|
Log-Analyse und Auswertung: Mail von 1&1 - Trojaner TR/Crypt.FKM.Gem - LogFile ComboFix ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.06.2009, 20:13 | #1 |
| Mail von 1&1 - Trojaner TR/Crypt.FKM.Gem - LogFile ComboFix ? Moin moin, ich habe heute morgen eine Mail von 1&1 bekommen bzgl. Spam von meinem Server... Daraufhin habe ich AntiVir durchlaufen lassen und folgenden Trojaner gefunden: TF/Crypt.FKM.Gen. Den Trojaner habe ich mit AntiVir gelöscht und dann folgende Programme nacheinander gestartet: - AntiVir - Malwarebytes - Spybot - CCleaner - ComboFix Ich habe die Viren und Trojaner Programme solange durchlaufen lassen, bis keinerlei Fund mehr angezeigt wurde. Am Ende habe ich den nachfolgenden LogFile mit ComboFix erstellt... Jetz meine Frage, ist mein Rechner wieder frei von Viren und Trojaner ??? ComboFix 09-06-16.05 - Frank Schütt 17.06.2009 20:52.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1015.674 [GMT 2:00] ausgeführt von:: D:\ComboFix.exe AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . ((((((((((((((((((((((( Dateien erstellt von 2009-05-17 bis 2009-06-17 )))))))))))))))))))))))))))))) . 2009-06-17 13:05 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-06-17 13:05 . 2009-06-17 13:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-06-17 13:05 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-06-17 11:05 . 2009-06-17 11:05 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten 2009-06-17 11:05 . 2009-06-17 11:05 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache 2009-06-13 14:40 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-06-13 14:40 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-06-13 14:40 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-06-13 14:40 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-06-13 14:40 . 2009-06-13 14:40 -------- d-----w- c:\programme\Avira 2009-06-13 14:40 . 2009-06-13 14:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-06-04 08:59 . 2009-06-17 18:54 100416 ----a-w- c:\windows\system32\drivers\65d2fd1.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-17 18:48 . 2008-08-22 13:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-06-17 15:31 . 2008-08-22 13:29 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared 2009-06-17 08:36 . 2008-08-23 10:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2009-05-16 09:34 . 2008-08-22 13:25 -------- d-----w- c:\programme\ElsterFormular 2009-05-12 10:59 . 2008-08-22 20:53 -------- d-----w- c:\programme\Google 2009-03-30 19:59 . 2004-08-04 12:00 71718 ----a-w- c:\windows\system32\perfc007.dat 2009-03-30 19:59 . 2004-08-04 12:00 408966 ----a-w- c:\windows\system32\perfh007.dat 2009-03-25 14:43 . 2008-08-22 10:34 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2008-08-22 13:33 . 2008-08-22 13:33 32 --sha-w- c:\windows\{1FF6D016-7B94-463B-8E39-21E8FB233946}.dat 2008-08-22 13:31 . 2008-08-22 13:31 32 --sha-w- c:\windows\{46A6F504-A538-4863-97F2-EB796505A1C8}.dat 2008-08-22 13:30 . 2008-08-22 13:30 32 --sha-w- c:\windows\{6C9698D3-7C4A-44FD-8674-C3C128E7EA2C}.dat 2008-08-22 13:33 . 2008-08-22 13:33 32 --sha-w- c:\windows\{8BB3EE0D-9D5A-4C7B-9009-B8386731A5A7}.dat 2008-08-22 13:32 . 2008-08-22 13:32 32 --sha-w- c:\windows\{909B3EB7-1B0B-4D79-B529-2EAFAC5E2091}.dat 2008-08-22 13:31 . 2008-08-22 13:31 32 --sha-w- c:\windows\{C8B9230D-3850-40FD-97E4-B449354FF549}.dat 2008-08-22 13:31 . 2008-08-22 13:31 32 --sha-w- c:\windows\{CABFF8F6-24A5-4A36-A839-3F1477C2E010}.dat 2006-05-03 09:06 . 2008-10-30 19:55 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 10:47 . 2008-10-30 19:55 31232 --sh--r- c:\windows\system32\msfDX.dll 2008-03-16 12:30 . 2008-10-30 19:55 216064 --sh--r- c:\windows\system32\nbDX.dll 2008-08-22 13:31 . 2008-08-22 13:31 32 --sha-w- c:\windows\system32\{1959DF62-F3F4-40B8-AE3F-A47483378489}.dat 2008-08-22 13:31 . 2008-08-22 13:31 32 --sha-w- c:\windows\system32\{441385A7-39D3-4EAC-97D5-FB97A299A649}.dat 2008-08-22 13:33 . 2008-08-22 13:33 32 --sha-w- c:\windows\system32\{556C6AF7-8925-4390-86E2-A172A92705DA}.dat 2008-08-22 13:31 . 