| |
| |||||||
Log-Analyse und Auswertung: Trojaner TR/Crypt.FKM.Gen nur von Antivir gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
10.07.2009, 00:00
| #1 |
 |  Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden Hallo an Alle, ich habe gerade den Rechner von meinem Onkel in "Reparatur". Er hatte sich laut Antivir (neueste Version) den Trojaner TR/Crypt.FKM.Gen eingefangen, der sich beim Neustart in zig-facher Weise meldete und auch bei jeder Aktion wieder neu aufklappte. Habe im abgesicherten Modus dann Antivir gelöscht, da Kaspersky Internet Security 2009 ebenfalls installiert ist. Nach einem Neustart habe ich mit Kaspersky einen Komplett Check durchgeführt --> Kein Fund! Danach Spybot (neuste Version, alle Updates) --> Kein Fund Danach AVG Anti-Rootkit Free --> Kein Fund Danach Norton Online Scanner --> Kein Fund Danach Windows Tools zum entfernen bösartiger Software --> Kein Fund Zum Schluss habe ich noch Malwarebytes Anti-Malware durchlaufen lassen. Da gab es 11 Sachen, die ich auch entfernt habe, aber das waren wohl Standardsachen. Ich würde die Profis hier im Forum deshalb einfach gern mal bitten den Hijack Log durchzugucken, ob da noch irgendwas dabei ist, was da nicht hingehört. Vielen Dank schon mal! Hijack Log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:38:40, on 10.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\Dit.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\Microsoft IntelliType Pro\itype.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\tttvrc.exe C:\WINDOWS\DitExp.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {13e6a152-1dd2-11b2-a81e-e3ff1d9a0e70} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Remote Control Editor] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\tttvrc.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\439200261.dll"" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - h**p://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.com/ O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1247154646484 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{13C9FBEB-F2C8-46DC-AE86-AEB59B968791}: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CCS\Services\Tcpip\..\{42B3340B-E894-4B96-944D-464CD72F3DD3}: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CCS\Services\Tcpip\..\{C6899391-7943-4167-B670-C2A3E8D25EF5}: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 7460 bytes Und nun noch die Reportdatei von Malwarebytes Anti-Malware: Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2401 Windows 5.1.2600 Service Pack 3 10.07.2009 00:32:38 mbam-log-2009-07-10 (00-32-38).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 161195 Laufzeit: 47 minute(s), 13 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 11 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\VCLSDCompression.class (Rogue.Installer) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\439200261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\439200261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\439200261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\439200261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\439200261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\439200261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\439200261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\439200261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\networkservice\anwendungsdaten\macromedia\Common\439200261.dll (Hijack.Sound) -> Quarantined and deleted successfully. C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> Quarantined and deleted successfully. Hoffe, ich habe alles richtig gemacht. |
|
10.07.2009, 23:29
| #2 |
| /// Helfer-Team    |  Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden Hallo Didioh
__________________ Log sieht noch immer nicht gut aus  - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 2.
3. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte- und Systemdateien sichtbar machen:: - Klicke unter Start auf Arbeitsplatz. - Klicke im Menü Extras auf Ordneroptionen. - Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen - Geschützte und Systemdateien ausblenden --> Haken entfernen - Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen. - Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 4. Für XP und Win2000 (ansonsten auslassen) - lade Dir das filelist.zip auf deinen Desktop herunter - entpacke die Zip-Datei auf deinen Desktop - starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen - kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 5. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)-> starten-> unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)-> weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein am besten nutze den Code-Tags für deinen Post: vor dein log schreibst du:[code] hier kommt dein logfile rein dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
|
11.07.2009, 19:12
| #3 |
| | Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden Vielen Dank erstmal Coverflow, dass Du Dich dem Problem angenommen hast!
__________________Ich veröffentliche dann hier erstmal den Scan von GMER: Code:
ATTFilter GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-11 20:08:27
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xAAA17A72]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xAAA1801E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xAAA19A82]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xAAA19438]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xAAA171E8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xAAA1B3E4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xAAA17E1A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xAAA1762A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xAAA1782A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xAAA19744]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xAAA1B8F0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xAAA17940]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xAAA179A8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xAAA195FA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xAAA1AEA8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xAAA19294]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xAAA1734A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xAAA17C40]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xAAA1B40E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xAAA17B96]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xAAA17A10]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xAAA17714]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xAAA174F2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xAAA1B110]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xAAA16E6A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xAAA1A30C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xAAA16FCC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xAAA1B7C0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xAAA16C68]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xAAA19924]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xAAA17F18]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xAAA1AFA2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xAAA1B438]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xAAA173A0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xAAA1B51C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xAAA1B648]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xAAA1ADD4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwTerminateProcess [0xAAA17CEA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xAAA17D5C]
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!_abnormal_termination + F0 804E274C 4 Bytes CALL E8F8C8C2
.text ntoskrnl.exe!_abnormal_termination + 311 804E296D 3 Bytes [74, A1, AA] {JZ 0xffffffffffffffa3; STOSB }
.text ntoskrnl.exe!_abnormal_termination + 440 804E2A9C 12 Bytes [1C, B5, A1, AA, 48, B6, A1, ...]
