| |
| |||||||
Antiviren-, Firewall- und andere Schutzprogramme: TR/Crypt.FKM.GenWindows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen. |
 |
13.08.2008, 21:38
| #1 |
| |  TR/Crypt.FKM.Gen Hallo zusammen, ich habe seit ein paar Tagen einen Troyaner auf meinem Rechner, denn ich nicht entfernen kann. Es handelt sich um den TR/Crypt.FKM.Gen .Genauso wie bei anderen auch zeigt mir Antivir an, wo der Troyaner aufzufinden sein soll und zwar unter C:\WINDOWS\system32\1795129051.CPX - dort ist er aber nicht. Sogar nachdem ich "control folders" bei "Ausführen" vollzogen habe, um auch die versteckten Systemdateien anzeigen zu lassen, kann ich den Troyaner unter dem angegebenen Pfad nicht finden. Auf dem Board habe ich gesehen, dass einige bereits das Problem hatten, und mich deshalb erstmal schlau gemacht - finde aber allein keine Lösung. Auf dem Board stand außerdem, dass man mit Hijack eine Log-File machen soll, damit diejenigen, die sich damit auskennen, mir Ratschläge geben können. Ich wäre euch sehr verbunden, wenn ihr mir weiterhelfen könntet. Nun sende ich die Log-File und hoffe auf Antwort ;-) Vielen dank schon mal im voraus, euer masteruaw Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:50:58, on 13.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\******\LOKALE~1\Temp\Rar$EX00.469\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://office.freenet.de/dienste/emailoffice/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.egisca.com R3 - URLSearchHook: (no name) - {EDA081CA-C809-49F0-B2D8-151DA26A6CF8} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: EGISCATB1 - {A68BB3A7-96F9-43CE-B668-DF2C152E641D} - C:\Programme\Egisca Toolbar\egisca.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Egisca Toolbar - {C1E68079-1B2C-41D7-A3C2-BE82E570251E} - C:\Programme\Egisca Toolbar\egisca.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe] "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINDOWS\TEMP\E_S29C.tmp" /EF "HKCU" O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\cdosysmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\pc-bib\PCLib.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/Softwareload1/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://F:\components\hidinputmonitorx.ocx O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://F:\components\A9.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139824417250 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139824399140 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 7820 bytes |
|
15.08.2008, 20:10
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  TR/Crypt.FKM.Gen Hallo und
__________________ Acker das hier für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\WINDOWS\system32\cdosysmon.exe
3.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ |
|
16.08.2008, 00:41
| #3 |
 | TR/Crypt.FKM.Gen Hoi,
__________________ich wollte mal meinen Senf dazugeben, bzgl. der C:\WINDOWS\system32\1795129051.CPX: Dabei könnte es sich um eine neue Art von Silentbanker handeln. Und wenn dies der Fall wäre, bliebe nur ein sauberes Neuaufsetzen ürbig. mfg
__________________ |
|
16.08.2008, 10:31
| #4 |
| | TR/Crypt.FKM.Gen Danke für die beiden Antworten. Werde mich nun an die Arbeit machen und die Liste von root24 abarbeiten. Bye masteruaw |
|
16.08.2008, 12:01
| #5 |
| | TR/Crypt.FKM.Gen Hallo root24, ich habe den ersten Punkt der Liste nicht ausführen können, da die Datei nicht gefunden wurde. Daraufhin habe ich mit Punkt 2 weitergemacht. Nun der Scan-Bericht von Malwarebytes: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1056 Windows 5.1.2600 Service Pack 2 12:55:46 16.08.2008 mbam-log-8-16-2008 (12-55-46).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|J:\|) Durchsuchte Objekte: 131359 Laufzeit: 47 minute(s), 21 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\Programme\Egisca Toolbar\tbhelper.dll (Trojan.BHO) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\Egisca Toolbar\tbhelper.dll (Trojan.BHO) -> Delete on reboot. C:\WINDOWS\system32\17951290512.CPX (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\17951290521.CPX (Trojan.Agent) -> Quarantined and deleted successfully. MfG masteruaw |
|
16.08.2008, 13:00
| #6 |
| | TR/Crypt.FKM.Gen Hallo, ich habe Punkt drei von "root24" ausgeführt. Erst habe ich crap cleaner über meinen Rechner laufen lassen und anschließend ComboFix.Nach dem Neustart, den Combofix automatisch gemacht hat, gab es drei Meldungen von Antivir bezüglich des Troyaners TR/Crypt.FKM.Gen Die Lofile von Combofix ist hier: Code:
ATTFilter ComboFix 08-08-15.04 - Ullrich 2008-08-16 13:42:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.225 [GMT 2:00]
ausgeführt von:: J:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
Mache nun mit Punkt 4 weiter. MfG masteruaw
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Heinz-Günter\Cookies\heinz-günter@preisvergleich[1].txt
C:\Dokumente und Einstellungen\Heinz-Günter\Cookies\heinz-günter@testberichte.ebay[2].txt
C:\Dokumente und Einstellungen\Ullrich\Anwendungsdaten\inst.exe
.
