Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Problem mit "TR/Crypt.FKM.Gen - Trojan"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.11.2008, 20:25   #1
Sebbi_Swim
 
Problem mit "TR/Crypt.FKM.Gen - Trojan" - Standard

Problem mit "TR/Crypt.FKM.Gen - Trojan"



Hi erstmal,
ich habe hier im board schon informiert was man dagegen tun kann usw. nur leider finde ich nichts was bei mir richtig hilft und wäre nett wenn mir da jemand helfen könnte:
NAME: TR/Crypt.FKM.Gen - Trojan
Fundort wie auch bei anderen in C:\WINDOWS\....
auch ich finde die Datei nicht und auch HiJack findet nichts deshalb hier mein bericht:

Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 21:42:06, on 17.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Creative\Shared Files\CTDevSrv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Razer\razerofa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Philips\Philips Lime Service\bin\LimeAlive.exe
E:\MyWorks\Tastatur\MouseDrv.exe
E:\MyWorks\Tastatur\PS2USBKbdDrv.exe
C:\Programme\Philips\Philips Lime Service\bin\Lime.exe
E:\MyWorks\Steam\Steam.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\SEC\Natural Color Pro\NCProTray.exe
C:\Programme\devolo\informer\devinf.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
E:\MyWorks\ICQToolbar\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - E:\MyWorks\SnagItBHO.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Programme\HP\Smart Web Printing\SmartWebPrinting.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\MyWorks\SnagItIEAddin.dll (file missing)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [PhilipsDM] "C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\MyWorks\Spiele\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WireLessMouse] E:\MyWorks\Tastatur\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] E:\MyWorks\Tastatur\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhilipsLime] "C:\Programme\Philips\Philips Lime Service\bin\LimeAlive.exe"
O4 - HKCU\..\Run: [Steam] "E:\MyWorks\Steam\Steam.exe" -silent
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: NCProTray.lnk = ?
O4 - Global Startup: SnagIt 7.lnk = E:\MyWorks\SnagIt32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\MyWorks\ICQToolbar\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\MyWorks\ICQToolbar\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTDevSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
         

Also ein DICKES DANKE schonmal an dem der mir helfen kann,
bin schon verzweifelt, weil jedesmal beim hochfahren piept es so ca 100 mal und das nervt einfach

Mfg
Sebastian

Ps: Sollte anfügen, dass ich Leistungssportler bin und deshalb mich zwar weng mit PC´s auskenn,
aber leider nicht mit solch einem Problem, des Weiteren hab ich leider nicht genug Zeit (gehabt und des Sportes wegen) um selber eine Lösung im Internet zu finden, deshalb: BITTE BITTE helft mir, DANKE

Alt 24.11.2008, 15:50   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Problem mit "TR/Crypt.FKM.Gen - Trojan" - Standard

Problem mit "TR/Crypt.FKM.Gen - Trojan"



Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________

__________________

Alt 26.11.2008, 22:32   #3
Sebbi_Swim
 
Problem mit "TR/Crypt.FKM.Gen - Trojan" - Standard

Problem mit "TR/Crypt.FKM.Gen - Trojan"



Also danke schomal im vorraus!!

zu Punkt 1: gemacht, keine Probleme
zu Punkt 2: gemacht,
Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
zu Punkt 3: gemacht, Blacklight:
Code:
ATTFilter
11/26/08 22:11:30 [Info]: BlackLight Engine 2.2.1092 initialized
11/26/08 22:11:30 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/26/08 22:11:30 [Note]: 7019 4
11/26/08 22:11:30 [Note]: 7005 0
11/26/08 22:11:38 [Note]: 7006 0
11/26/08 22:11:38 [Note]: 7011 2672
11/26/08 22:11:38 [Note]: 7035 0
11/26/08 22:11:38 [Note]: 7026 0
11/26/08 22:11:38 [Note]: 7026 0
11/26/08 22:11:40 [Note]: FSRAW library version 1.7.1024
11/26/08 22:15:16 [Note]: 2000 1012
11/26/08 22:15:20 [Note]: 2000 1012
11/26/08 22:15:38 [Note]: 7007 0
         
und von dem Malwarebyte hab ich hier:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1427
Windows 5.1.2600 Service Pack 3