.text ntoskrnl.exe!_abnormal_termination + 450 804E2AAC 4 Bytes JMP 8FAAA17C
.text ntoskrnl.exe!IoIsOperationSynchronous 804E875A 5 Bytes JMP AAA2E5A2 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntoskrnl.exe!FsRtlCheckLockForReadAccess 80512919 5 Bytes JMP AAA2E1E8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [F7154670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [F7154670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\arp1394.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\mouhid.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\Drivers\Fastfat.SYS[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\rspndr.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\Drivers\HTTP.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\drivers\kmixer.sys[ntoskrnl.exe!IoCreateDevice] [F7154520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
Hier Teil 2: Code:
ATTFilter 07/11/09 20:15:04 [Info]: BlackLight Engine 2.2.1092 initialized
07/11/09 20:15:04 [Info]: OS: 5.1 build 2600 (Service Pack 3)
07/11/09 20:15:04 [Note]: 7019 4
07/11/09 20:15:04 [Note]: 7005 0
07/11/09 20:15:16 [Note]: 7006 0
07/11/09 20:15:16 [Note]: 7011 1536
07/11/09 20:15:16 [Note]: 7035 0
07/11/09 20:15:16 [Note]: 7026 0
07/11/09 20:15:16 [Note]: 7026 0
07/11/09 20:15:19 [Note]: FSRAW library version 1.7.1024
07/11/09 20:24:14 [Note]: 2000 1012
07/11/09 20:29:19 [Note]: 7007 0
Geändert von Didioh (11.07.2009 um 19:43 Uhr) |
|
11.07.2009, 19:43
| #4 |
| | Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden Teil 4 kommt hier: Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\
11.07.2009 20:34 43 filelist.txt
11.07.2009 18:23 1.073.270.784 hiberfil.sys
11.07.2009 18:23 1.610.612.736 pagefile.sys
09.07.2009 17:38 211 boot.ini
09.07.2009 14:17 12.573 Kaspersky Bericht.txt
22.03.2009 21:59 251.712 ntldr
15 Datei(en) 2.684.201.516 Bytes
0 Verzeichnis(se), 61.006.516.224 Bytes frei
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\WINDOWS
11.07.2009 18:24 1.084.819 WindowsUpdate.log
11.07.2009 18:23 0 0.log
11.07.2009 18:23 157 wiadebug.log
11.07.2009 18:23 4.796 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
11.07.2009 18:23 50 wiaservc.log
11.07.2009 18:23 6.882 setupapi.log
11.07.2009 18:23 2.048 bootstat.dat
10.07.2009 01:24 32.574 SchedLgU.Txt
09.07.2009 18:57 2.494 ntdtcsetup.log
09.07.2009 18:57 1.960 iis6.log
09.07.2009 18:57 4.116 comsetup.log
09.07.2009 18:57 684 ocmsn.log
09.07.2009 18:57 4.720 tsoc.log
09.07.2009 18:57 1.355 imsins.log
09.07.2009 18:57 45.122 KB969897-IE8.log
09.07.2009 18:57 5.912 ocgen.log
09.07.2009 18:57 618 msgsocm.log
09.07.2009 18:57 12.317 FaxSetup.log
09.07.2009 18:57 2.513 updspapi.log
09.07.2009 18:56 1.355 imsins.BAK
09.07.2009 18:56 37.603 KB961118.log
09.07.2009 18:56 0 setuperr.log
09.07.2009 18:56 0 setupact.log
09.07.2009 17:38 571 win.ini
09.07.2009 17:38 227 system.ini
22.06.2009 09:36 69 NeroDigital.ini
05.04.2009 18:34 400 ODBC.INI
22.03.2009 22:15 316.640 WMSysPr9.prx
18.03.2009 20:18 36 rasqervy.dll
18.03.2009 20:18 8 sdfinacs.dll
18.03.2009 20:15 5 sdfixwcs.dll
30.01.2009 15:32 1.325 SimpleScreenshot_Uninstall.in
139 Datei(en) 24.498.241 Bytes
0 Verzeichnis(se), 61.006.512.128 Bytes frei
----- System ---
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\WINDOWS\system
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 61.006.508.032 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\WINDOWS\system32