((((((((((((((((((((((( Dateien erstellt von 2008-07-16 bis 2008-08-16 ))))))))))))))))))))))))))))))
.
2100-04-01 17:22 . 2008-07-22 11:36 194 --a------ C:\WINDOWS\X83_DS.ini
2100-02-24 14:15 . 2001-04-02 16:30 821 --a------ C:\WINDOWS\Lexmark_ICM.ini
2100-02-16 16:09 . 2001-02-16 15:37 62 --a------ C:\WINDOWS\system32\LXASUSCI.INI
2008-08-16 13:45 . 2008-08-16 13:45 470 --a------ C:\WINDOWS\system32\17951290521.CPX
2008-08-16 13:45 . 2008-08-16 13:45 85 --a------ C:\WINDOWS\system32\17951290512.CPX
2008-08-16 12:01 . 2008-08-16 12:01 <DIR> d-------- C:\Dokumente und Einstellungen\Ullrich\Anwendungsdaten\Malwarebytes
2008-08-16 12:01 . 2008-08-16 12:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-16 12:01 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-16 12:01 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-13 19:52 . 2008-08-13 20:24 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-13 19:22 . 2008-08-13 19:25 <DIR> d-------- C:\!KillBox
2008-08-06 21:14 . 2008-08-06 21:14 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-06 21:14 . 2008-08-06 21:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-06 21:08 . 2008-08-06 21:08 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-08-03 07:59 . 2008-08-03 08:20 <DIR> d-------- C:\Dokumente und Einstellungen\Ullrich\Anwendungsdaten\EPSON
2008-08-03 07:59 . 2008-08-03 07:59 29 --a------ C:\WINDOWS\DEBUGSM.INI
2008-08-01 16:00 . 2008-08-01 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vsosdk
2008-07-25 10:11 . 2008-07-25 10:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
2008-07-25 10:08 . 2008-07-25 14:44 <DIR> d-------- C:\Programme\ABBYY FineReader 6.0 Sprint
2008-07-25 10:07 . 2008-07-25 10:07 <DIR> d-------- C:\Dokumente und Einstellungen\Ullrich\Anwendungsdaten\InstallShield
2008-07-25 10:06 . 2008-07-25 10:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
2008-07-25 10:06 . 2006-12-08 04:04 76,800 --a------ C:\WINDOWS\system32\E_FLBCDE.DLL
2008-07-25 10:06 . 2006-04-19 04:00 62,976 --a------ C:\WINDOWS\system32\E_FD4BCDE.DLL
2008-07-25 10:06 . 2004-09-10 22:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2008-07-25 10:05 . 2008-07-25 10:10 <DIR> d-------- C:\Programme\epson
2008-07-25 10:05 . 2007-03-27 00:00 67,072 --a------ C:\WINDOWS\system32\escwiad.dll
2008-07-25 10:05 . 2008-07-25 10:05 25 --a------ C:\WINDOWS\CDE DX7400DEFGIPS.ini
2008-07-25 10:03 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-07-25 10:03 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-07-23 11:36 . 2008-08-11 19:26 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-23 11:36 . 2008-07-23 11:36 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-16 20:29 . 2008-07-22 18:39 <DIR> d-------- C:\Programme\Plagiarism-Finder 1.2.2 TRIAL
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-13 19:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-12 18:30 --------- d-----w C:\Dokumente und Einstellungen\Ullrich\Anwendungsdaten\Vso
2008-07-25 08:14 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-25 08:13 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-07-23 07:10 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2008-07-23 07:10 47,360 ----a-w C:\Dokumente und Einstellungen\Ullrich\Anwendungsdaten\pcouffin.sys
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-05-21 07:29 28,656 ----a-w C:\Dokumente und Einstellungen\Ullrich\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-04-16 11:47 2,751,368 ----a-w C:\Programme\ccsetup206.exe
