Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.FKM.Gen hat meinen PC befallen.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.07.2008, 15:51   #1
Cybermike
 
TR/Crypt.FKM.Gen hat meinen PC befallen. - Standard

TR/Crypt.FKM.Gen hat meinen PC befallen.



Hi Leute!

hab mal wieder Probleme mit den blöden Trojaner und Viren, dieses mal geht es um einen Trojaner mit dem Namen TR/Crypt.FKM.Gen der in der Datei C:\Windows\system32\gauotadli.exe angezeigt wird, wenn ich ihn mit AntiVir lösche kommt er immer wieder hab gleich mal ein HijackThis Scan gemacht, vielleicht kann mir einer helfen, Danke im Voraus!

---------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:45:41, on 13.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Sidebar\sidebar.exe
G:\Programme\ICQ6\ICQ.exe
C:\Program Files\AIM6\aim6.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\AIM6\aolsoftware.exe
C:\Windows\system32\gauotadli.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Programme\Opera 9.5\opera.exe
D:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe
C:\Program Files\Azureus\Azureus.exe
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
G:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tnawrestling.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - g:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Program Files\Common Files\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - g:\Programme\Xi\NetXfer\NXIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Microsoft OCX] C:\Windows\system32\gauotadli.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows MSN Live Messanger] livemsngs.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ICQ] "g:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Aim6] "C:\Program Files\AIM6\aim6.exe" /d locale=de-DE ee://aol/imApp /HIDEBL
O4 - HKCU\..\Run: [SpybotSD TeaTimer] g:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Program Files\Common Files\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Program Files\Common Files\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - g:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - g:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - g:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - g:\Programme\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDEBE46A-F2E7-4F5B-910C-C72D5F6FE2CA}: NameServer = 192.168.111.140
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxcg_device - - C:\Windows\system32\lxcgcoms.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - g:\Programme\Spybot - Search & Destroy\SDWinSec.exe

--
End of file - 8058 bytes

Alt 13.07.2008, 16:26   #2
Silent sharK
 

TR/Crypt.FKM.Gen hat meinen PC befallen. - Standard

TR/Crypt.FKM.Gen hat meinen PC befallen.



Hallo und

Sieht böse aus, denn die Datei ist neben einer anderen aktiv.

Lasse die von dir genannte Datei bei www.virustotal.com hochladen und auswerten. Poste das komplette Ergebnis hier und mache das Gleiche mit dieser Datei:
Zitat:
livemsngs.exe
Dabei machst du Rechtsklick auf den Start Button und gehst auf Suchen...
Lasse dabei auch alle versteckten Dateien durchsuchen..

mfg
__________________


Alt 13.07.2008, 18:31   #3
Cybermike
 
TR/Crypt.FKM.Gen hat meinen PC befallen. - Standard

TR/Crypt.FKM.Gen hat meinen PC befallen.



Danke schonmal!

gauotadli.exe

MD5: f95893f180fd8fed16f27b13790382dd
First received: 2007.08.08 19:30:46 (CET)
Datum 2008.05.25 09:58:51 (CET) [>49D]
Ergebnisse 32/32
Permalink: analisis/37f93c2b5765feb3bb54ce5e719918f8

---

livemsngs.exe (auch unter c:/Windows/system32 zu finden?)

0 bytes size received / Se ha recibido un archivo vacio
__________________

Alt 13.07.2008, 18:35   #4
Silent sharK
 

TR/Crypt.FKM.Gen hat meinen PC befallen. - Standard

TR/Crypt.FKM.Gen hat meinen PC befallen.



Bitte komplettes Ergebnis der Analyse posten, sprich das, was die 32 AV gefunden haben

Zu der zweiten Datei, weißt du, wo sie sich befindet?

Alt 13.07.2008, 19:56   #5
Cybermike
 
TR/Crypt.FKM.Gen hat meinen PC befallen. - Standard

TR/Crypt.FKM.Gen hat meinen PC befallen.



