|
TR/Crypt.FKM.Gen Hallo zusammen, ich habe seit ein paar Tagen einen Troyaner auf meinem Rechner, denn ich nicht entfernen kann. Es handelt sich um den TR/Crypt.FKM.Gen .Genauso wie bei anderen auch zeigt mir Antivir an, wo der Troyaner aufzufinden sein soll und zwar unter C:\WINDOWS\system32\1795129051.CPX - dort ist er aber nicht. Sogar nachdem ich "control folders" bei "Ausführen" vollzogen habe, um auch die versteckten Systemdateien anzeigen zu lassen, kann ich den Troyaner unter dem angegebenen Pfad nicht finden. Auf dem Board habe ich gesehen, dass einige bereits das Problem hatten, und mich deshalb erstmal schlau gemacht - finde aber allein keine Lösung. Auf dem Board stand außerdem, dass man mit Hijack eine Log-File machen soll, damit diejenigen, die sich damit auskennen, mir Ratschläge geben können. Ich wäre euch sehr verbunden, wenn ihr mir weiterhelfen könntet. Nun sende ich die Log-File und hoffe auf Antwort ;-) Vielen dank schon mal im voraus, euer masteruaw Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:50:58, on 13.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\******\LOKALE~1\Temp\Rar$EX00.469\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://office.freenet.de/dienste/emailoffice/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.egisca.com R3 - URLSearchHook: (no name) - {EDA081CA-C809-49F0-B2D8-151DA26A6CF8} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: EGISCATB1 - {A68BB3A7-96F9-43CE-B668-DF2C152E641D} - C:\Programme\Egisca Toolbar\egisca.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Egisca Toolbar - {C1E68079-1B2C-41D7-A3C2-BE82E570251E} - C:\Programme\Egisca Toolbar\egisca.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe] "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINDOWS\TEMP\E_S29C.tmp" /EF "HKCU" O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\cdosysmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\pc-bib\PCLib.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/Softwareload1/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://F:\components\hidinputmonitorx.ocx O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://F:\components\A9.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139824417250 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139824399140 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 7820 bytes |
Hallo und :hallo: Acker das hier für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\WINDOWS\system32\cdosysmon.exe3.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
Hoi, ich wollte mal meinen Senf dazugeben, bzgl. der C:\WINDOWS\system32\1795129051.CPX: Dabei könnte es sich um eine neue Art von Silentbanker handeln. Und wenn dies der Fall wäre, bliebe nur ein sauberes Neuaufsetzen ürbig. mfg |
Danke für die beiden Antworten. Werde mich nun an die Arbeit machen und die Liste von root24 abarbeiten. Bye masteruaw |
Hallo root24, ich habe den ersten Punkt der Liste nicht ausführen können, da die Datei nicht gefunden wurde. Daraufhin habe ich mit Punkt 2 weitergemacht. Nun der Scan-Bericht von Malwarebytes: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1056 Windows 5.1.2600 Service Pack 2 12:55:46 16.08.2008 mbam-log-8-16-2008 (12-55-46).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|J:\|) Durchsuchte Objekte: 131359 Laufzeit: 47 minute(s), 21 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\Programme\Egisca Toolbar\tbhelper.dll (Trojan.BHO) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\Egisca Toolbar\tbhelper.dll (Trojan.BHO) -> Delete on reboot. C:\WINDOWS\system32\17951290512.CPX (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\17951290521.CPX (Trojan.Agent) -> Quarantined and deleted successfully. MfG masteruaw |
