| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TROJANER "TR/CRYPT.FKM.GEN" IN scr-DATEIWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.08.2009, 14:00
| #1 |
| |  TROJANER "TR/CRYPT.FKM.GEN" IN scr-DATEI Hallo, ich habe auf meinem Mac OS 10.5.8 Parallels 4 und darin Windows XP SP 3 mit gegenseitigen vollen Zugriffsrechten installiert. Habe gestern morgen in Mac OS mit FF von meinem web.de Postfach die mails auf Thunderbird runtergeladen und kurz geöffnet. In der Mittagspause war ich in einem Internetcafe, da ich mein note book zu Hause hatte und wollte einige mails beantworten. Das habe ich direkt im web.de Postfach getan. Dabei war eine mail von einer mir bekannten Person, die in einer Rechnungsprüfungsstelle arbeitet und auf eine meiner Überweisungen Bezug genommen hatte und mir mitteilte, dass diese Überweisung auf Richtigkeit geprüft werden müßte. Dazu sollte ich einen link anklicken und eine Datei herunter laden. Normalerweise hätte ich das nicht getan, aber da ich die Person kannte und ich dachte, es müsse tatsächlich etwas hinsichtlich meiner letzten Überweisung geklärt werden, habe ich die Datei herunter geladen und Antivir hat die Meldung heraus gegeben: Trojanisches Pferd- TR/Crypt.FKM.Gen. Daraufhin habe ich die Rechnungsprüfungsstelle angerufen und heraus bekommen, dass mir diese mail nicht von dort geschickt wurde. Ich habe darauf hin den erweiterten header kopiert und die mail aus meinem web.de Postfach gelöscht. Betreff: Comprovante de Deposito em Conta Von: carla***@aioshi.com.br ins Adressbuch | zum Chat einladen 24.08.09 06:11 Received: from [200.212.140.169] (helo=webmail.cidadesp.edu.br) by mx34.web.de with esmtp (WEB.DE 4.110 #314) id 1MfQtZ-0001u1-00; Mon, 24 Aug 2009 06:11:01 +0200 Received: from [189.98.224.244] ([189.98.224.244]) by webmail.cidadesp.edu.br with Microsoft SMTPSVC(6.0.3790.3959); Mon, 24 Aug 2009 01:09:27 -0300 Content-Type: multipart/alternative; boundary="===============1292897289==" MIME-Version: 1.0 Subject: Comprovante de Deposito em Conta To: carla***@aioshi.com.br From: carla***@aioshi.com.br Date: Mon, 24 Aug 2009 01:10:47 -0300 Message-ID: <ANTARESwxXSXI3acH0x000074cc@webmail.cidadesp.edu.br> X-OriginalArrivalTime: 24 Aug 2009 04:09:27.0234 (UTC) FILETIME=[ABE52A20:01CA2470] Return-Path: carla***@aioshi.com.br Die mail befindet sich noch in meinem Thunderbird - Posteingangsordner. Hier hatte ich zwar die mail geöffnet, aber den link nicht angeklickt. Kann ich davon ausgehen, dass mein Rechner sauber ist und sauber bleibt oder gibt es ein Restrisiko, dass ich mir durch diese mail oder das Kopieren des erweiterten headers und weiterer Infos über diese Datei auch einen virus auf meinen Rechner geladen habe?. Windows XP Prüfung durch Avast 4.8 meldet nichts verdächtiges. Auf dem mac habe für das Mac OS 10.5.8 keine Virenschutzsoftware installiert und konnte hier auch nichts prüfen. Ist es ratsam, dass ich mir nun AVAST für MAC noch installiere? Habe mir ein logfile machen lassen, kann das aber nicht beurteilen. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:15:12, on 25.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Parallels\Parallels Tools\SIA\SharedIntApp.exe C:\Programme\Parallels\Parallels Tools\prl_cc.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\Parallels\Parallels Tools\Services\coherence.exe C:\Programme\Parallels\Parallels Tools\Services\prl_tools_service.exe C:\Programme\Parallels\Parallels Tools\Services\prl_tools.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Contacts\wlcomm.exe C:\Programme\Microsoft Office\Office12\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Parallels Shared Internet Applications] "C:\Programme\Parallels\Parallels Tools\SIA\SharedIntApp.exe" /start O4 - HKLM\..\Run: [Parallels Tools Center] "C:\Programme\Parallels\Parallels Tools\prl_cc.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase1140.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1250503958343 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Parallels Coherence Service - Parallels, Inc. - C:\Programme\Parallels\Parallels Tools\Services\coherence.exe O23 - Service: Parallels Tools Service - Parallels, Inc. - C:\Programme\Parallels\Parallels Tools\Services\prl_tools_service.exe -- End of file - 3852 bytes |
| Themen zu TROJANER "TR/CRYPT.FKM.GEN" IN scr-DATEI |
| antivir, antivirus, arbeitet, ausgehen, avast, avast!, bho, dateien, explorer, file, hijack, hijackthis, internet explorer, logfile, mac, mac os, messenger, microsoft, parallels, programme, scr-datei, sp3, system, system32, tr/crypt.fkm.gen, trojaner, virus, web.de, windows, windows xp, xp sp 3 |
Baum-Darstellung