TR/Click.Cycler.akdp

Diskutiere TR/Click.Cycler.akdp im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; Hallo =) Ich bin es mal wieder. Diesmal ist mein PC von dem Click.Cycler.akdp Virus befallen ( laut LukeFileWalker). Ich lasse AntiVir gerade ein...

  1. #1 ChaosSpirit, 29.07.2010
    ChaosSpirit

    ChaosSpirit Benutzer

    Dabei seit:
    26.05.2008
    Beiträge:
    57
    Zustimmungen:
    0
    Hallo =) Ich bin es mal wieder. Diesmal ist mein PC von dem Click.Cycler.akdp Virus befallen ( laut LukeFileWalker). Ich lasse AntiVir gerade ein zweites Mal durchlaufen, aber die tauchen immer wieder auf.

    Der AntiVir Bericht:


    Avira AntiVir Personal
    Erstellungsdatum der Reportdatei: Donnerstag, 29. Juli 2010 12:01

    Es wird nach 2581037 Virenstämmen gesucht.

    Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
    Seriennummer : 0000149996-ADJIE-0000001
    Plattform : Windows XP
    Windowsversion : (Service Pack 3) [5.1.2600]
    Boot Modus : Normal gebootet
    Benutzername : SYSTEM
    Computername : ESPER

    Versionsinformationen:
    BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 29.01.2010 19:05:25
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
    LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
    LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:05:25
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:05:25
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 19:05:25
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:05:25
    VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 08:14:18
    VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 08:14:30
    VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:32:16
    VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 18:12:29
    VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 18:12:30
    VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 18:12:30
    VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 18:12:31
    VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 18:12:31
    VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 18:12:31
    VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 07:12:55
    VBASE014.VDF : 7.10.9.230 121856 Bytes 28.07.2010 08:26:47
    VBASE015.VDF : 7.10.9.231 2048 Bytes 28.07.2010 08:26:47
    VBASE016.VDF : 7.10.9.232 2048 Bytes 28.07.2010 08:26:47
    VBASE017.VDF : 7.10.9.233 2048 Bytes 28.07.2010 08:26:47
    VBASE018.VDF : 7.10.9.234 2048 Bytes 28.07.2010 08:26:47
    VBASE019.VDF : 7.10.9.235 2048 Bytes 28.07.2010 08:26:48
    VBASE020.VDF : 7.10.9.236 2048 Bytes 28.07.2010 08:26:48
    VBASE021.VDF : 7.10.9.237 2048 Bytes 28.07.2010 08:26:48
    VBASE022.VDF : 7.10.9.238 2048 Bytes 28.07.2010 08:26:48
    VBASE023.VDF : 7.10.9.239 2048 Bytes 28.07.2010 08:26:48
    VBASE024.VDF : 7.10.9.240 2048 Bytes 28.07.2010 08:26:48
    VBASE025.VDF : 7.10.9.241 2048 Bytes 28.07.2010 08:26:48
    VBASE026.VDF : 7.10.9.242 2048 Bytes 28.07.2010 08:26:48
    VBASE027.VDF : 7.10.9.243 2048 Bytes 28.07.2010 08:26:48
    VBASE028.VDF : 7.10.9.244 2048 Bytes 28.07.2010 08:26:48
    VBASE029.VDF : 7.10.9.245 2048 Bytes 28.07.2010 08:26:49
    VBASE030.VDF : 7.10.9.246 2048 Bytes 28.07.2010 08:26:49
    VBASE031.VDF : 7.10.9.249 27648 Bytes 28.07.2010 08:26:49
    Engineversion : 8.2.4.26
    AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 20:03:04
    AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 21.07.2010 14:36:21
    AESCN.DLL : 8.1.6.1 127347 Bytes 14.05.2010 07:12:15
    AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 20:03:10
    AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 14:36:18
    AEPACK.DLL : 8.2.3.2 471414 Bytes 21.07.2010 14:36:16
    AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 17:40:10
    AEHEUR.DLL : 8.1.2.6 2793846 Bytes 21.07.2010 14:36:14
    AEHELP.DLL : 8.1.13.2 242039 Bytes 21.07.2010 14:36:07
    AEGEN.DLL : 8.1.3.17 385396 Bytes 22.07.2010 17:40:06
    AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 20:02:46
    AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 14:36:05
    AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 20:02:45
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
    AVPREF.DLL : 9.0.3.0 44289 Bytes 29.01.2010 19:05:25
    AVREP.DLL : 8.0.0.7 159784 Bytes 19.02.2010 07:37:14
    AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
    NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 10.06.2009 06:47:01
    RCTEXT.DLL : 9.0.73.0 87297 Bytes 29.01.2010 19:05:24