Hallo, ich habe Punkt drei von "root24" ausgeführt. Erst habe ich crap cleaner über meinen Rechner laufen lassen und anschließend ComboFix.Nach dem Neustart, den Combofix automatisch gemacht hat, gab es drei Meldungen von Antivir bezüglich des Troyaners TR/Crypt.FKM.Gen Die Lofile von Combofix ist hier: Code: ComboFix 08-08-15.04 - Ullrich 2008-08-16 13:42:47.1 - NTFSx86 |
Hey, habe nun bei file-upload ein filelistening gemacht. Der Link ist hier http://http://www.file-upload.net/do...sting.txt.html Bei mir funktioniert der Link aufgrund der Intraneteinstellung nicht, deshalb nochmal der Link ohne Verlinkung: http://www.file-upload.net/download-...sting.txt.html Warte nun auf weitere Instruktionen und vielen Dank nochmal für die Tipps! MfG masteruaw |
Code: C:\WINDOWS\system32\17951290521.CPX |
Hey, ich habe alle drei Dateien: Code: C:\WINDOWS\system32\17951290521.CPX |
Aus mir unnachvollziehbaren Gründen ist der Troyaner verschwunden. Hoffe er bleibt auch fern. Falls er doch noch mal wieder auftaucht, werde ich mich melden. Danke für die Tipps. MfG masteruaw |
Hab seit gestern auch so ein Teil drauf - und krieg es einfach nicht runter !!!! Hatte da schon jemand erfolg ?????? Antivir finde einen : TR/silentbanker.C (ist angeblich hier zu finden : C:\WINDOWS\system32\20441371111.CPX – nur gibt es die Datei bei mir aufm PC nicht – nur diese hier C:\WINDOWS\system32\20441371121.CPX) Wird nach dem Hochfahren das PC's von AntiVir beim öffnen einer Anwendung erkannt - und da bei mir erst mal 5-6 Programme auf gehen - erkennt mein AntiVir den Angriff gleich mal auf vollem Level. Mal Blockt er ihn 11mal ab, dann 12mal, dann 13, 17 - vorhin wieder bei 11. Wenn ich dann alle Angriffe lösche oder in Quarantäne verschiebe, läuft der PC bis zum Neustart ohne Probleme. Auch alle angegebenen Dateien die "angeblich" befallen sein sollen, gibt es gar nicht auf meinem PC. Auch schon etliche Online Hilfen haben nix gebracht. Weis jetzt auch nicht ob PC platt machen was bringt. Habe da keinen Bock drauf, nur um dann zu sehen dass 3Sdt. später die gleiche Kacke am Dampfen ist. |
Zitat:
beim letzten Scann war dann auch die Datei C:\WINDOWS\system32\20441371121.CPX und eine weitere Date C:\WINDOWS\system32\20441371112.CPX vorhanden, und beiden wurden gelöscht und kamen nicht wieder. |
Zitat:
mich wuerde es interessieren, welche Datei als Silentbanker erkannt worden ist. Auf jedenfall solltest du deine Passwoerter von einem sauberen Rechner aus aendern. mfg |
Naja - AntiVir hat immer diese Datei belockt C:\WINDOWS\system32\20441371121.CPX Die war am Ende dann auch wirklich unter diesem Pfad zu finden. Zu anfang nicht. Und konnt dann auch von AntiVir bzw. Malwarebytes gelöscht werden. Und ist dann auch nach dem Neustart nicht wieder aufgetaucht. Achja - die Passwörter von meinen Sparkassen, Volksbank und Paypal Konten habe ich dann vom Rechner meiner Fau reändert. Achja - und die letzten 2 Tage habe ich dann Malewarebytes, A-Squared,Ad-Aware, Trojan Remover und Antivir bestimmt 10 mal drüber laufen lassen, und auch immer schön mit Update (Rootkits & Regestry etc) aber gefunden hat er überhaupt nichts mehr. Ich denke (hoffe) das meine System jetzt wieder sauber ist. Zusätzlich habe ich dann noch diverste Tune Kits über meine Regestry laufen lassen, die haben dann auch noch die Regestry ordentlich aufgeräumt. |
Soso, ich habe mit Freunden schon rumgeraetselt, ob es sich bei diesen dubiosen CPX-Dateien um einen Silentbanker handelt. Anscheinend ja leider doch. Ob dein System sauber ist, kann ich dir pauschal leider nicht beantworten, da man nicht weiss, was Silentbanker mit sich gezogen hat. Es waere daher ein Neuaufsetzen die sicherste Loesung, denn Silentbanker ist vergleichbar mit einem ZBot, was die Funktionalitaeten angeht. mfg |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board