2008-03-28 09:42 8,000,711 ----a-w C:\Programme\nexusradio.exe
2008-01-03 12:07 496,888 ----a-w C:\Programme\ie6setup.exe
2007-11-19 09:01 4,589,577 ----a-w C:\Programme\FondsAnalyst_Testversion.exe
2007-11-05 12:32 51,473,552 ----a-w C:\Programme\RadioTrackerSetup.exe
2007-11-05 09:53 8,750,208 ----a-w C:\Programme\winamp55_full_emusic-7plus_de-de.exe
2007-11-05 09:36 1,056,752 ----a-w C:\Programme\SurfMusikSetup.exe
2007-11-05 08:33 2,320,897 ----a-w C:\Programme\qcd451.exe
2007-10-23 17:46 1,392,128 ----a-w C:\Programme\iview410g_setup.exe
2007-08-22 12:44 703,352 ----a-w C:\Programme\VirtualDub-1_4_12.zip
2007-06-23 22:19 1,168,944 ----a-w C:\Programme\flvplayer_setup.zip
2007-04-28 11:42 18,808,272 ----a-w C:\Programme\ElsterFormular2006-Setup.exe
2007-02-28 08:23 87,608 ----a-w C:\Dokumente und Einstellungen\Ullrich\Anwendungsdaten\ezpinst.exe
2007-02-28 08:22 1,201,041 ----a-w C:\Programme\wrar37b3.exe
2007-02-26 13:53 14,464,888 ----a-w C:\Programme\antivir_workstation_win7u703_de_h.exe
2007-02-26 13:42 2,683,984 ----a-w C:\Programme\ccsetup137.exe
2007-02-22 18:27 14,993,976 ----a-w C:\Programme\GoogleEarthWin.exe
2007-02-22 18:06 20,253,632 ----a-w C:\Programme\SkypeSetup.exe
2006-12-23 14:57 553,687 ----a-w C:\Programme\RegCleaner.exe
2006-10-19 13:15 2,552,683 ----a-w C:\Programme\gj5-de-upd.exe
2006-06-25 12:57 10,117,864 ----a-w C:\Programme\antivir_workstation_win7u_de_h_131.exe
2006-02-13 12:19 8 --sh--r C:\WINDOWS\system32\0AE926BB0B.sys
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2006-02-13 12:19 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A68BB3A7-96F9-43CE-B668-DF2C152E641D}]
2008-03-20 23:42 2367488 --a------ C:\Programme\Egisca Toolbar\egisca.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{C1E68079-1B2C-41D7-A3C2-BE82E570251E}"= "C:\Programme\Egisca Toolbar\egisca.dll" [2008-03-20 23:42 2367488]
[HKEY_CLASSES_ROOT\clsid\{c1e68079-1b2c-41d7-a3c2-be82e570251e}]
[HKEY_CLASSES_ROOT\EGISCATB1.EGISCATB1.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\EGISCATB1.EGISCATB1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{C1E68079-1B2C-41D7-A3C2-BE82E570251E}"= "C:\Programme\Egisca Toolbar\egisca.dll" [2008-03-20 23:42 2367488]
[HKEY_CLASSES_ROOT\clsid\{c1e68079-1b2c-41d7-a3c2-be82e570251e}]
[HKEY_CLASSES_ROOT\EGISCATB1.EGISCATB1.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\EGISCATB1.EGISCATB1]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00 15360]
"EPSON Stylus DX7400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE" [2007-04-12 08:00 182272]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 15:01 67584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-01-24 14:52 7397376]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"AntivirusRegistration"="C:\Programme\CA\Etrust Antivirus\Register.exe" [2005-08-23 00:05 258048]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-10-04 15:47 45056]
"Lexmark X83 Button Monitor"="C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe" [2001-10-12 18:36 40960]
"Lexmark X83 Button Manager"="C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe" [2001-06-10 15:00 53248]
"PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe" [2001-10-25 20:20 36864]