    Konfiguration für den aktuellen Suchlauf:
    Job Name..............................: Vollständige Systemprüfung
    Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
    Protokollierung.......................: niedrig
    Primäre Aktion........................: interaktiv
    Sekundäre Aktion......................: ignorieren
    Durchsuche Masterbootsektoren.........: ein
    Durchsuche Bootsektoren...............: ein
    Bootsektoren..........................: C:, D:,
    Durchsuche aktive Programme...........: ein
    Durchsuche Registrierung..............: ein
    Suche nach Rootkits...................: ein
    Integritätsprüfung von Systemdateien..: aus
    Datei Suchmodus.......................: Alle Dateien
    Durchsuche Archive....................: ein
    Rekursionstiefe einschränken..........: 20
    Archiv Smart Extensions...............: ein
    Makrovirenheuristik...................: ein
    Dateiheuristik........................: mittel
    Abweichende Gefahrenkategorien........: +JOKE,+PCK,

    Beginn des Suchlaufs: Donnerstag, 29. Juli 2010 12:01

    Der Suchlauf nach versteckten Objekten wird begonnen.
    Es wurden '47507' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

    Der Suchlauf über gestartete Prozesse wird begonnen:
    Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'TBPanel.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'SoundMan.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
    Es wurden '36' Prozesse mit '36' Modulen durchsucht

    Der Suchlauf über die Masterbootsektoren wird begonnen:
    Masterbootsektor HD0
    [INFO] Es wurde kein Virus gefunden!

    Der Suchlauf über die Bootsektoren wird begonnen:
    Bootsektor 'C:\'
    [INFO] Es wurde kein Virus gefunden!
    Bootsektor 'D:\'
    [INFO] Es wurde kein Virus gefunden!

    Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
    Die Registry wurde durchsucht ( '66' Dateien ).


    Der Suchlauf über die ausgewählten Dateien wird begonnen:

    Beginne mit der Suche in 'C:\' <SYSTEM>
    C:\pagefile.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
    C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48\4cf925b0-4ac2be2d
    [FUND] Ist das Trojanische Pferd TR/Click.Cycler.akhq
    C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\194234.exe
    [FUND] Ist das Trojanische Pferd TR/Click.Cycler.akhq
    C:\System Volume Information\_restore{DB21A9E0-2400-4F75-A00D-0926DD10723C}\RP173\A0057759.exe
    [FUND] Ist das Trojanische Pferd TR/Click.Cycler.akdp
    C:\WINDOWS\system32\drivers\dtscsi.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    C:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    C:\WINDOWS\system32\drivers\sptd7069.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    Beginne mit der Suche in 'D:\' <Volume>

    Beginne mit der Desinfektion:
    C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48\4cf925b0-4ac2be2d
    [FUND] Ist das Trojanische Pferd TR/Click.Cycler.akhq
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb75eba.qua' verschoben!
    C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\194234.exe
    [FUND] Ist das Trojanische Pferd TR/Click.Cycler.akhq
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c855e90.qua' verschoben!
    C:\System Volume Information\_restore{DB21A9E0-2400-4F75-A00D-0926DD10723C}\RP173\A0057759.exe
    [FUND] Ist das Trojanische Pferd TR/Click.Cycler.akdp
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c815e87.qua' verschoben!


    Ende des Suchlaufs: Donnerstag, 29. Juli 2010 12:56
    Benötigte Zeit: 54:28 Minute(n)

    Der Suchlauf wurde vollständig durchgeführt.

    12309 Verzeichnisse wurden überprüft
    390765 Dateien wurden geprüft
    3 Viren bzw. unerwünschte Programme wurden gefunden
    0 Dateien wurden als verdächtig eingestuft
    0 Dateien wurden gelöscht
    0 Viren bzw. unerwünschte Programme wurden repariert
    3 Dateien wurden in die Quarantäne verschoben
    0 Dateien wurden umbenannt
    4 Dateien konnten nicht durchsucht werden
    390758 Dateien ohne Befall
    2504 Archive wurden durchsucht
    4 Warnungen
    4 Hinweise
    47507 Objekte wurden beim Rootkitscan durchsucht
    0 Versteckte Objekte wurden gefunden





    Gerade lass ich Malwarebytes und später HijackThis durchlaufen und die Logs poste ich anschließend.