11.07.2009 18:23 2.206 wpa.dbl
09.07.2009 18:42 436.180 perfh009.dat
09.07.2009 18:42 69.500 perfc009.dat
09.07.2009 18:42 82.714 perfc007.dat
09.07.2009 18:42 453.550 perfh007.dat
09.07.2009 18:42 1.056.326 PerfStringBackup.INI
09.07.2009 18:37 224.024 FNTCACHE.DAT
09.07.2009 18:09 494.260 TZLog.log
01.06.2009 09:51 23.635.392 MRT.exe
13.05.2009 07:02 915.456 wininet.dll
13.05.2009 07:02 5.936.128 mshtml.dll
07.05.2009 17:32 348.160 localspl.dll
30.04.2009 23:13 1.985.024 iertutil.dll
30.04.2009 23:13 11.064.832 ieframe.dll
30.04.2009 23:12 1.469.440 inetcpl.cpl
30.04.2009 23:12 25.600 jsproxy.dll
30.04.2009 23:12 1.207.808 urlmon.dll
30.04.2009 23:12 385.536 iedkcs32.dll
30.04.2009 13:21 173.056 ie4uinit.exe
29.04.2009 06:33 1.499.136 shdocvw.dll
29.04.2009 06:33 81.920 ieencode.dll
19.04.2009 21:46 1.847.296 win32k.sys
15.04.2009 16:51 585.216 rpcrt4.dll
22.03.2009 22:15 90 spupdwxp.log
21.03.2009 16:06 1.063.424 kernel32.dll
08.03.2009 14:29 1.302.528 ieframe.dll.mui
08.03.2009 14:29 57.344 msrating.dll.mui
08.03.2009 14:28 2.560 mshta.exe.mui
08.03.2009 14:27 4.096 ie4uinit.exe.mui
08.03.2009 14:27 12.288 advpack.dll.mui
08.03.2009 14:27 81.920 iedkcs32.dll.mui
08.03.2009 04:35 385.024 html.iec
08.03.2009 04:34 236.544 webcheck.dll
08.03.2009 04:34 208.384 WinFXDocObj.exe
08.03.2009 04:34 43.008 licmgr10.dll
08.03.2009 04:34 105.984 url.dll
08.03.2009 04:34 109.568 occache.dll
08.03.2009 04:34 193.536 msrating.dll
08.03.2009 04:33 18.944 corpol.dll
08.03.2009 04:33 726.528 jscript.dll
08.03.2009 04:33 229.376 ieaksie.dll
08.03.2009 04:33 420.352 vbscript.dll
08.03.2009 04:33 125.952 ieakeng.dll
08.03.2009 04:32 72.704 admparse.dll
08.03.2009 04:32 163.840 ieakui.dll
08.03.2009 04:32 36.864 ieudinit.exe
08.03.2009 04:32 71.680 iesetup.dll
08.03.2009 04:32 55.808 iernonce.dll
08.03.2009 04:32 128.512 advpack.dll
08.03.2009 04:32 94.720 inseng.dll
08.03.2009 04:32 594.432 msfeeds.dll
08.03.2009 04:32 611.840 mstime.dll
08.03.2009 04:31 183.808 iepeers.dll
08.03.2009 04:31 13.312 msfeedssync.exe
08.03.2009 04:31 59.904 icardie.dll
08.03.2009 04:31 55.296 msfeedsbs.dll
08.03.2009 04:31 348.160 dxtmsft.dll
08.03.2009 04:31 216.064 dxtrans.dll
08.03.2009 04:31 34.816 imgutil.dll
08.03.2009 04:31 46.592 pngfilt.dll
08.03.2009 04:31 66.560 mshtmled.dll
08.03.2009 04:31 48.128 mshtmler.dll
08.03.2009 04:31 1.638.912 mshtml.tlb
08.03.2009 04:31 45.568 mshta.exe
08.03.2009 04:30 66.560 tdc.ocx
08.03.2009 04:22 164.352 ieui.dll
08.03.2009 04:22 156.160 msls31.dll
08.03.2009 04:15 57.667 ieuinit.inf
08.03.2009 04:11 445.952 ieapfltr.dll
06.03.2009 16:19 286.720 pdh.dll
12.02.2009 22:20 6.873 IE8Eula.rtf
10.02.2009 19:03 2.068.352 ntkrnlpa.exe
09.02.2009 13:21 2.191.360 ntoskrnl.exe
09.02.2009 13:21 111.104 services.exe
09.02.2009 12:51 401.408 rpcss.dll
09.02.2009 12:51 736.768 lsasrv.dll
09.02.2009 12:51 678.400 advapi32.dll
09.02.2009 12:51 740.352 ntdll.dll
06.02.2009 21:07 3.698.584 ieapfltr.dat
06.02.2009 12:39 35.328 sc.exe
03.02.2009 21:57 56.832 secur32.dll
30.01.2009 13:55 306.432 TuneUpDefragService.exe
2132 Datei(en) 458.518.009 Bytes
0 Verzeichnis(se), 61.006.323.712 Bytes frei
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\WINDOWS\Prefetch
11.07.2009 20:34 20.982 VERCLSID.EXE-3667BD89.pf
11.07.2009 20:31 91.120 OPERA.EXE-24550E7A.pf