"Openwares LiveUpdate"="C:\Program Files\LiveUpdate\LiveUpdate.exe" [2003-12-13 19:17 61440]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-02-13 14:24 98304]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 15:12 266497]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17 159744]
"nwiz"="nwiz.exe" [2006-01-24 14:52 1519616 C:\WINDOWS\system32\nwiz.exe]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 17:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll
"aux1"= 1795129051.CPX
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R2 BulkUsb;Genesys Logic USB Scanner Controller NT 5.0;C:\WINDOWS\system32\Drivers\usbscan.sys [2004-08-03 22:58]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 14:39]
S2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys []
S3 dtwmnic5;Telekom T-Eumex 520PC;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys []
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2007-10-30 07:51]
S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k510mdfl.sys [2007-10-30 07:51]
S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k510mdm.sys [2007-10-30 07:51]
S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2007-10-30 07:51]
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys [2007-10-30 07:51]
S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys []
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Explorer_Run-SystemManager - C:\WINDOWS\system32\cdosysmon.exe
.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://office.freenet.de/dienste/emailoffice/index.html
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-16 13:47:33
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
Prozess: C:\WINDOWS\explorer.exe
-> C:\pc-bib\KDHook.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\AntiVir PersonalEdition Classic\guardgui.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\pc-bib\PCLib.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\TXTUSER.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\cscript.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-16 13:50:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-16 11:50:44
Pre-Run: 17 Verzeichnis(se), 16,866,426,880 Bytes frei
Post-Run: 19 Verzeichnis(se), 16,992,313,344 Bytes frei
206 --- E O F --- 2008-08-14 08:53:15
|
|
16.08.2008, 13:06
| #7 |
| | TR/Crypt.FKM.Gen Hey, habe nun bei file-upload ein filelistening gemacht. Der Link ist hier http://http://www.file-upload.net/do...sting.txt.html Bei mir funktioniert der Link aufgrund der Intraneteinstellung nicht, deshalb nochmal der Link ohne Verlinkung: http://www.file-upload.net/download-...sting.txt.html Warte nun auf weitere Instruktionen und vielen Dank nochmal für die Tipps! MfG masteruaw |
|
16.08.2008, 13:43
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.FKM.GenCode:
ATTFilter C:\WINDOWS\system32\17951290521.CPX
C:\WINDOWS\system32\17951290512.CPX
C:\Programme\Egisca Toolbar\egisca.dll
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
16.08.2008, 17:37
| #9 |
| | TR/Crypt.FKM.Gen Hey, ich habe alle drei Dateien: Code:
ATTFilter C:\WINDOWS\system32\17951290521.CPX
C:\WINDOWS\system32\17951290512.CPX
C:\Programme\Egisca Toolbar\egisca.dll
|
|
17.08.2008, 19:53
| #10 |
| | TR/Crypt.FKM.Gen Aus mir unnachvollziehbaren Gründen ist der Troyaner verschwunden. Hoffe er bleibt auch fern. Falls er doch noch mal wieder auftaucht, werde ich mich melden. Danke für die Tipps. MfG masteruaw |
|
29.08.2008, 19:46
| #11 |