    Was ich bisher bemerkt habe an Anomalien ist, dass meine Maus zickt ( keine Reaktion der rechten Maustaste oder des Mausrades, Fenster gehen ständig in den Hintergrund.).

    Könnt ihr mir sagen, ob dieser Virus gefährlich ist oder nur ein Spielzeug eines gelangweilten Informatikers?

    Grüße =)
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 xandros, 29.07.2010
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    26.068
    Zustimmungen:
    109
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    ...hmmm! Bei Avira ist die Bezeichnung zwar zu finden, jedoch keinerlei weitere Beschreibung zu dem Ungeziefer. Zumindest ist er nicht als Virus, sondern als Trojaner deklariert - ohne weitere Beschreibungen sehe ich die Dinger als unberechenbar und somit generell als gefährlich an.

    Dein Virenprogramm selbst wird kaum in der Lage sein, den Trojaner restlos zu entfernen.
    Da werden wohl ein paar andere Anwendungen notwendig sein.
    Zunächst würde ein Logfile von HiJackThis nicht schlecht aussehen. Wahrscheinlich wird dir Leonixx dann noch weitere Scanner vorschlagen (u.A. RSIT) und eventuell einige Arbeitsschritte zum Entfernen nennen.
     
  4. #3 ChaosSpirit, 29.07.2010
    ChaosSpirit

    ChaosSpirit Benutzer

    Dabei seit:
    26.05.2008
    Beiträge:
    57
    Zustimmungen:
    0
    MalwarebytesLog:

    Malwarebytes' Anti-Malware 1.46
    Malwarebytes

    Datenbank Version: 4365

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    29.07.2010 13:41:48
    mbam-log-2010-07-29 (13-41-48).txt

    Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
    Durchsuchte Objekte: 314197
    Laufzeit: 44 Minute(n), 32 Sekunde(n)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    (Keine bösartigen Objekte gefunden)





    HijackThisLog:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:43:02, on 29.07.2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\TBPanel.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Logitech\SetPoint\SetPoint.exe
    C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
    C:\Programme\Java\jre6\bin\jucheck.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Mozilla Firefox\plugin-container.exe
    D:\Downloads\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
    O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241635192561
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1241635180389
    O17 - HKLM\System\CCS\Services\Tcpip\..\{57C6FC13-9EE7-4FF0-B5B7-DF6275BDC169}: NameServer = 192.168.1.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{57C6FC13-9EE7-4FF0-B5B7-DF6275BDC169}: NameServer = 192.168.1.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{57C6FC13-9EE7-4FF0-B5B7-DF6275BDC169}: NameServer = 192.168.1.1
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    --
    End of file - 7141 bytes
     
  5. #4 xandros, 29.07.2010
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    26.068
    Zustimmungen:
    109
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Der Eintrag
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    kann gefixt werden.
    Ansonsten sieht das HJT-Logfile ziemlich sauber - wenn auch lang - aus.

    Malwarebytes hat auch nichts finden können.

    Da ohnehin danach gefragt wird, kannst du schon mal unter Random's System Information Tool RSIT herunterladen und nach der Anleitung auf der Seite ausführen. Dann die beiden Logdateien (log.txt und info.txt) hier hochladen.

    (Ich bin mit meinen Kentnissen zu digitalen Schädlingen bei diesem Fall jedoch am Ende angelangt und würde die weitere Behandlung dann doch lieber von Leonixx und/oder HJTLarusso weiterführen lassen!)
     
  6. #5 ChaosSpirit, 29.07.2010
    ChaosSpirit

    ChaosSpirit Benutzer

    Dabei seit:
    26.05.2008
    Beiträge:
    57
    Zustimmungen:
    0
    Die Dateien habe ich, nur wie lade ich die jetzt hoch? Die haben zu viele Buchstaben ( mehr als 20'000 ).
     
  7. #6 xandros, 29.07.2010
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    26.068
    Zustimmungen:
    109
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Die Dateien sollten nur "log.txt" und "info.txt" heissen....
     