11.07.2009 20:30 12.716 SC_WATCH.EXE-105B9A9E.pf
11.07.2009 20:30 24.790 TONAUDI.EXE-1ED630F8.pf
11.07.2009 20:30 27.864 KERNEL.EXE-02A660F3.pf
11.07.2009 20:29 78.660 AVP.EXE-00A8088A.pf
11.07.2009 20:10 29.412 WKUFIND.EXE-18C07230.pf
11.07.2009 20:10 23.398 SVCHOST.EXE-3530F672.pf
11.07.2009 20:08 25.556 MSWORKS.EXE-118DC2B4.pf
11.07.2009 20:08 105.102 WINWORD.EXE-3395695A.pf
11.07.2009 18:29 21.854 TASKMGR.EXE-20256C55.pf
11.07.2009 18:26 31.244 CCLEANER.EXE-1455211B.pf
11.07.2009 18:24 32.368 WMIPRVSE.EXE-28F301A9.pf
11.07.2009 18:24 92.380 WUAUCLT.EXE-399A8E72.pf
11.07.2009 18:24 22.494 IMAPI.EXE-0BF740A4.pf
11.07.2009 18:24 21.204 ALG.EXE-0F138680.pf
11.07.2009 18:24 14.050 RUNDLL32.EXE-451FC2C0.pf
11.07.2009 18:24 1.878.382 NTOSBOOT-B00DFAAD.pf
10.07.2009 01:24 52.284 LOGONUI.EXE-0AF22957.pf
10.07.2009 00:37 22.162 AVGARKT.EXE-36D0BE99.pf
10.07.2009 00:17 57.856 AQUANEMO.SCR-00C28A6C.pf
10.07.2009 00:17 27.078 CLOWNF~1.SCR-0227A62D.pf
09.07.2009 23:19 38.278 REGSVR32.EXE-25EEFE2F.pf
09.07.2009 19:04 82.862 IEXPLORE.EXE-2CA9778D.pf
09.07.2009 19:03 20.624 FXSSVC.EXE-3B8F7819.pf
09.07.2009 19:03 40.432 WDFMGR.EXE-2CF4013B.pf
09.07.2009 18:59 109.216 MSIEXEC.EXE-2F8A8CAE.pf
09.07.2009 18:45 81.338 REGISTRYCLEANER.EXE-2E8CD085.pf
09.07.2009 18:45 88.222 ONECLICK.EXE-1039B518.pf
09.07.2009 18:40 16.904 DPUPDCHK.EXE-02258C77.pf
09.07.2009 18:39 30.074 DITEXP.EXE-205A659C.pf
09.07.2009 18:39 26.778 TTTVRC.EXE-2943AAD5.pf
09.07.2009 18:39 16.892 CTFMON.EXE-0E17969B.pf
09.07.2009 18:39 86.156 ITYPE.EXE-06D1D366.pf
09.07.2009 18:39 23.968 READER_SL.EXE-2FAFE67A.pf
09.07.2009 18:39 11.452 NEROCHECK.EXE-1BD71082.pf
09.07.2009 18:39 28.400 TOADIMON.EXE-273582D0.pf
09.07.2009 18:39 9.374 VOBREGCHECK.EXE-177EFCCF.pf
09.07.2009 18:39 48.932 DIT.EXE-08CE4330.pf
09.07.2009 18:39 20.112 HTPATCH.EXE-32EC189E.pf
09.07.2009 18:03 76.216 GOOGLEUPDATE.EXE-18C1A0F1.pf
09.07.2009 17:46 71.442 CHROME.EXE-0C9B0021.pf
09.07.2009 16:22 74.662 SPYBOTSD.EXE-1D495A65.pf
09.07.2009 16:19 16.490 GOOGLECRASHHANDLER.EXE-04422F08.pf
09.07.2009 16:11 41.380 HELPHOST.EXE-247D2792.pf
09.07.2009 16:11 82.248 RSTRUI.EXE-03C49A96.pf
09.07.2009 16:11 61.082 HELPSVC.EXE-2878DDA2.pf
09.07.2009 16:10 81.900 HELPCTR.EXE-3862B6F5.pf
09.07.2009 16:10 66.996 AVCENTER.EXE-2990DAA2.pf
09.07.2009 16:10 58.296 AVGNT.EXE-1EFD6181.pf
09.07.2009 16:01 15.154 SETUP-SPYBOTSD162.TMP-13B98F73.pf
09.07.2009 16:01 32.436 SETUP-SPYBOTSD162.EXE-36BA235F.pf
09.07.2009 15:49 9.870 C8.EXE-288C5884.pf
09.07.2009 15:48 10.034 UHGMX.EXE-29DD34C2.pf
09.07.2009 15:37 53.566 NMIndexStoreSvr.exe-1DBCF9FD.pf
09.07.2009 15:37 25.906 NMBGMONITOR.EXE-0BC10095.pf
09.07.2009 15:37 68.830 NERO.EXE-2031B565.pf
09.07.2009 15:27 30.458 NMINDEXINGSERVICE.EXE-19799BA6.pf
09.07.2009 15:27 84.162 NEROSTARTSMART.EXE-0A488AA3.pf
09.07.2009 14:47 78.458 SPYBOTSD.EXE-37789DF6.pf
09.07.2009 14:47 31.732 AD-AWARE.EXE-372684B4.pf
09.07.2009 14:43 72.576 EXCEL.EXE-0DC93B7A.pf
09.07.2009 14:43 75.606 ACRORD32INFO.EXE-19B1D743.pf
09.07.2009 14:39 72.390 ACRORD32.EXE-2E761392.pf
09.07.2009 14:26 66.740 WMPLAYER.EXE-09969339.pf
09.07.2009 14:21 18.756 RUNDLL32.EXE-401E2CE8.pf
09.07.2009 13:14 31.182 DWWIN.EXE-30875ADC.pf
09.07.2009 13:13 57.360 GUARDGUI.EXE-0E0CF2B9.pf
09.07.2009 13:13 43.268 AVWSC.EXE-0396879C.pf
09.07.2009 13:09 15.800 RUNDLL32.EXE-4364A465.pf
08.07.2009 22:22 26.542 CINERGYDVR.EXE-37AC344C.pf