 | TR/Crypt.FKM.Gen Hab seit gestern auch so ein Teil drauf - und krieg es einfach nicht runter !!!! Hatte da schon jemand erfolg ?????? Antivir finde einen : TR/silentbanker.C (ist angeblich hier zu finden : C:\WINDOWS\system32\20441371111.CPX – nur gibt es die Datei bei mir aufm PC nicht – nur diese hier C:\WINDOWS\system32\20441371121.CPX) Wird nach dem Hochfahren das PC's von AntiVir beim öffnen einer Anwendung erkannt - und da bei mir erst mal 5-6 Programme auf gehen - erkennt mein AntiVir den Angriff gleich mal auf vollem Level. Mal Blockt er ihn 11mal ab, dann 12mal, dann 13, 17 - vorhin wieder bei 11. Wenn ich dann alle Angriffe lösche oder in Quarantäne verschiebe, läuft der PC bis zum Neustart ohne Probleme. Auch alle angegebenen Dateien die "angeblich" befallen sein sollen, gibt es gar nicht auf meinem PC. Auch schon etliche Online Hilfen haben nix gebracht. Weis jetzt auch nicht ob PC platt machen was bringt. Habe da keinen Bock drauf, nur um dann zu sehen dass 3Sdt. später die gleiche Kacke am Dampfen ist. |
|
30.08.2008, 22:49
| #12 | |
| | TR/Crypt.FKM.GenZitat:
beim letzten Scann war dann auch die Datei C:\WINDOWS\system32\20441371121.CPX und eine weitere Date C:\WINDOWS\system32\20441371112.CPX vorhanden, und beiden wurden gelöscht und kamen nicht wieder. |
|
01.09.2008, 16:05
| #13 | |
| | TR/Crypt.FKM.GenZitat:
mich wuerde es interessieren, welche Datei als Silentbanker erkannt worden ist. Auf jedenfall solltest du deine Passwoerter von einem sauberen Rechner aus aendern. mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
01.09.2008, 16:29
| #14 |
| | TR/Crypt.FKM.Gen Naja - AntiVir hat immer diese Datei belockt C:\WINDOWS\system32\20441371121.CPX Die war am Ende dann auch wirklich unter diesem Pfad zu finden. Zu anfang nicht. Und konnt dann auch von AntiVir bzw. Malwarebytes gelöscht werden. Und ist dann auch nach dem Neustart nicht wieder aufgetaucht. Achja - die Passwörter von meinen Sparkassen, Volksbank und Paypal Konten habe ich dann vom Rechner meiner Fau reändert. Achja - und die letzten 2 Tage habe ich dann Malewarebytes, A-Squared,Ad-Aware, Trojan Remover und Antivir bestimmt 10 mal drüber laufen lassen, und auch immer schön mit Update (Rootkits & Regestry etc) aber gefunden hat er überhaupt nichts mehr. Ich denke (hoffe) das meine System jetzt wieder sauber ist. Zusätzlich habe ich dann noch diverste Tune Kits über meine Regestry laufen lassen, die haben dann auch noch die Regestry ordentlich aufgeräumt. |
|
01.09.2008, 16:35
| #15 |
| | TR/Crypt.FKM.Gen Soso, ich habe mit Freunden schon rumgeraetselt, ob es sich bei diesen dubiosen CPX-Dateien um einen Silentbanker handelt. Anscheinend ja leider doch. Ob dein System sauber ist, kann ich dir pauschal leider nicht beantworten, da man nicht weiss, was Silentbanker mit sich gezogen hat. Es waere daher ein Neuaufsetzen die sicherste Loesung, denn Silentbanker ist vergleichbar mit einem ZBot, was die Funktionalitaeten angeht. mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
| Themen zu TR/Crypt.FKM.Gen |
| 0 bytes, adobe, antivir, application, avg, avira, bho, c:\windows\temp, components, dll, drivers, entfernen, excel, explorer, google, handel, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log-file, nvidia, object, problem, rundll, software, system, temp, unknown file in winsock lsp, urlsearchhook, vielen dank, windows, windows xp, windows\temp |
Linear-Darstellung