  8. #7 ChaosSpirit, 29.07.2010
    Zuletzt bearbeitet: 29.07.2010
    ChaosSpirit

    ChaosSpirit Benutzer

    Dabei seit:
    26.05.2008
    Beiträge:
    57
    Zustimmungen:
    0
  9. #8 Larusso, 29.07.2010
    Larusso

    Larusso TB- Coach

    Dabei seit:
    14.02.2010
    Beiträge:
    240
    Zustimmungen:
    0
    Ort:
    tiny infected world
    Temp File Cleaner

    Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
    Schließe nun alle offenen Programme und trenne Dich von dem Internet.
    Doppelklick auf die TFC.exe
    Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


    [size=+1]Schritt 2[/size]

    Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
    • Doppelklick auf die MBRCheck.exe.
      Vista und Win7 User mit Rechtsklick "als Administrator starten"
    • Das Tool braucht nur eine Sekunde.
    • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

    Poste mir bitte den Inhalt des .txt Dokumentes
     
  10. #9 ChaosSpirit, 29.07.2010
    ChaosSpirit

    ChaosSpirit Benutzer

    Dabei seit:
    26.05.2008
    Beiträge:
    57
    Zustimmungen:
    0
    So, erledigt und hier ist das Ergebnis:

    MBRCheck, version 1.1.1

    (c) 2010, AD



    \\.\C: --> \\.\PhysicalDrive0

    \\.\D: --> \\.\PhysicalDrive0



    Size Device Name MBR Status

    --------------------------------------------

    465 GB \\.\PhysicalDrive0 Unknown MBR code





    Found non-standard or infected MBR.

    Enter 'Y' and hit ENTER for more options, or 'N' to exit:

    Options:

    [1] Dump the MBR of a physical disk to file.

    [2] Restore the MBR of a physical disk with a standard boot code.

    [3] Exit.



    Enter your choice:



    Done! Press ENTER to exit...



    Anscheinend nichts gefunden.

    Ist euch dieser Trojaner bekannt? Ist es vielleicht nur ein Spaßinfekt um Leute wie mich zu ärgern, wenn die linke Maustaste nicht mehr funktioniert?
     
  11. #10 Larusso, 30.07.2010
    Larusso

    Larusso TB- Coach

    Dabei seit:
    14.02.2010
    Beiträge:
    240
    Zustimmungen:
    0
    Ort:
    tiny infected world
    Zweites Betriebssystem installiert ? (Linux etc)

    Was ist Platte C: bzw D: ?
     
  12. #11 ChaosSpirit, 30.07.2010
    ChaosSpirit

    ChaosSpirit Benutzer

    Dabei seit:
    26.05.2008
    Beiträge:
    57
    Zustimmungen:
    0
    Kein weiteres Betriebssystem installiert. Meine einzige festplatte ist in Particion C und D aufgeteilt. Auf C ist das Betriebsprogramm und D ist einfach nur Speichermedium.

    Ist euch nun TR/Click.Cycler.akdp bekannt?
     
  13. #12 Larusso, 30.07.2010
    Larusso

    Larusso TB- Coach

    Dabei seit:
    14.02.2010
    Beiträge:
    240
    Zustimmungen:
    0
    Ort:
    tiny infected world
    Klar ist der bekannt

    Lösche bitte die vorhandenen MBRCheck.txt.

    Starte bitte MBRCheck.exe erneut.
    Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
    bei
    • Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
    • Enter your choice: 2
    • Enter the physical disk number to fix (0-99, -1 to cancel): 0
    • PLease select the MBR code to write to this drive: 1
    Die rot eingerahmten Zahlen aus der Anleitung entnehmen!!!
    [​IMG]
    • Gib nun Yes ein und bestätige mit ENTER.
    • Starte den Rechner neu auf.
    Nach dem Neustart starte bitte MBRCheck.exe erneut.
    Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
    Poste mir den Inhalt von beiden .txt Dokumenten
     
  14. #13 ChaosSpirit, 15.08.2010
    Zuletzt bearbeitet: 16.08.2010
    ChaosSpirit

    ChaosSpirit Benutzer

    Dabei seit:
    26.05.2008
    Beiträge:
    57
    Zustimmungen:
    0
    Sorry, ich war fuer 2 Wochen im Ausland.

    Die 'disk number' ist was? Die Anzahl der Partitionen?