08.07.2009 21:51 36.536 DFRGNTFS.EXE-269967DF.pf
08.07.2009 21:51 10.230 DEFRAG.EXE-273F131E.pf
08.07.2009 21:44 518.002 Layout.ini
08.07.2009 21:28 55.880 AVNOTIFY.EXE-14E72ADA.pf
08.07.2009 21:28 51.116 UPDATE.EXE-2DA50595.pf
03.07.2009 18:42 17.678 DUMPREP.EXE-1B46F901.pf
02.07.2009 22:47 21.670 RUNDLL32.EXE-268BFF96.pf
01.07.2009 13:58 49.536 GOOGLEUPDATE.EXE-07DC2F8D.pf
01.07.2009 13:58 13.740 GOOGLEUPDATESETUP.EXE-06ECDE53.pf
29.06.2009 09:54 67.354 WMPLAYER.EXE-0996933B.pf
27.06.2009 13:18 74.722 WMPLAYER.EXE-0996933A.pf
27.06.2009 13:14 52.104 SETUP_WM.EXE-19AC5A9B.pf
27.06.2009 13:11 13.962 WIAACMGR.EXE-212ED878.pf
24.06.2009 13:29 13.860 SETUP.EXE-2D49315C.pf
24.06.2009 13:29 21.602 EXPAND.EXE-2490DB85.pf
24.06.2009 13:29 16.608 CHROME_UPDATER.EXE-17CB12DF.pf
21.06.2009 17:43 79.106 AVSCAN.EXE-0030ECF6.pf
20.06.2009 16:09 10.072 IJUF0YWU.EXE-0B090096.pf
18.06.2009 11:49 51.466 XP-ANTISPY.EXE-0A1E13AC.pf
18.06.2009 11:47 14.720 SETUP-SPYBOTSD162.TMP-19264CA4.pf
18.06.2009 11:46 13.926 SPYBOTSD160.TMP-3B034E1C.pf
18.06.2009 11:46 15.940 SPYBOTSD160.EXE-2255B4DE.pf
17.06.2009 21:25 10.084 H03K.EXE-0AA35CD2.pf
17.06.2009 21:24 9.914 F4A7Y8XWOL.EXE-25691ADC.pf
17.06.2009 15:06 13.904 SETUP-SPYBOTSD162.TMP-390497EC.pf
17.06.2009 10:55 10.112 BZCXEWO.EXE-2B047BFF.pf
16.06.2009 17:12 10.370 PSWEFDK.EXE-08159376.pf
16.06.2009 14:58 66.946 COM_UPDATER.EXE-3801B977.pf
13.06.2009 14:28 38.958 WMIAPSRV.EXE-1E2270A5.pf
13.06.2009 14:28 91.042 CLI.EXE-02B0DB56.pf
13.06.2009 11:16 72.372 INTEGRATOR.EXE-328E2F5A.pf
13.06.2009 11:05 9.778 IF.EXE-16B9D88F.pf
13.06.2009 07:51 54.370 ADOBE_UPDATER.EXE-059F58EC.pf
12.06.2009 15:47 38.172 DRWTSN32.EXE-2B4B52AC.pf
10.06.2009 18:44 54.342 SETUP.EXE-028EE989.pf
10.06.2009 18:44 42.740 CHROME_INSTALLER.EXE-1F5978D2.pf
10.06.2009 18:39 43.408 SCHED.EXE-01FC9C22.pf
10.06.2009 18:38 51.518 AVGUARD.EXE-15D70043.pf
10.06.2009 18:38 63.436 UPDATE.EXE-3637A1A8.pf
06.06.2009 20:43 9.884 GDTFKS7T.EXE-0CA4223A.pf
06.06.2009 20:42 10.068 0L8EWNRO.EXE-04A16C41.pf
06.06.2009 16:09 71.246 WMPLAYER.EXE-09969332.pf
19.05.2009 22:15 25.386 IEDW.EXE-2D047874.pf
17.05.2009 12:36 52.488 SETUP.EXE-1A5D8CB2.pf
17.05.2009 12:36 40.306 CHROME_INSTALLER.EXE-30F7A975.pf
17.05.2009 12:33 69.268 GOOGLEUPDATE.EXE-06D3A27A.pf
17.05.2009 12:33 13.792 CHROMESETUP.EXE-07E05BAE.pf
03.05.2009 09:44 9.610 194785690B1F55F5.EXE-12B2BA2B.pf
02.05.2009 11:10 9.914 Y1.EXE-11275A87.pf
21.04.2009 06:49 11.138 MDM.EXE-27F66238.pf
21.04.2009 06:49 7.906 ATI2SGAG.EXE-034D00DE.pf
19.04.2009 12:06 33.288 RUNDLL32.EXE-12E27DD0.pf
13.04.2009 14:43 10.088 QLIVHB.EXE-39854263.pf
13.04.2009 12:24 34.824 MSPAINT.EXE-11CBB631.pf
13.04.2009 12:13 11.830 _IU14D2N.TMP-02E6723E.pf
13.04.2009 12:13 13.416 UNINS000.EXE-00C3F997.pf
13.04.2009 12:12 40.680 RUNDLL32.EXE-13404D23.pf
13.04.2009 12:08 37.922 EVEREST.BIN-30530372.pf
13.04.2009 12:08 12.118 EVEREST.EXE-28636E4B.pf
130 Datei(en) 7.470.976 Bytes
0 Verzeichnis(se), 61.006.389.248 Bytes frei
----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\WINDOWS\tasks
11.07.2009 18:23 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 61.006.397.440 Bytes frei
----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\WINDOWS\Temp
09.07.2009 18:18 6.019 NetFxUpdate_v1.0.3705.log
09.07.2009 16:05 0 T30DebugLogFile.txt
2 Datei(en) 6.019 Bytes
0 Verzeichnis(se), 61.006.393.344 Bytes frei
