Trojaner Tr/Crypt.FKm.Gen Wie kann man den entfernen?

lilly08 · 14.11.2008, 21:31

Hallo!
Ich hoffe sehr mir kann jemand helfen...!
Seit gestern Abend sagt mir Antivir das sich der Trojaner TR/Crypt.FKM.Gen auf meinem Rechner (Windows XP) befindet. Das selbe Fenster poppt mindestens 3 mal auf. Wenn ich auf löschen klicke tut sich gar nichts, geht nur bei in Qarantäne verschieben weg, ist aber beim nächsten hochfahren wieder da. Ich habe schon versucht was darüber nachzulesen bzw. rauszukriegen wie man den Trojaner wegkriegt, bin aber ein totaler Laie und habe Angst was falsch zu machen! Ich brauche echt Hilfe!
Außerdem hat der Desktop seit heute einen stark gelblichen Farbstich, keine Ahnung ob das was damit zu tun hat...? Hoffe mein Problem ist nicht ganz so groß wie es mir im Moment scheint!
Danke schonmal!

Silent sharK · 14.11.2008, 21:33

Hey,

hört sich stark nach Silentbanker an.
Führe mal bitte zwecks Analyse diese vier Tools aus:

1.)
IceSword

Hier gibt es das Tool => Klick
(Für Vista => Klick)

FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann. Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht . Damit lässt sich zum Beispiel Rustock-B (alias lzx32.sys) finden.

Kopiere den Text, der im Kommandozeilenfenster steht.
Gehe dazu wie folgt vor:

Oben rechts auf das "Schwert-Symbol" klicken => Edit => Select All => wieder auf das "Schwert-Symbol" klicken => Edit => Copy
Füge den Text bitte in Deine nächste Antwort mit ein:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

2.)
Blacklight scannen lassen

Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
Klick "I accept the agreement", "next", "Scan".
Wenn der Scan fertig ist beende Blacklight mit "Close".
Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

3.)
Random's System Information Tool

Lade dir die RSIT.exe von random/random herunter und speichere sie auf den Desktop.
Starte RSIT mit einem Doppelklick.
Klicke auf Continue um die Nutzungsbedingungen zu akzeptieren.
Nach dem Scan werden zwei Logfiles erstellt (log.txt und info.txt)
Poste den Inhalt der beiden Logfiles in [code]-Tags:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

4.)
BankerFix (by ***aDefensiva)

Lade Dir bankerfix.exe von hier und speichere es auf den Desktop ab.
(Die Website wird mögl. als attackierend gemeldet. Diese Meldung bitte ignorieren.)
Starte BankerFix mit einem Doppelklick.
Das Programm benötigt das Internet, es wird dich ggf. fragen, ob es eine Verbindung aufbauen darf. Beantworte dies mit Yes / Ok.
Es öffnet sich ein DOS Fenster, um fortzufahren, klicke eine beliebige Taste.
Wenn der Suchlauf beendet ist, wird ein Report-Log gespeichert.
Den findest du hier => C:\***aDefensiva\relatorio.txt
Poste bitte den kompletten Inhalt des Logs, bitte in [code]-Tags umschlossen:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

mfg

lilly08 · 14.11.2008, 21:47

Vielen Dank für die Hilfe, aber ich kann schon den ersten Schritt nicht ausführen. Wenn ich auf öffnen klicke öffnet sich eine Word Datei mit lauter Seitenwechseln und Symbolen. Ich komme mir wirklich voll dämlich vor...

Silent sharK · 14.11.2008, 21:55

Lade dir das ZIP-Archiv auf den Desktop => entpacke es => Geh in den erstellten Ordner => Doppelklick auf die .exe

lilly08 · 14.11.2008, 22:34

Hab es doch hingekriegt.... Sorry, war wohl zu panisch!
IceSword FileReg plugin [version 1.20]

Find out 1 disk.
>

Ergebnis von Blacklight:
11/14/08 22:13:10 [Info]: BlackLight Engine 2.2.1092 initialized
11/14/08 22:13:10 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/14/08 22:13:10 [Note]: 7019 4
11/14/08 22:13:10 [Note]: 7005 0

und
11/14/08 22:05:05 [Info]: BlackLight Engine 2.2.1092 initialized
11/14/08 22:05:05 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/14/08 22:05:06 [Note]: 7019 4
11/14/08 22:05:06 [Note]: 7005 0
11/14/08 22:05:17 [Note]: 7006 0
11/14/08 22:05:18 [Note]: 7011 1596
11/14/08 22:05:18 [Note]: 7035 0
11/14/08 22:05:18 [Note]: 7026 0
11/14/08 22:05:18 [Note]: 7026 0
11/14/08 22:05:32 [Note]: FSRAW library version 1.7.1024
11/14/08 22:12:55 [Note]: 7007 0

