TR/click.cycler.ajsm
 

Hallo,

ich habe ein Problem mit dem Virus click.cycler.ajsm.

eingefangen habe ich ihn mir an dem Tag an dem er entdeckt wurde, nur leider ein paar stunden zu spät, sodass er durch AntiVir nicht vorher erkannt wurde sondern erst, als er das System bereits infiziert hatte.

Betroffen sind 2 Dateien, beides Prozesse: einmal services.exe und smss.exe. Eine Beendigung durch den TaskManager wird nicht zugelassen, da ca.: systemkritischer Prozess.
AntiVir erkennt Ihn zwar, aber nach dem löschen/in quarantäne verschieben/zugriff verweigern wird er nach ca 20-30 sekunden wieder entdeckt. das spiel kann ich ewig machen. das problem mit services.exe scheint mitlerweile unerklärlicher weise verschwunden, da es nicht mehr von antivir angezeigt wird, ich vermute einen plotter, welcher bei einen systemweiten scan entdeckt und gelöscht worden ist. allerdings finde ich ihn nicht für die andere datei und meine kenntnisse reichen nicht aus ihn zu finden/löschen. hoffe ihr könnt helfen.
beide dateien befinden sich im system32 ordner

angehängt ein bild, damit ihr nen eindruck gewinnt.
im internet fand ich keine anleitung zur entfernung oder andere informationen, der virus scheint zu neu, nur das hier erschien mir ähnlich, daher poste ich auf dieser seite:
hxxp://w*w.trojaner-board.de/6320-services-exe-problem-2.html


hier erstmal das bild:
ist hoffentlich angefügt

eine überprüfung der dateien mit kaspersky online scan ergab keine ergebnisse.

fast vergessen: seid dem virus funktioniert mein sound nicht mehr, vvlt ein zufall, glaub ich eher aber nicht. weder externe boxen, noch musikanlage, noch die in den bildschirm integrierten boxen funktionieren. eine reinstallation der treiber hilft nicht.
des weiteren wird selten, also alle paar stunden, der internet explorer gestartet und eine werbeseite aufgerufen.

ich hoffe ihr wisst weiter, ich bin mit meinem latein am ende

danke schon im voraus
000



hier noch der antvir scan:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 14. Juni 2010 22:20

Es wird nach 2213168 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Admin
Computername : C-01

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:20:24
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 18:20:30
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 18:20:31
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:48:11
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 06:14:55
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 15:34:28
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 15:34:29
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 15:34:32
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 15:34:37
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 15:34:37
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 15:34:38
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 15:34:38
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 06:34:25
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 06:05:15
VBASE015.VDF : 7.10.8.70 2048 Bytes 14.06.2010 06:05:15
VBASE016.VDF : 7.10.8.71 2048 Bytes 14.06.2010 06:05:15
VBASE017.VDF : 7.10.8.72 2048 Bytes 14.06.2010 06:05:15
VBASE018.VDF : 7.10.8.73 2048 Bytes 14.06.2010 06:05:15
VBASE019.VDF : 7.10.8.74 2048 Bytes 14.06.2010 06:05:15
VBASE020.VDF : 7.10.8.75 2048 Bytes 14.06.2010 06:05:15
VBASE021.VDF : 7.10.8.76 2048 Bytes 14.06.2010 06:05:15
VBASE022.VDF : 7.10.8.77 2048 Bytes 14.06.2010 06:05:15
VBASE023.VDF : 7.10.8.78 2048 Bytes 14.06.2010 06:05:16
VBASE024.VDF : 7.10.8.79 2048 Bytes 14.06.2010 06:05:16
VBASE025.VDF : 7.10.8.80 2048 Bytes 14.06.2010 06:05:16
VBASE026.VDF : 7.10.8.81 2048 Bytes 14.06.2010 06:05:16
VBASE027.VDF : 7.10.8.82 2048 Bytes 14.06.2010 06:05:16
VBASE028.VDF : 7.10.8.83 2048 Bytes 14.06.2010 06:05:16
VBASE029.VDF : 7.10.8.84 2048 Bytes 14.06.2010 06:05:16
VBASE030.VDF : 7.10.8.85 2048 Bytes 14.06.2010 06:05:16
VBASE031.VDF : 7.10.8.87 20992 Bytes 14.06.2010 20:18:59
Engineversion : 8.2.2.6
AEVDF.DLL : 8.1.2.0 106868 Bytes 22.04.2010 10:24:13
AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 29.05.2010 15:35:42
AESCN.DLL : 8.1.6.1 127347 Bytes 09.05.2010 13:09:32
AESBX.DLL : 8.1.3.1 254324 Bytes 22.04.2010 10:24:13
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 17:30:47
AEPACK.DLL : 8.2.1.1 426358 Bytes 20.03.2010 03:05:36
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 09.05.2010 13:09:32
AEHEUR.DLL : 8.1.1.33 2724214 Bytes 31.05.2010 15:55:36
AEHELP.DLL : 8.1.11.5 242038 Bytes 29.05.2010 15:34:57
AEGEN.DLL : 8.1.3.10 377205 Bytes 29.05.2010 15:34:53
AEEMU.DLL : 8.1.2.0 393588 Bytes 22.04.2010 10:24:12
AECORE.DLL : 8.1.15.3 192886 Bytes 09.05.2010 13:09:32
AEBB.DLL : 8.1.1.0 53618 Bytes 22.04.2010 10:24:12
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.7 159784 Bytes 26.02.2010 18:20:40
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Aktive Prozesse
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\process.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PFS,