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\DOKUME~1\XXX\LOKALE~1\Temp
09.07.2009 18:59 76.114 Microsoft .NET Framework 3.5-KB963707_20090709_165917953.html
09.07.2009 18:59 423.956 Microsoft .NET Framework 3.5-KB963707_20090709_165917953-Msi0.txt
09.07.2009 18:35 93.972 Microsoft .NET Framework 3.5-KB958484_20090709_163527687.html
09.07.2009 18:35 749.362 Microsoft .NET Framework 3.5-KB958484_20090709_163527687-Msi0.txt
09.07.2009 18:35 113.130 Microsoft .NET Framework 3.0-KB958483_20090709_163434218.html
09.07.2009 18:35 2.118.398 Microsoft .NET Framework 3.0-KB958483_20090709_163434218-Msi0.txt
09.07.2009 18:35 4.242 dd_wcf_retCA34A.txt
09.07.2009 18:34 504.128 Microsoft .NET Framework 2.0-KB958481_20090709_163102062.html
09.07.2009 18:34 9.407.618 Microsoft .NET Framework 2.0-KB958481_20090709_163102062-Msi0.txt
09.07.2009 18:34 5.158 ASPNETSetup_00001.log
09.07.2009 18:30 584.136 dd_dotnetfx35install.txt
09.07.2009 18:30 349.162 uxeventlog.txt
09.07.2009 18:30 1.444.070 dd_NET_Framework35_MSI514D.txt
09.07.2009 18:29 3.231.420 dd_NET_Framework30_Setup4F5C.txt
09.07.2009 18:28 4.377 dd_wcf_retCA2B0B.txt
09.07.2009 18:27 55.146 dd_XPS.txt
09.07.2009 18:26 383 HPZIDS001.log
09.07.2009 18:26 623 update001.log
09.07.2009 18:26 18.857.660 dd_NET_Framework20_Setup4A7D.txt
09.07.2009 18:24 5.158 ASPNETSetup_00000.log
09.07.2009 18:20 134.028 dd_RGB9RAST_x86.msi4A59.txt
09.07.2009 18:20 10.536 dd_clwireg.txt
09.07.2009 18:20 204.260 dd_depcheck_NETFX_EXP_35.txt
09.07.2009 18:19 2 dd_dotnetfx35error.txt
09.07.2009 18:17 14.936 netfxsl.log
09.07.2009 18:17 1.547 NetFxUpdate_v1.0.3705.log
09.07.2009 18:17 270.815 NETFXSBS10.log
09.07.2009 17:55 383 HPZIDS000.log
09.07.2009 17:55 600 hppldcoi.log
09.07.2009 17:55 612 update000.log
09.07.2009 17:46 1.529 chrome_installer.log
09.07.2009 16:31 14.848 1197d9.mst
09.07.2009 16:05 9.168 MPC1D.tmp
30.06.2009 22:30 66.560 439200262.tmp
18.06.2009 18:40 996.848 1D.tmp
35 Datei(en) 39.754.885 Bytes
0 Verzeichnis(se), 61.006.393.344 Bytes frei
Code:
ATTFilter Ad-Aware SE Personal
Adobe Acrobat 5.0
Adobe Flash Player Plugin
Adobe Reader 9 - Deutsch
Agnitum Tauscan 1.7
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Control Panel
ATI Display Driver
AVG Anti-Rootkit Free
CCleaner (remove only)
com! Update Pack Builder 2008 1.0.4
DigiFish Clownfish
DivX 5.0.2 Bundle
EPSON-Drucker-Software
HijackThis 2.0.2
HP Deskjet D2500 Printer Driver Software 10.0 Rel .3
HP Image Zone 4.7
HP PSC & OfficeJet 4.7
HP Software Update
Informationen über Ihren PC
InstantCopy
Kaspersky Internet Security 2009
Malwarebytes' Anti-Malware
Medi@Show
Medion Flash XL
Microsoft .NET Framework (German) v1.0.3705
Microsoft .NET Framework 1.0 Hotfix (KB928367)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft AutoRoute 2002
Microsoft Encarta Enzyklopädie 2003
Microsoft IntelliPoint 5.3
Microsoft IntelliType Pro 6.3
Microsoft Office Professional Edition 2003
Microsoft Picture It! Foto 7.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows-Journal-Viewer
Microsoft Works 7.0
Microsoft Works Suite-Add-Ins für Microsoft Word
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB933579)
MUSICMATCH Jukebox
Nero 7 Premium
Opera 9.64
PowerCinema
PowerCinema 2.0
PowerDirector Pro
PowerDVD
RealPlayer Basic
Realtek AC'97 Audio
Shockwave
SimpleScreenshot 1.40
SiS 900 PCI Fast Ethernet Adapter Driver