    Hier ist die mbr Dateien:

    MBRCheck, version 1.1.1

    (c) 2010, AD



    \\.\C: --> \\.\PhysicalDrive0

    \\.\D: --> \\.\PhysicalDrive0



    Size Device Name MBR Status

    --------------------------------------------

    465 GB \\.\PhysicalDrive0 Unknown MBR code





    Found non-standard or infected MBR.

    Enter 'Y' and hit ENTER for more options, or 'N' to exit:

    Options:

    [1] Dump the MBR of a physical disk to file.

    [2] Restore the MBR of a physical disk with a standard boot code.

    [3] Exit.



    Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): Available MBR codes:

    [ 0] Default (Windows XP)

    [ 1] Windows XP

    [ 2] Windows Server 2003

    [ 3] Windows Vista

    [ 4] Windows 2008

    [ 5] Windows 7

    [-1] Cancel



    Please select the MBR code to write to this drive:

    Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!

    Please reboot your computer to complete the fix.





    Done! Press ENTER to exit...

    Es kam nur eine raus.

    Auch wenn du mir gesagt hast, ich solle die roten Ziffern entnehmen, wusste ich nicht wirklich was ich mit der 'physical disk number' anfangen soll.=3 Also habe ich erstmal 0 genommen.
     
  15. #14 ChaosSpirit, 21.08.2010
    ChaosSpirit

    ChaosSpirit Benutzer

    Dabei seit:
    26.05.2008
    Beiträge:
    57
    Zustimmungen:
    0
    *up*

    und hier die restlichen zeichen, damit es mehr als 10 sind. =)
     
  16. #15 Leonixx, 21.08.2010
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Mal eine andere Frage. Wie sieht es mit den Problemen aus?
     
  17. #16 Larusso, 22.08.2010
    Larusso

    Larusso TB- Coach

    Dabei seit:
    14.02.2010
    Beiträge:
    240
    Zustimmungen:
    0
    Ort:
    tiny infected world
    Sorry, hatte auf meinem Upload Server bisschen was umgebaut

    Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
    Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.​

    Lade ComboFix von dem aufgeführten Link herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.Firefox User: Mit Rechtsklick und "Ziel speichern unter" downloaden
    **NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

    [​IMG]

    [​IMG]
    • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
    • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
      • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
      • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.
     
  18. #17 ChaosSpirit, 23.08.2010
    ChaosSpirit

    ChaosSpirit Benutzer

    Dabei seit:
    26.05.2008
    Beiträge:
    57
    Zustimmungen:
    0
  19. #18 Larusso, 24.08.2010
    Larusso

    Larusso TB- Coach

    Dabei seit:
    14.02.2010
    Beiträge:
    240
    Zustimmungen:
    0
    Ort:
    tiny infected world
    Lösche bitte die vorhandene Version von mbrcheck

    Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
    • Doppelklick auf die MBRCheck.exe.
      Vista und Win7 User mit Rechtsklick "als Administrator starten"
    • Das Tool braucht nur eine Sekunde.
    • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
    Poste mir bitte den Inhalt des .txt Dokumentes
     
  20. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  21. #19 ChaosSpirit, 25.08.2010
    ChaosSpirit

    ChaosSpirit Benutzer

    Dabei seit:
    26.05.2008
    Beiträge:
    57
    Zustimmungen:
    0
    Hier:
    MBRCheck, version 1.1.1

    (c) 2010, AD



    \\.\C: --> \\.\PhysicalDrive0

    \\.\D: --> \\.\PhysicalDrive0



    Size Device Name MBR Status

    --------------------------------------------

    465 GB \\.\PhysicalDrive0 Windows XP MBR code detected





    Done! Press ENTER to exit...



    Die Probleme haben sich vorletzte Woche das letze Mal gemeldet. Kurz nachdem ich von meiner Reise wieder kam und ein paar Tage später nocheinmal.

    Könnt ihr mir sagen, was die Aufgabe dieses Trojaners ist? Soll er die Kontrolle meiner Maus übernehmen und unfug stifften?

    EIne andere Frage habe ich auch noch:

    Als ich MBRCheck.exe unter Ausführen als... starten wollte, erscheint zuerst die Genehmigung des PCs diese Anwendung auszuführen und danach das Fenster, wo ich den Benutzer wählen kann, unter dem das Prgramm gestartet werde soll. Unter der Option "Folgende Benutzer" kann ich meinen Benutzer auswählen und einen weiteren, den ich nicht kenne noch erstellt habe. Dieses Benutzerkonto heist HsUser_ ( der Name geht weiter). Ist das normal?
     