Code:

ATTFilter

info.txt logfile of random's system information tool 1.04 2008-11-14 22:16:09

======Uninstall list======

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2638924D-DC58-4C40-BB1C-48C2B24B7B1B}\Setup.exe" -L0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{52739387-B81C-4C55-9593-EB7A1044A657}\Setup.exe" -L0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{22EB2FA7-1BA0-4FFB-972F-353EC6ABA9D5}\setup.exe" -l0x7  -removeonly
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{28B97CAB-828F-49D8-A30A-675476F9BA92}\setup.exe" -l0x7 /cont -removeonly
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4E7DC12A-3597-4A94-9429-F6C6987361B1}\setup.exe" -l0x7  -removeonly
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6813C983-427E-4511-8456-E98FCAA1A125}\setup.exe" -l0x7  -removeonly
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7DADB304-AF20-48C3-A780-4B4133A08817}\setup.exe" -l0x7  -removeonly
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9C423CF6-2DAA-4A37-94B8-59D7ECC7DB13}\setup.exe" -l0x7  -removeonly
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{ACE66099-E18E-4037-83C8-9D182E5B9FA8}\setup.exe" -l0x7  -removeonly
-->RunDll32

Code:

ATTFilter

Logfile of random's system information tool 1.04 (written by random/random)
Run by *** at 2008-11-14 22:15:43
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 10 GB (27%) free of 38 GB
Total RAM: 255 MB (25% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:05, on 14.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\windows\system32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\SOUNDMAN.EXE
C:\Programme\ahead\InCD\InCD.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\windows\system32\NOTEPAD.EXE
C:\windows\system32\NOTEPAD.EXE
C:\windows\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\Programme\trend micro\***.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [dmuxo.exe] C:\WINDOWS\system32\dmuxo.exe
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [Packard Bell Software Suite] C:\Programme\Packard Bell\Packard Bell Software Suite\Launcher.exe /run
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC4).lnk = C:\Programme\Secunia\PSI (RC4)\psi.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.81\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.81\MediaManager\grab.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220348645687
O17 - HKLM\System\CCS\Services\Tcpip\..\{28956E88-B482-4AA8-B6E2-D707D190A7AB}: NameServer = 85.255.113.91 85.255.112.238
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.238
O17 - HKLM\System\CS1\Services\Tcpip\..\{28956E88-B482-4AA8-B6E2-D707D190A7AB}: NameServer = 85.255.113.91 85.255.112.238
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.238
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.238
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: Packard Bell Software Suite Service 1 (Service1) - Unknown owner - C:\Programme\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe (file missing)

--
End of file - 5396 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08BEC6AA-49FC-4379-3587-4B21E286C19E}]
SearchToolbar

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{08BEC6AA-49FC-4379-3587-4B21E286C19E} -  []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\windows\SOUNDMAN.EXE [2002-06-18 46592]
"NvCplDaemon"=NvQTwk []
"nwiz"=nwiz.exe /install []
"NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"InCD"=C:\Programme\ahead\InCD\InCD.exe [2002-04-19 1003520]
"UserFaultCheck"=C:\windows\system32\dumprep 0 -u []
"AVGCtrl"=C:\Programme\AVPersonal\AVGNT.EXE /min []
"dmuxo.exe"=C:\WINDOWS\system32\dmuxo.exe []
"CanonMyPrinter"=C:\Programme\Canon\MyPrinter\BJMyPrt.exe [2007-09-13 1603152]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\windows\system32\ctfmon.exe [2008-04-14 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]
"desktop"=C:\WINDOWS\system32\idemlog.exe []
"updateMgr"=C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [2006-03-30 313472]
"Packard Bell Software Suite"=C:\Programme\Packard Bell\Packard Bell Software Suite\Launcher.exe /run []

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Dokumente und Einstellungen\Anne\Startmenü\Programme\Autostart
Secunia PSI (RC4).lnk - C:\Programme\Secunia\PSI (RC4)\psi.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\windows\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=0
"NoBandCustomize"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Programme\WinMX\WinMX.exe"="C:\Programme\WinMX\WinMX.exe:*:Enabled:WinMX Application"
"C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe"="C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:Enabled:BlueSoleil"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Last.fm\LastFM.exe"="C:\Programme\Last.fm\LastFM.exe:*:Enabled:Last.fm"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5cd93978-3064-11dc-a351-001167308c09}]
shell\Auto\command - vwpzwidxu.exe
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vwpzwidxu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8399008-5ee0-11dd-a7ca-0020edb01b94}]
shell\AutoRun\command - F:\ClickMe.exe


