| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/click.cycler.ajsmWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.06.2010, 23:25
| #1 |
 |  TR/click.cycler.ajsm Hallo, ich habe ein Problem mit dem Virus click.cycler.ajsm. eingefangen habe ich ihn mir an dem Tag an dem er entdeckt wurde, nur leider ein paar stunden zu spät, sodass er durch AntiVir nicht vorher erkannt wurde sondern erst, als er das System bereits infiziert hatte. Betroffen sind 2 Dateien, beides Prozesse: einmal services.exe und smss.exe. Eine Beendigung durch den TaskManager wird nicht zugelassen, da ca.: systemkritischer Prozess. AntiVir erkennt Ihn zwar, aber nach dem löschen/in quarantäne verschieben/zugriff verweigern wird er nach ca 20-30 sekunden wieder entdeckt. das spiel kann ich ewig machen. das problem mit services.exe scheint mitlerweile unerklärlicher weise verschwunden, da es nicht mehr von antivir angezeigt wird, ich vermute einen plotter, welcher bei einen systemweiten scan entdeckt und gelöscht worden ist. allerdings finde ich ihn nicht für die andere datei und meine kenntnisse reichen nicht aus ihn zu finden/löschen. hoffe ihr könnt helfen. beide dateien befinden sich im system32 ordner angehängt ein bild, damit ihr nen eindruck gewinnt. im internet fand ich keine anleitung zur entfernung oder andere informationen, der virus scheint zu neu, nur das hier erschien mir ähnlich, daher poste ich auf dieser seite: hxxp://w*w.trojaner-board.de/6320-services-exe-problem-2.html hier erstmal das bild: ist hoffentlich angefügt eine überprüfung der dateien mit kaspersky online scan ergab keine ergebnisse. fast vergessen: seid dem virus funktioniert mein sound nicht mehr, vvlt ein zufall, glaub ich eher aber nicht. weder externe boxen, noch musikanlage, noch die in den bildschirm integrierten boxen funktionieren. eine reinstallation der treiber hilft nicht. des weiteren wird selten, also alle paar stunden, der internet explorer gestartet und eine werbeseite aufgerufen. ich hoffe ihr wisst weiter, ich bin mit meinem latein am ende danke schon im voraus 000 hier noch der antvir scan: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 14. Juni 2010 22:20 Es wird nach 2213168 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : Admin Computername : C-01 Versionsinformationen: BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:20:24 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 18:20:30 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 18:20:31 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:48:11 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 06:14:55 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 15:34:28 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 15:34:29 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 15:34:32 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 15:34:37 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 15:34:37 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 15:34:38 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 15:34:38 VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 06:34:25 VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 06:05:15 VBASE015.VDF : 7.10.8.70 2048 Bytes 14.06.2010 06:05:15 VBASE016.VDF : 7.10.8.71 2048 Bytes 14.06.2010 06:05:15 VBASE017.VDF : 7.10.8.72 2048 Bytes 14.06.2010 06:05:15 VBASE018.VDF : 7.10.8.73 2048 Bytes 14.06.2010 06:05:15 VBASE019.VDF : 7.10.8.74 2048 Bytes 14.06.2010 06:05:15 VBASE020.VDF : 7.10.8.75 2048 Bytes 14.06.2010 06:05:15 VBASE021.VDF : 7.10.8.76 2048 Bytes 14.06.2010 06:05:15 VBASE022.VDF : 7.10.8.77 2048 Bytes 14.06.2010 06:05:15 VBASE023.VDF : 7.10.8.78 2048 Bytes 14.06.2010 06:05:16 VBASE024.VDF : 7.10.8.79 2048 Bytes 14.06.2010 06:05:16 VBASE025.VDF : 7.10.8.80 2048 Bytes 14.06.2010 06:05:16 VBASE026.VDF : 7.10.8.81 2048 Bytes 14.06.2010 06:05:16 VBASE027.VDF : 7.10.8.82 2048 Bytes 14.06.2010 06:05:16 VBASE028.VDF : 7.10.8.83 2048 Bytes 14.06.2010 06:05:16 VBASE029.VDF : 7.10.8.84 2048 Bytes 14.06.2010 06:05:16 VBASE030.VDF : 7.10.8.85 2048 Bytes 14.06.2010 06:05:16 VBASE031.VDF : 