Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Crypt.FKM.Gen und Windows-Dateischutz (https://www.trojaner-board.de/37556-tr-crypt-fkm-gen-windows-dateischutz.html)

micmen 01.04.2007 11:43
TR/Crypt.FKM.Gen und Windows-Dateischutz
 
Hallo,
eine Bekannte hat ein Problem mit ihrem XP-Rechner:
Er wurde längere Zeit ohne Virenscanner benutzt. Als später "Avira AntiVir PersonalEdition Classic" installiert wurde, wurden dauernd "Funde" gemeldet. Ich habe den Scanner geupdatet und einen kompletten Scan (alle Dateien, höchste Heuristik) durchgeführt und alle "Funde" löschen lassen. Seither ist es deutlich besser:
Der Guard findet ab und zu noch heuristisch eine Sache, die ich ignorieren lasse (in der Meldung steht, man soll die Datei einsenden, damit geprüft wird, ob es sich um eine schädliche Datei handelt oder nicht). Und ab und zu findet er immer noch den Trojaner "TR/Crypt.FKM.Gen", immer in der Datei "C:\WINDOWS\eyvek1.dll" (obwohl ich die Datei immer löschen lasse).
Ich habe mal unter dem Namen dieses Trojaners im Internet gesucht und A) scheint der ausschließlich von "AntiVir"-Usern gemeldet zu werden und B) kriegt kaum ein Hilfesuchender das Ding weg - trotz sehr vieler Tipps und extrem aufwendigem Vorgehen.
Ist das dann wirklich ein Trojaner oder ein Bug von AntiVir?
Oder ist nur AntiVir nicht in der Lage, diesen Trojaner zu bekämpfen, während alle anderen Virenscanner damit gar keine Probleme haben?


Ich habe es dann so versucht: Die Sache durch Installation des XP SP2 (ja, war auch nicht gemacht...) zu bereinigen in der Hoffnung, daß die betroffenen Dateien im SP2 enthalten sind und auf die Art "sicher" ausgetauscht werden. Aber auch danach wurde ab und zu noch dieser eyvek1.dll-Trojaner gemeldet.

Und ich bekam bei Installation des SP2 diese Meldung:

Zitat:
Windows-Dateischutz
Es wurden Dateien, die zum Ausführen von Windows erforderlich sind, mit unbekannten Versionen ersetzt. Die originalversionen dieser Dateien müssen wiederhergestellt werden, um die Systemstabilität beizubehalten
Der Netzwerkpfad C:\WINDOWS\ServicePackFiles\i386/controls.man, von dem die Dateien kopiert werden sollen, ist nicht verfügbar.
Auffällig ist der Slash statt dem Backslash vor dem Dateinamen - alles genau wie in diesem Beitrag auf informationsarchiv.net.

Warum gibt es keine Datei controls.man in diesem (existierenden) Verzeichnis?
Warum der Slash mitten im Dateipfad?
Was kann man machen, daß das SP2-Setup die Originaldateien findet?


Danke!

raman 01.04.2007 12:13
Das hoert sich verdaechtig nach Gromozo(n) an. Man kann versuchen das zu reinigen, aber wenn schon eh mehr auf dem Rechner an Malware war, waere neu aufsetzen auch eine gute Entscheidung.

Gromozon: http://www.prevx.com/gromozon.asp

micmen 02.04.2007 00:24
Hi und danke,
da scheinst Du echt in's schwarze getroffen zu haben!
Keine Ahnung, wie Du darauf gekommen bist (ich kann überhaupt nicht finden, daß sich TR/Crypt.FKM.Gen "verdaechtig nach Gromozo(n) anhoert":) ), aber das Tool hat exakt in der immer als TR/Crypt.FKM.Gen-infiziert gemeldeten Datei was gefunden und beseitigt und seither startet der Rechner wieder schnell und die TR/Crypt.FKM.Gen-Meldungen sind nicht mehr aufgetreten!

Danke!


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131