======List of files/folders created in the last 1 months======

2008-11-14 22:15:46 ----D---- C:\Programme\trend micro
2008-11-14 22:15:43 ----D---- C:\rsit
2008-11-14 22:03:00 ----A---- C:\Programme\fsbl.exe
2008-11-14 11:07:04 ----D---- C:\Programme\Secunia
2008-11-14 10:59:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2008-11-14 10:46:40 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\WinRAR
2008-11-14 10:41:21 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Google
2008-11-14 10:37:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google
2008-11-14 10:37:10 ----D---- C:\Programme\Google
2008-11-02 14:00:07 ----A---- C:\windows\system32\1$.tmp
2008-11-02 12:16:32 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon
2008-10-31 23:24:26 ----D---- C:\Programme\Packard Bell
2008-10-31 23:23:02 ----D---- C:\Programme\Packard Bell External HDD
2008-10-19 11:18:30 ----D---- C:\Programme\Gemeinsame Dateien\CANON
2008-10-19 11:15:42 ----HD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-10-19 11:15:12 ----A---- C:\windows\system32\CNMLM9I.DLL
2008-10-19 11:15:05 ----HD---- C:\windows\system32\CanonIJ Uninstaller Information
2008-10-19 11:14:52 ----A---- C:\windows\system32\CNC190O.DLL
2008-10-19 11:14:51 ----A---- C:\windows\system32\CNC190L.DLL
2008-10-19 11:14:51 ----A---- C:\windows\system32\CNC190I.DLL
2008-10-19 11:14:51 ----A---- C:\windows\system32\CNC190C.DLL
2008-10-19 11:14:35 ----HD---- C:\Programme\CanonBJ
2008-10-19 11:13:15 ----D---- C:\Programme\Canon
2008-10-19 11:10:10 ----HD---- C:\BJPrinter

======List of files/folders modified in the last 1 months======

2008-11-14 22:15:46 ----RD---- C:\Programme
2008-11-14 21:54:58 ----D---- C:\windows\system32\drivers
2008-11-14 20:21:16 ----D---- C:\Programme\Mozilla Firefox
2008-11-14 20:03:26 ----D---- C:\windows\Prefetch
2008-11-14 20:03:25 ----HD---- C:\windows\inf
2008-11-14 20:03:22 ----D---- C:\windows\system32
2008-11-14 20:02:58 ----SHD---- C:\windows\Installer
2008-11-14 20:01:25 ----D---- C:\windows\Temp
2008-11-14 19:59:03 ----D---- C:\windows\system32\CatRoot2
2008-11-14 17:17:02 ----A---- C:\windows\SchedLgU.Txt
2008-11-14 16:42:18 ----D---- C:\WINDOWS
2008-11-14 11:02:22 ----D---- C:\windows\system32\Macromed
2008-11-14 10:59:38 ----D---- C:\windows\WinSxS
2008-11-14 10:59:19 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2008-11-14 10:52:00 ----SD---- C:\windows\Downloaded Program Files
2008-11-14 10:45:41 ----D---- C:\Programme\WinRAR
2008-11-13 09:06:46 ----D---- C:\Programme\AntiVir PersonalEdition Classic
2008-11-12 21:26:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-02 12:13:39 ----D---- C:\windows\system32\Samsung_USB_Drivers
2008-11-01 14:22:26 ----RSHDC---- C:\windows\system32\dllcache
2008-11-01 14:17:34 ----HD---- C:\Programme\InstallShield Installation Information
2008-11-01 14:17:34 ----D---- C:\Programme\InterVideo
2008-10-26 02:03:45 ----AC---- C:\windows\system32\PerfStringBackup.INI
2008-10-19 11:21:18 ----D---- C:\windows\Media
2008-10-19 11:18:30 ----D---- C:\Programme\Gemeinsame Dateien
2008-10-19 11:15:04 ----D---- C:\windows\twain_32