2008-08-22 13:31 32 --sha-w- c:\windows\system32\{AB587377-8341-4B61-9343-2B042391140B}.dat 2008-08-22 13:33 . 2008-08-22 13:33 32 --sha-w- c:\windows\system32\{B915F134-734C-4E60-A0E3-8938268398C3}.dat 2008-08-22 13:30 . 2008-08-22 13:30 32 --sha-w- c:\windows\system32\{E5EE1FD1-7A3D-4BD4-A77D-F349D5D72926}.dat 2008-08-22 13:32 . 2008-08-22 13:32 32 --sha-w- c:\windows\system32\{EDB65AD5-E5AD-4EE5-A853-B07E658A880A}.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "SpybotSD TeaTimer"="d:\spybot - search & destroy\TeaTimer.exe" [2009-03-05 2260480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-08-20 155648] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-08-20 118784] "ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2002-08-21 50864] "ccRegVfy"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" [2002-08-21 34400] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "Adobe Photo Downloader"="d:\adobe\Photoshop Elements 6.0\apdproxy.exe" [2007-09-10 67488] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-17 136600] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-16 413696] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Acrobat Assistant.lnk - d:\adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 217194] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\WINDOWS\\system32\\xnetsrvc.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Program Files\\WS_FTP\\WS_FTP95.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;d:\adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [11.09.2007 01:45 124832] R2 antivirschedulerservice;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.06.2009 16:40 108289] R2 NProtectService;Norton Unerase Protection;d:\norton systemworks\Norton Utilities\NPROTECT.EXE [22.08.2008 15:32 139264] S2 gupdate1c986bff0c7f3e2;Google Update Service (gupdate1c986bff0c7f3e2);c:\programme\Google\Update\GoogleUpdate.exe [04.02.2009 13:58 133104] S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [31.03.2009 10:15 16512] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . Inhalt des "geplante Tasks" Ordners 2009-06-17 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-22 08:06] 2009-06-17 c:\windows\Tasks\GoogleUpdateTaskMachine.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 11:58] 2009-05-01 c:\windows\Tasks\Norton AntiVirus - Meinen Computer prüfen.job - d:\norton~1\NORTON~1\NAVW32.exe [2002-08-21 13:36] 2008-08-22 c:\windows\Tasks\Symantec NetDetect.job - c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2008-08-22 14:03] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-QD FastAndSafe - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.s*a*i*-*c*u*t*.de/ uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft &Excel exportieren - d:\micros~1\OFFICE11\EXCEL.EXE/3000 DPF: {0B774208-1797-4CA6-A4B8-E9646698D202} - hxxps://*i*d*r*s*o*.*o*i*.de/shop/activex/vobis_express_upload.cab DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} - hxxp://www.*2*.de/*o*nload/*2*p*ayer.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.*m*r.net Rootkit scan 2009-06-17 20:54 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\65d2fd1] "ImagePath"="\SystemRoot\System32\drivers\65d2fd1.sys" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2096) c:\windows\system32\ieframe.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2009-06-17 20:55 ComboFix-quarantined-files.txt 2009-06-17 18:55 Vor Suchlauf: 13 Verzeichnis(se), 25.193.197.568 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 25.378.684.928 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 139 |
Themen zu Mail von 1&1 - Trojaner TR/Crypt.FKM.Gem - LogFile ComboFix ? |
antivir, antivirus, avg, avgnt.exe, bonjour, c:\windows\system32\rundll32.exe, combofix, components, computer, desktop, downloader, dsl, einstellungen, excel, frage, ftp, google, gupdate, igdctrl.exe, jusched.exe, laufende prozesse, logfile, rojaner gefunden, rundll, scan, software, spam, suchlauf, symantec, system, trojaner, trojaner ?, trojaner gefunden, viren, windows, windows recovery, windows xp |