Beginn des Suchlaufs: Montag, 14. Juni 2010 22:20

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcguard.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'tc6.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '178' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '139' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '47' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\System Volume Information\Microsoft\smss.exe'
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Prozess 'smss.exe' wird beendet
Catched Exception in SCAN_ProcessList
ACCESS_VIOLATION
EAX = 00000000 EBX = 00000000
ECX = 0000013C EDX = 00469224
ESI = 00469214 EDI = 00000000
EIP = 7C928FEA EBP = 01C4FD3C
ESP = 01C4FCC8 Flg = 00010246
CS = 00000023 SS = 0000001B


Ende des Suchlaufs: Montag, 14. Juni 2010 22:24
Benötigte Zeit: 04:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
1905 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1903 Dateien ohne Befall
0 Archive wurden durchsucht
1 Warnungen
0 Hinweise



zum schluss noch der hijackthis log:HiJackthis Logfile:
--- --- ---

naja, ein problem könnte sein, das deinem windows updates fehlen, und das du noch avira 9 verwendest.
ok, fangen wir an mit combofix. vergiss nicht die rettungskonsole zu instalieren, die brauchen wir.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

he,

hier der log

danke, dass du hilfst

bis dann
000

wenn du deinen pc startest, kannst du doch jetzt zwischen windows und wiederherstellungskonsole wählen, wähle die wiederherstellungskonsol mit coursor hoch bzw runter. drücke die enter taste.
dort musst du folgendes reinkopieren.

fixmbr
enter

jetzt kommt evtl ne nachfrage, die du mit y für yes bestätigen musst.
enter
exit
enter
windows wird nun neu gestartet.
führe combofix erneut aus, log posten.

Anweisung ausgeführt.

nachdem ich den befehl eingab und bestätigt habe, dass durch die master boot recover, o.ä., die partitionen geändert werden können und auf keine daten mehr zugegriffen werden kann wurde ein bluescreen angezeigt, welcher eine Fehlermeldung anzeigt:
so ungefähr:

es gibt ein Problem mit SPCMCDON.SYS

STOP: 0x00000050(0xE1270006, 0x00000000,0xF8025607, 0x00000001)

nen text der sagte windows wurde gestoppt, wegen fehler, neu starten, treiber installieren, bla

PAGE_FAULT_IN_NONPAGED_AREA

SPCMCDON.SYS - Address F8025607 base at F801c000, Date Stamp 41107c8c


so, ich hoffe das hilft.

bis dann
000

ist das problem einmal aufgetreten oder schreibst du von nem andern pc?

he,

einmmal, die fehlermeldung sagte neustart, hab ich gemacht, dann von diesem geschrieben. neues problem: virenmeldung jetzt zweimal, beide smss.exe. anbei der log für combofix und hijackthis

bis dann
000

Hi,


Kannst du bitte bootkit_remover herunterladen. Entpacke den Bootkitremover bitte und doppelklick in dem ordner auf remove.exe.
Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Sag mir dann bitte Bescheid ob es Veränderungen gibt und wenn ja in welchem device.

MfG myrtille

EDIT Sorry markusg hatte übersehen, dass du schon antwortest..

ok, ich möchte dich erst mal bitten ne daetnsicherung zu machen, sicher ist sicher. sag bescheid wenn du fertig bist, dann gehts weiter.

he,

hier das ergebnis:

sieht gut aus, oder schlecht, je nachdem. auf jeden fall nicht normal...

bis dann
000

start, programme, zubehör, editor. kopiere rein:

Killall:
Rootkit:
C:\System Volume Information\Microsoft\smss.exe
C:\System Volume Information\Microsoft\services.exe
datei speichern unter, typ alle, name
cfscript.txt
speicherort, dort wo sich combofix.exe befindet. ziehe cfscript auf combofix, programm startet, log posten.

Hi,

das ist ein MBR rootkit, das wird mit ComboFix nicht weggehen.

Versuch bitte folgendes:

Falls die Datei nicht schon aufm Desktop liegt, kopiere die Datei bitte auf deinen Desktop und gebe folgenden Befehl ein:MfG myrtille

he,

ich bin mir jetzt nicht sicher was ich machen soll. und auf wen ich jetzt hören soll. das mit combofix oder doch was anderes?

@myrtille
welche datei auf dem deskop? welche datei? und woher soll ich die nehmen?

sry für meine dummheit, aber ich steh gerade auf dem schlauch

bis dann
000

Hi,

ich meinte die remove.exe

lg myrtille

jede eingabe beendet sofort das programm.

hab die datei aus dem bootkit-remover genommen. heißt bei mir remover.exe. die datei durchsucht ja den mbr und ist dann fertig und dort steht "beliebige taste drücken zum beenden". daher kann ich keine eingabe machen.

bis dann
000