7.10.8.87 20992 Bytes 14.06.2010 20:18:59 Engineversion : 8.2.2.6 AEVDF.DLL : 8.1.2.0 106868 Bytes 22.04.2010 10:24:13 AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 29.05.2010 15:35:42 AESCN.DLL : 8.1.6.1 127347 Bytes 09.05.2010 13:09:32 AESBX.DLL : 8.1.3.1 254324 Bytes 22.04.2010 10:24:13 AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 17:30:47 AEPACK.DLL : 8.2.1.1 426358 Bytes 20.03.2010 03:05:36 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 09.05.2010 13:09:32 AEHEUR.DLL : 8.1.1.33 2724214 Bytes 31.05.2010 15:55:36 AEHELP.DLL : 8.1.11.5 242038 Bytes 29.05.2010 15:34:57 AEGEN.DLL : 8.1.3.10 377205 Bytes 29.05.2010 15:34:53 AEEMU.DLL : 8.1.2.0 393588 Bytes 22.04.2010 10:24:12 AECORE.DLL : 8.1.15.3 192886 Bytes 09.05.2010 13:09:32 AEBB.DLL : 8.1.1.0 53618 Bytes 22.04.2010 10:24:12 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59 AVREP.DLL : 8.0.0.7 159784 Bytes 26.02.2010 18:20:40 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Aktive Prozesse Konfigurationsdatei...................: c:\programme\avira\antivir desktop\process.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +JOKE,+PFS, Beginn des Suchlaufs: Montag, 14. Juni 2010 22:20 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '83' Modul(e) wurden durchsucht Durchsuche Prozess 'tcguard.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'tc6.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'IEXPLORE.EXE' - '88' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '115' Modul(e) wurden durchsucht Durchsuche Prozess 'jucheck.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '178' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '13' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'soundman.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'CLI.exe' - '139' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '135' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '47' Modul(e) wurden durchsucht Modul ist infiziert -> 'C:\System Volume Information\Microsoft\smss.exe' Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '11' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Prozess 'smss.exe' wird beendet Catched Exception in SCAN_ProcessList ACCESS_VIOLATION EAX = 00000000 EBX = 00000000 ECX = 0000013C EDX = 00469224 ESI = 00469214 EDI = 00000000 EIP = 7C928FEA EBP = 01C4FD3C ESP = 01C4FCC8 Flg = 00010246 CS = 00000023 SS = 0000001B Ende des Suchlaufs: Montag, 14. Juni 2010 22:24 Benötigte Zeit: 04:00 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 1905 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 1903 Dateien ohne Befall 0 Archive wurden durchsucht 1 Warnungen 0 Hinweise zum schluss noch der HijackThis log:HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 01:52:17, on 17.06.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\System Volume Information\Microsoft\smss.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe E:\Programme\Open Office\OpenOffice.org 3\program\soffice.exe E:\Programme\Open Office\OpenOffice.org 3\program\soffice.bin C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre6\bin\jucheck.exe E:\virus\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: FrostWire Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\AdobeReader\2\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10e.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10e.exe (User 'Default user') O4 - Startup: OpenOffice.org 3.2.lnk = E:\Programme\Open Office\OpenOffice.org 3\program\quickstart.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe -- End of file - 4262 bytes Geändert von 000 (18.06.2010 um 00:23 Uhr) |
| Themen zu TR/click.cycler.ajsm |
| .dll, 0 bytes, adobe, antivir, antivir guard, antvir, ask toolbar, ask.com, avg, bho, browseui preloader, desktop, druck, firefox.exe, gelöscht worden, hijack, hijackthis, hkus\s-1-5-18, iexplore.exe, internet, internet explorer, jucheck.exe, jusched.exe, kaspersky, mozilla, nt.dll, open office, plug-in, problem, prozesse, scan, sekunden, services.exe, suchlauf, svchost.exe, system, taskmanager, virus, windows, wuauclt.exe |
Baum-Darstellung