\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10e.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10e.exe (User 'Default user') O4 - Startup: OpenOffice.org 3.2.lnk = E:\Programme\Open Office\OpenOffice.org 3\program\quickstart.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe -- End of file - 4262 bytes Geändert von 000 (18.06.2010 um 00:23 Uhr) |
|
18.06.2010, 10:21
| #2 |
| /// Malware-holic   | TR/click.cycler.ajsm naja, ein problem könnte sein, das deinem windows updates fehlen, und das du noch avira 9 verwendest.
__________________ok, fangen wir an mit combofix. vergiss nicht die rettungskonsole zu instalieren, die brauchen wir. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
|
18.06.2010, 14:39
| #3 |
| | TR/click.cycler.ajsm he,
__________________hier der log danke, dass du hilfst bis dann 000 |
|
18.06.2010, 14:48
| #4 |
| /// Malware-holic | TR/click.cycler.ajsm wenn du deinen pc startest, kannst du doch jetzt zwischen windows und wiederherstellungskonsole wählen, wähle die wiederherstellungskonsol mit coursor hoch bzw runter. drücke die enter taste. dort musst du folgendes reinkopieren. fixmbr enter jetzt kommt evtl ne nachfrage, die du mit y für yes bestätigen musst. enter exit enter windows wird nun neu gestartet. führe combofix erneut aus, log posten. |
|
18.06.2010, 16:30
| #5 |
| | TR/click.cycler.ajsm Anweisung ausgeführt. nachdem ich den befehl eingab und bestätigt habe, dass durch die master boot recover, o.ä., die partitionen geändert werden können und auf keine daten mehr zugegriffen werden kann wurde ein bluescreen angezeigt, welcher eine Fehlermeldung anzeigt: so ungefähr: es gibt ein Problem mit SPCMCDON.SYS STOP: 0x00000050(0xE1270006, 0x00000000,0xF8025607, 0x00000001) nen text der sagte windows wurde gestoppt, wegen fehler, neu starten, treiber installieren, bla PAGE_FAULT_IN_NONPAGED_AREA SPCMCDON.SYS - Address F8025607 base at F801c000, Date Stamp 41107c8c so, ich hoffe das hilft. bis dann 000 |
|
18.06.2010, 16:34
| #6 |
| /// Malware-holic | TR/click.cycler.ajsm ist das problem einmal aufgetreten oder schreibst du von nem andern pc? |
|
18.06.2010, 16:54
| #7 |
| | TR/click.cycler.ajsm he, einmmal, die fehlermeldung sagte neustart, hab ich gemacht, dann von diesem geschrieben. neues problem: virenmeldung jetzt zweimal, beide smss.exe. anbei der log für combofix und hijackthis bis dann 000 |
|
18.06.2010, 16:56
| #8 |
| /// TB-Ausbilder   | TR/click.cycler.ajsm Hi, Kannst du bitte bootkit_remover herunterladen. Entpacke den Bootkitremover bitte und doppelklick in dem ordner auf remove.exe. Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Sag mir dann bitte Bescheid ob es Veränderungen gibt und wenn ja in welchem device. MfG myrtille EDIT Sorry markusg hatte übersehen, dass du schon antwortest..
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
18.06.2010, 16:56
| #9 |
| /// Malware-holic | TR/click.cycler.ajsm ok, ich möchte dich erst mal bitten ne daetnsicherung zu machen, sicher ist sicher. sag bescheid wenn du fertig bist, dann gehts weiter. |
|
18.06.2010, 17:45
| #10 |
| | TR/click.cycler.ajsm he, hier das ergebnis: sieht gut aus, oder schlecht, je nachdem. auf jeden fall nicht normal... bis dann 000 |
|
18.06.2010, 17:48
| #11 |
| /// Malware-holic | TR/click.cycler.ajsm start, programme, zubehör, editor. kopiere rein: Killall: Rootkit: C:\System Volume Information\Microsoft\smss.exe C:\System Volume Information\Microsoft\services.exe datei speichern unter, typ alle, name cfscript.txt speicherort, dort wo sich combofix.exe befindet. ziehe cfscript auf combofix, programm startet, log posten. |
|
18.06.2010, 17:57
| #12 |
| /// TB-Ausbilder | TR/click.cycler.ajsm Hi, das ist ein MBR rootkit, das wird mit ComboFix nicht weggehen. Versuch bitte folgendes: Falls die Datei nicht schon aufm Desktop liegt, kopiere die Datei bitte auf deinen Desktop und gebe folgenden Befehl ein: Code:
ATTFilter "%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
19.06.2010, 17:42
| #13 |
| | TR/click.cycler.ajsm he, ich bin mir jetzt nicht sicher was ich machen soll. und auf wen ich jetzt hören soll. das mit combofix oder doch was anderes? @myrtille welche datei auf dem deskop? welche datei? und woher soll ich die nehmen? sry für meine dummheit, aber ich steh gerade auf dem schlauch bis dann 000 |
|
19.06.2010, 17:47
| #14 |
| /// TB-Ausbilder | TR/click.cycler.ajsm Hi, ich meinte die remove.exe lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
19.06.2010, 18:16
| #15 |
| | TR/click.cycler.ajsm jede eingabe beendet sofort das programm. hab die datei aus dem Bootkit Remover genommen. heißt bei mir remover.exe. die datei durchsucht ja den mbr und ist dann fertig und dort steht "beliebige taste drücken zum beenden". daher kann ich keine eingabe machen. bis dann 000 |
|
| Themen zu TR/click.cycler.ajsm |
| .dll, 0 bytes, adobe, antivir, antivir guard, antvir, ask toolbar, ask.com, avg, bho, browseui preloader, desktop, druck, firefox.exe, gelöscht worden, hijack, hijackthis, hkus\s-1-5-18, iexplore.exe, internet, internet explorer, jucheck.exe, jusched.exe, kaspersky, mozilla, nt.dll, open office, plug-in, problem, prozesse, scan, sekunden, services.exe, suchlauf, svchost.exe, system, taskmanager, virus, windows, wuauclt.exe |
Linear-Darstellung