Zitat:
Zitat von Dark Viruz Beitrag anzeigen
Bitte komplettes Ergebnis der Analyse posten, sprich das, was die 32 AV gefunden haben
so meinste?

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - Win32/IRCBot.worm.variant
AntiVir - - TR/Crypt.FKM.Gen
Authentium - - W32/Ircbot.1!Generic
Avast - - Win32:Rbot-ERZ
AVG - - IRC/BackDoor.SdBot3.QLQ
BitDefender - - GenPack:Generic.Sdbot.54A63E7A
CAT-QuickHeal - - Backdoor.Rbot.cqi
ClamAV - - Exploit.DCOM.Gen
DrWeb - - BackDoor.IRC.Sdbot.1988
eSafe - - Win32.Rbot.cqi
eTrust-Vet - - Win32/Rbot!generic
Ewido - - Backdoor.Rbot.cqi
F-Prot - - W32/Ircbot.1!Generic
F-Secure - - Backdoor.Win32.Rbot.cqi
Fortinet - - W32/RBot.IA!tr.bdr
GData - - Backdoor.Win32.Rbot.cqi
Ikarus - - Backdoor.Win32.Rbot.eiq
Kaspersky - - Backdoor.Win32.Rbot.cqi
McAfee - - W32/Sdbot.worm.gen.q
Microsoft - - Backdoor:Win32/Rbot.gen
NOD32v2 - - probably a variant of Win32/Rbot
Norman - - W32/Spybot.BULT
Panda - - W32/Sdbot.KYZ.worm
Prevx1 - - Worm
Rising - - Backdoor.SdBot.wkz
Sophos - - Mal/IRCBot-B
Sunbelt - - Backdoor.SDBot
Symantec - - W32.Spybot.Worm
TheHacker - - Backdoor/Rbot.cqi
VBA32 - - Backdoor.Win32.Rbot.cqi
VirusBuster - - Worm.RBot.Gen.21
Webwasher-Gateway - - Trojan.Crypt.FKM.Gen
weitere Informationen
MD5: f95893f180fd8fed16f27b13790382dd
SHA1: 388443aab292ca176def3f813a4532239960cde9
SHA256: bedfcd6e5bcca4e4087658e91ec8f6d1b9f6875ee71608d67879246bcc59aac0
SHA512: 1044a659b0978b8089ec364e69c4560529cae73431d218cf6fac974b05cabce1e4b1f2177fee800ee9a2d12341967ad3d71349ec3fbabfcd4ea2d14c6b34d729

Zitat:
Zitat von Dark Viruz Beitrag anzeigen
Zu der zweiten Datei, weißt du, wo sie sich befindet?
nee aber ich denke mal die gehört zu MSN bzw. Windows Live

Danke nochmals!


Alt 13.07.2008, 20:10   #6
Silent sharK
 

TR/Crypt.FKM.Gen hat meinen PC befallen. - Standard

TR/Crypt.FKM.Gen hat meinen PC befallen.



Sieht garnicht gut aus für dich, du hast einen aktiven Backdoor Server aus der Rbot/SDBot Familie, das heißt für dich:

- alle Zugangsdaten und Passwörter von einem sauberen Rechner ändern
- Konten wie ebay, PayPal und Online Banking sperren lassen
- Dich mit deiner Bank in Verbindung setzen
- Neuaufsetzen, genau nach der Anleitung

Falls du noch Fragen, insbesondere der Infektion hast, kannst du sie gerne stellen.

Zu der zweiten Datei, ich denke nicht, das diese zu MSN gehört, aber das erübrigt sich ja durch den Backdoor Server.

mfg

Edit: Nebenbei solltest du den Rechner physikalisch vom Netz trennen, da du kostenloses Mitglied in einem sog. Bot-Netz bist.

Alt 14.07.2008, 20:18   #7
Cybermike
 
TR/Crypt.FKM.Gen hat meinen PC befallen. - Standard

TR/Crypt.FKM.Gen hat meinen PC befallen.



na okay, wenn wirklich nichts anderes geht dann halt so :-/

Trotzdem Danke!