Spybot - Search & Destroy
Südsee
TerraTec Home Cinema
T-Online 6.0
TuneUp Utilities 2008
VideoLive Mail
Viewpoint Media Player (Remove Only)
Windows Internet Explorer 8
Windows XP Service Pack 3
Windows-Sicherungsprogramm
WinRAR
X10 Hardware(TM)
xp-AntiSpy 3.95-2
Übrigens: Könntest Du mir noch verraten, weshalb die Log noch immer nicht so gut aussieht? Wo sind die vermuteten Probleme? |
|
12.07.2009, 08:32
| #5 | |
| /// Helfer-Team | Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden Hallo und guten Morgen - Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen, halte dabei die Shift-Taste gedrückt! - Lade das Combofix von einem der folgenden Download Spiegel herunter: BleepingComputer - ForoSpyware oder GeeksToGo - Wichtig!: installiere auf den Desktop - Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren - Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten! - Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen - Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren - bestätige mit "ja", damit den Suchlauf automatisch beginnen kann Zitat:
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung |
|
12.07.2009, 14:55
| #6 |
| | Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden Hmmm, ich bin wirklich geduldig, aber irgendwie scheint da was schief gelaufen zu sein :S nach wenigen Minuten des Scans (ich habe nichts gemacht), meldete sichd er Combofix mit der Meldung, dass es nun einen Neustart durchführen werde. Joa, hat er dann auch gemacht, nur dass er nicht mehr zurück ins Windows ging sondern 30 Minuten im Windows Startbildschirm hing. Habe das Ganze nun abgebrochen und nun kommt bei jedem Neustart das Windows Symbol im Hellblauen Hintergrund, doch nichts anderes mehr. Er kommt einfach nicht zum Desktop... Und nun?!!? Ich habe mich genauestens an die Anleitung gehalten... Sehr ärgerlich... Oben rechts in der Ecke steht noch "protected by kaspersky lab"... Das ist das einzige, was kommt. Nicht mal der abgesicherte Modus funktioniert noch!!! Na geil  Es klappt nichts mehr!!! Was ist denn das für ein verfluchtes Programm?! SOrry, dass ich so aggressiv werde, aber das ärgert mich jetzt wirklich! So, habe jetzt alles ausgemacht und warte auf weitere Hilfe. Ich komme nicht mehr zum Desktop. Er bleibt immer beim hellblauen Begrüßungsbildschirm hängen. Sowohl im abgesicherten Modus, als auch bei der zuletzt als funktionierend bekannten Einstellung wird nichts geladen. Eine Systemüberprüfung bringt als Ergebnis, dass keinerlei Fehler vorhanden sind. Super... Und nun??? Geändert von Didioh (12.07.2009 um 15:23 Uhr) |
|
12.07.2009, 16:56
| #7 |
| /// Helfer-Team | Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden hi mit [STRG ALT + ENTF] einen neuen Prozess explorer.exe starten. |
|
12.07.2009, 21:55
| #8 |
| | Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden Aber ich komm doch nicht mal zum Desktop Wie soll ich denn einen neuen Prozess starten?! Oder sagen wir es anders. Ich komm gar nicht ins Windows rein Und nun??? |
|
13.07.2009, 00:23
| #9 |
| /// Helfer-Team | Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden kannst Du im abgesicherten Modus starten? - [F8] oder [F5] |
|
13.07.2009, 08:15
| #10 |
| /// Helfer-Team | Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden |
|
13.07.2009, 09:52
| #11 |
| | Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden Hallo erstmal  Also, der abgesicherte Modus funktioniert wie geschrieben leider auch nicht. Selbst dort hängt er sich auf. Die Wiederherstellungskonsole wurde durch Combofix installiert. Muss ich einen speziellen Befehl eingeben oder reicht es, über die Windows CD ins Menü zu gehen?! |
|
13.07.2009, 15:11
| #12 |
| /// Helfer-Team | Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden habe Dir den Link hier, bitte lese gründlich durch: Wiederherstellungskonsole Vorlage zum Ausführen der Wiederherstellungskonsole Installieren und verwenden der Wiederherstellungskonsole in Windows XP Geändert von kira (13.07.2009 um 15:17 Uhr) |
|
13.07.2009, 17:36
| #13 |
| | Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden Also, ich habe jetzt denke ich alles ausprobiert, was noch möglich war. Ich habe ausgeführt: Chkdsk --> Fehler gefunden und behoben --> Trotzdem keine Veränderung! Fixboot --> Keine Veränderung! Fixmbr --> Keine Veränderung! Ich weiß nicht mehr weiter. Werde den Rechner jetzt also wohl komplett neu aufspielen müssen. Hast Du noch einen Lösungsvorschlag @ Coverflow? |
|
13.07.2009, 20:10
| #14 |
| | Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden So, habe mich nun, da nichts mehr ging, aber auch nichts mehr, den Rechner platt zu machen und neu zu bespielen. Bis auf dieses besch**** Combofix lief ja auch alles wie geplant (meine ich zumindestens). @ Coverflow: Vielen Dank für die angedachte Hilfe, aber anderen zu Combofix zu raten, würde ich an Deiner Stelle sein lassen. Letzte Frage: Könntest Du mir bitte noch erklären, wo jetzt in den Log-Dateien die von Dir vermuteten Unregelmäßigkeiten lagen? Danke und bis denn |
|
14.07.2009, 06:11
| #15 |
| /// Helfer-Team | Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden hallo und guten Morgen, - bist Du dir sicher dass die Wiederherstellungskonsole bereits installiert ist? Code:
ATTFilter 1. Starte den Computer neu.
2. Bevor Windows geladen wird, wirst Du aufgefordert, zu wählen, welches Betriebssystem gestartet werden soll.
3. um die Microsoft Windows-Wiederherstellungskonsole zu wählen, verwende die Aufwärts-und Abwärtspfeil-Taste gedrückt
4. Du musst um die Windows-Installation, aufzurufen: "Typ 1" wählen und Enter drücken
5. Auf der C: \ Windows-Eingabeaufforderung gibst Du Folgendes ein: " cd erdnt \ subs", dann die Eingabetaste drücken
6. Bei der nächsten Eingabeaufforderung: "Batch erdnt.con", wieder die Eingabetaste drücken
7. Die erunt Backups beginnt das Kopieren.
8. Bei der nächsten Eingabeaufforderung: Ausfahrt, dann die Eingabetaste drücken
- ComboFix ein mächtiges Tool für Schädlingsbekämpfung. Aber wie alle andere auch, leider kann es zu Panne kommen. Die Entwickler und Programmierer arbeiten stets daran, die Ursache herauszufinden bzw die ev. Fehle zu beheben Geändert von kira (14.07.2009 um 06:25 Uhr) |
|
| Themen zu Trojaner TR/Crypt.FKM.Gen nur von Antivir gefunden |
| abgesicherten modus, adobe, antivir, antivirus, antivirus scan, avg, bho, disabled.securitycenter, einstellungen, entfernen, excel, gservice, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, internet security, kaspersky, kein fund, malwarebytes anti-malware, registrierungsschlüssel, remote control, rundll, scan, sched.exe, schutz, security, software, symantec, system, trojan.banker, trojaner, tuneup.defrag, updates, windows, windows xp |
Linear-Darstellung