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys []
R1 Cdr4_xp;Cdr4_xp; C:\windows\system32\drivers\Cdr4_xp.sys [2006-08-28 2432]
R1 Cdralw2k;Cdralw2k; C:\windows\system32\drivers\Cdralw2k.sys [2006-08-28 2560]
R1 intelppm;Intel-Prozessortreiber; C:\windows\System32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 StarOpen;StarOpen; C:\windows\system32\drivers\StarOpen.sys [2006-07-24 5632]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\windows\System32\drivers\ws2ifsl.sys [2001-08-18 12032]
R2 BsUDF;InCD UDF Driver; C:\windows\system32\drivers\BsUDF.sys [2002-04-19 329728]
R3 actser;actser; C:\windows\system32\drivers\actser.sys [2005-09-12 29440]
R3 ALCXWDM;Service for Avance AC97 Audio (WDM); C:\windows\system32\drivers\ALCXWDM.SYS [2002-06-21 655596]
R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\windows\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 nv;nv; C:\windows\System32\DRIVERS\nv4_mini.sys [2002-05-03 931882]
R3 rtl8139;Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver; C:\windows\system32\DRIVERS\R8139n51.SYS [2002-06-13 45568]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\windows\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\windows\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\windows\System32\DRIVERS\usbohci.sys [2008-04-13 17152]
S1 kbdhid;Tastatur-HID-Treiber; C:\windows\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S2 ZPMODEMSYSNTDRVNT;ZPMODEMSYSNTDRVNT; \??\C:\WINDOWS\system32\drivers\zpmodemnt.sys []
S3 BlueletAudio;Bluetooth Audio Service; C:\windows\system32\DRIVERS\blueletaudio.sys []
S3 BlueletSCOAudio;Bluetooth SCO Audio Service; C:\windows\system32\DRIVERS\BlueletSCOAudio.sys []
S3 BT;Bluetooth PAN Network Adapter; C:\windows\system32\DRIVERS\btnetdrv.sys []
S3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:\windows\System32\Drivers\btcusb.sys []
S3 BTHidEnum;Bluetooth HID Enumerator; C:\windows\system32\DRIVERS\vbtenum.sys []
S3 CCDECODE;Untertiteldecoder; C:\windows\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 MIINPazX;MIINPazX NDIS Protocol Driver; \??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS []
S3 mouhid;Maus-HID-Treiber; C:\windows\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\windows\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\windows\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\windows\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 nm;Netzwerkmonitortreiber; C:\windows\system32\DRIVERS\NMnt.sys [2008-04-13 40320]
S3 OxUSBTIMOUT;OxUSBTIMOUT; C:\windows\system32\DRIVERS\OxUSBTIMOUT.sys [2007-06-07 34152]
S3 PSI;PSI; C:\windows\system32\DRIVERS\psi_mf.sys [2008-10-27 7808]
S3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\windows\System32\Drivers\RootMdm.sys [2001-08-18 5888]
S3 SLIP;BDA Slip De-Framer; C:\windows\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\windows\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 streamip;BDA-IPSink; C:\windows\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 T5100_usb;LGE USB driver; C:\windows\System32\Drivers\T5100.sys [2004-10-20 29568]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\windows\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\windows\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\windows\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\windows\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 VComm;Virtual Serial port driver; C:\windows\system32\DRIVERS\VComm.sys []
S3 VcommMgr;Bluetooth VComm Manager Service; C:\windows\System32\Drivers\VcommMgr.sys []
S3 VHidMinidrv;Bluetooth HID Device Service; C:\windows\system32\drivers\VHIDMini.sys []
S3 vsbus;Virtual Serial Bus Enumerator; C:\windows\system32\DRIVERS\vsb.sys [2005-09-12 15264]
S3 vserial;ELTIMA Virtual Serial Ports Driver; C:\windows\System32\DRIVERS\vserial.sys [2005-09-12 47744]
S3 WSTCODEC;World Standard Teletext-Codec; C:\windows\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\windows\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\windows\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\windows\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-23 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-23 151297]
R2 NVSvc;NVIDIA Driver Helper Service; C:\windows\system32\nvsvc32.exe [2002-05-03 61440]
S2 Service1;Packard Bell Software Suite Service 1; C:\Programme\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe []
S3 aspnet_state;ASP.NET State Service; C:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\windows\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------

Code:

ATTFilter

BankerFix 3.0 VALKYRIE - Banker Trojan Remover
***a Defensiva | http://www.linhadefensiva.org
http://www.linhadefensiva.org/bankerfix/
-------------------------------------------------------
Date: 2008-11-14 - 22:31
-------------------------------------------------------
Version: 2008-10-08-1 | CORE: 2008-09-30-2
=======================================================

Infected file detected: C:\WINDOWS\system32\process.exe
Infected file successfully removed.



----- End -------------------------

Hoffe ich hab alles richtig gemacht?!

Silent sharK · 14.11.2008, 22:43

Ja sieht gut aus.

Poste mal bitte den Avira Fund.

Trojaner Tr/Crypt.FKm.Gen Wie kann man den entfernen?

Plagegeister aller Art und deren Bekämpfung: Trojaner Tr/Crypt.FKm.Gen Wie kann man den entfernen?