  22. #20 Larusso, 25.08.2010
    Larusso

    Larusso TB- Coach

    Dabei seit:
    14.02.2010
    Beiträge:
    240
    Zustimmungen:
    0
    Ort:
    tiny infected world
    MBR ist wieder clean.

    Welche Benutzer sind vorhanden?

    Start => ausführen => compmgmt.msc (reinschreiben) => OK

    Es öffnet sich das Fenster der Computerverwaltung.

    Klicke dort auf das +Zeichen vor System und klappe damit den Bereich auf.
    Dann auf das +Zeichen vor Lokale Benutzer und Gruppen und danach auf Benutzer.
    Die vorhandenen Benutzer erscheinen auf der rechten Seite.
    Mache einen Rechtsklick auf Benutzer auf der linken Seite und wähle Liste exportieren.
    Speichere die Liste als "Benutzer.txt" auf Deinem Desktop und poste mir den Inhalt hier in den Thread.


    [size=+1]Schritt 2[/size]

    CustomScan mit OTL

    Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
    • Starte bitte die OTL.exe.
      Vista und Win7 User mit Rechtsklick "als Administrator starten"
    • Kopiere nun den Inhalt in die [​IMG] Textbox.
    Code:
    netsvcs
    drivers32 /all
    %SYSTEMDRIVE%\*.*
    %systemroot%\system32\*.wt
    %systemroot%\system32\*.ruy
    %systemroot%\Fonts\*.com
    %systemroot%\Fonts\*.dll
    %systemroot%\Fonts\*.ini
    %systemroot%\Fonts\*.ini2
    %systemroot%\system32\spool\prtprocs\w32x86\*.*
    %systemroot%\REPAIR\*.bak1
    %systemroot%\REPAIR\*.ini
    %systemroot%\system32\*.jpg
    %systemroot%\*.scr
    %systemroot%\*._sy
    %APPDATA%\Adobe\Update\*.*
    %ALLUSERSPROFILE%\Favorites\*.*
    %APPDATA%\Microsoft\*.*
    %PROGRAMFILES%\*.*
    %APPDATA%\Update\*.*
    %systemroot%\*. /mp /s
    CREATERESTOREPOINT
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\user32.dll /md5
    %systemroot%\system32\ws2_32.dll /md5
    %systemroot%\system32\ws2help.dll /md5
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
    
    • Schliesse bitte nun alle Programme. (Wichtig)
    • Klicke nun bitte auf den Quick Scan Button.
    • Klick auf [​IMG].
    • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
     
Thema: TR/Click.Cycler.akdp
Die Seite wird geladen...

TR/Click.Cycler.akdp - Ähnliche Themen

  1. TR/Crypt.ZPACK.Gen2 gefunden

    TR/Crypt.ZPACK.Gen2 gefunden: Avira hat heute den Trojaner "TR/Crypt.ZPACK.Gen2" gefunden. Ort des Fundes ist "C:\Program Files (x86)\Skype\Phone\Skype.exe". Skype nutze ich...
  2. Trojaner: TR/Agent.AN.2060

    Trojaner: TR/Agent.AN.2060: hallo leute bei mir hat sich das trojanische pferd "TR/Agent.AN.2060" eingeschlichen. mit AntiVir das ganze system überprüft. danach wurde...
  3. TR/Dldr.Java.3090 | TR/Dldr.Java.2349

    TR/Dldr.Java.3090 | TR/Dldr.Java.2349: Hallo, beim heutigen Komplettscan hat AntiVir zwei Trojaner gefunden. Im AntiVir Forum sind zu diesen zwei Funden die letzten Tage über zig...
  4. TR/Unpacked.Gen

    TR/Unpacked.Gen: Ich brauche dringend Hilfe! Ich habe anscheinend 5 Malware auf meinem PC, 2 davon sind warscheinlich entfernt, aber sie sind schrecklich! Ich habe...
  5. TR/Veno.A Trojaner

    TR/Veno.A Trojaner: Hallo zusammen, ich habe seit gester abend eine virusmeldung von Avira AntiVir Pesonal- Free Antivirus (kennt ihr bestimmt) da steht das ich den...