Alt 14.07.2008, 21:38   #8
Silent sharK
 

TR/Crypt.FKM.Gen hat meinen PC befallen. - Standard

TR/Crypt.FKM.Gen hat meinen PC befallen.



Keine Ursache, die paar Stunden Arbeit sind sicher besser wie ein leeres Bankkonto

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu TR/Crypt.FKM.Gen hat meinen PC befallen.
add-on, adobe, antivir, antivirus, avg, avira, bho, bonjour, computer, cs3, defender, explorer, hijack, hijackthis, immer wieder, internet, internet explorer, opera, photoshop, rundll, safer networking, scan, security, system, toolbars, trojaner, viren, vista, windows, windows defender, windows sidebar



Ähnliche Themen: TR/Crypt.FKM.Gen hat meinen PC befallen.


  1. avira findet : tr/crypt.zpack.36522 ,tr/crypt.xpack.gen ,adware/installcore.gen
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (4)
  2. BKA-Variante "Der computer ist für die Verletzung..." hat meinen Computer befallen!
    Log-Analyse und Auswertung - 15.08.2012 (15)
  3. TR/Crypt.EPACK.Gen8, TR/Crypt.XPACK.Gen, TR/Vcaredrix.A.3 und einige EXP/CVE-xx, EXP/2010-xx Viren.
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (7)
  4. TR/Crypt.XPACK.Gen und TR/Crypt.ZPACK.Gen2 gefunden PC extrem langsam
    Log-Analyse und Auswertung - 19.10.2011 (8)
  5. Viren befallen meinen pc
    Log-Analyse und Auswertung - 30.04.2011 (12)
  6. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  7. TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE!
    Plagegeister aller Art und deren Bekämpfung - 29.06.2010 (68)
  8. TR/dldr.swizzor.gen2, TR/crypt.xpack.gen, TR/crypt.zpack.gen unter Windows XP
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (15)
  9. Massives Trojaner Problem TR/Crypt.XPACK.Gen TR/dropper.Gen TR/Crypt.ASPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (1)
  10. JS/Redirector.455 Virus hat meinen PC befallen!
    Log-Analyse und Auswertung - 22.02.2010 (1)
  11. Heftiger Trojaner Befall Crypt.XPACK.Gen/Click.YABECTOR.B.1/ Crypt.PEPM.Gen
    Log-Analyse und Auswertung - 28.12.2009 (1)
  12. TR/Crypt.XPACK.Gen hat meinen Laptop infiziert
    Log-Analyse und Auswertung - 27.10.2009 (4)
  13. Bootsektor Virus hat meinen Laptop befallen
    Plagegeister aller Art und deren Bekämpfung - 09.10.2009 (23)
  14. Windowsclick.com Trojaner hat meinen PC befallen
    Plagegeister aller Art und deren Bekämpfung - 23.08.2009 (26)
  15. Hilfe!!! W32.Myzor.FK@yf hat meinen Rechner befallen
    Log-Analyse und Auswertung - 25.02.2008 (11)
  16. svshost.exe und andere würmer haben wohl meinen pc befallen!wer kann mir bitte helfen
    Log-Analyse und Auswertung - 20.06.2007 (5)
  17. Hilfe!!! W32.Myzor.FK@yf hat meinen Rechner befallen
    Log-Analyse und Auswertung - 11.05.2007 (4)

Zum Thema TR/Crypt.FKM.Gen hat meinen PC befallen. - Hi Leute! hab mal wieder Probleme mit den blöden Trojaner und Viren, dieses mal geht es um einen Trojaner mit dem Namen TR/Crypt.FKM.Gen der in der Datei C:\Windows\system32\gauotadli.exe angezeigt wird, - TR/Crypt.FKM.Gen hat meinen PC befallen....
Archiv
Du betrachtest: TR/Crypt.FKM.Gen hat meinen PC befallen. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.