26.11.2008 22:27:48
mbam-log-2008-11-26 (22-27-41).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49090
Laufzeit: 1 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.
         
un zu 4: gemacht:
Code:
ATTFilter
"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"PhilipsLime" = ""C:\Programme\Philips\Philips Lime Service\bin\LimeAlive.exe"" ["Philips"]
"Steam" = ""e:\myworks\steam\steam.exe" -silent" ["Valve Corporation"]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"FlashPlayerUpdate" = "C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"RemoteControl" = ""C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"razer" = "C:\Programme\Razer\razerhid.exe" [empty string]
"PhilipsDM" = ""C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe"" ["Koninklijke Philips Electronics N.V."]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre6\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"PCSuiteTrayApplication" = "E:\MyWorks\Spiele\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup" ["Nokia"]
"HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Co."]
"WireLessMouse" = "E:\MyWorks\Tastatur\StartAutorun.exe MouseDrv.exe" [empty string]
"WireLessKeyboard" = "E:\MyWorks\Tastatur\StartAutorun.exe PS2USBKbdDrv.exe" [empty string]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"Malwarebytes' Anti-Malware" = "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent" ["Malwarebytes Corporation"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{00C6482D-C502-44C8-8409-FCE54AD9C208}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "HelperObject Class"
                   \InProcServer32\(Default) = "E:\MyWorks\SnagItBHO.dll" [file not found]
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
  -> {HKLM...CLSID} = "XTTBPos00 Class"
                   \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Java(tm) Plug-In SSV Helper"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AE84A6AA-A333-4B92-B276-C11E2212E4FE}\(Default) = "HP Smart Web Printing 1.0"
  -> {HKLM...CLSID} = "CPrintEnhancer Object"
                   \InProcServer32\(Default) = "C:\Programme\HP\Smart Web Printing\SmartWebPrinting.dll" ["Hewlett-Packard Co."]
{DBC80044-A445-435b-BC74-9C25C1C588A9}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Java(tm) Plug-In 2 SSV Helper"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\jp2ssv.dll" ["Sun Microsystems, Inc."]
{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\(Default) = "JQSIEStartDetectorImpl"
  -> {HKLM...CLSID} = "JQSIEStartDetectorImpl Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {HKLM...CLSID} = "Portable Media Devices Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"
  -> {HKLM...CLSID} = "Nokia Phone Browser"
                   \InProcServer32\(Default) = "E:\MyWorks\Spiele\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}" = "SnagIt"
  -> {HKLM...CLSID} = "SnagIt"
                   \InProcServer32\(Default) = "E:\MyWorks\SnagItIEAddin.dll" [file not found]
"{CF74B903-3389-469c-B3B6-0204D204FCBD}" = "SnagIt Shell Extension"
  -> {HKLM...CLSID} = "SnagItShellExt Class"
                   \InProcServer32\(Default) = "E:\MyWorks\SnagItShellExt.dll" [file not found]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
  -> {HKLM...CLSID} = "Meine freigegebenen Ordner"
                   \InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
SnagItMainShellExt\(Default) = "{CF74B903-3389-469c-B3B6-0204D204FCBD}"
  -> {HKLM...CLSID} = "SnagItShellExt Class"
                   \InProcServer32\(Default) = "E:\MyWorks\SnagItShellExt.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
SnagItMainShellExt\(Default) = "{CF74B903-3389-469c-B3B6-0204D204FCBD}"
  -> {HKLM...CLSID} = "SnagItShellExt Class"
                   \InProcServer32\(Default) = "E:\MyWorks\SnagItShellExt.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Default executables:
--------------------

<<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile"


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "E:\MyWorks\Bilder\Schwarz.bmp"
         
zu mehr bin ich heute leider nicht gekommen, werde es aber so bald wie möglich machen, wahrscheinlich morgen.

Danke nochmal und Gute Nacht

PS: Falls fehler sind, bitte entschuldigt, bin schon lang auf den Beinen heute
__________________

Alt 27.11.2008, 20:31   #4
Sebbi_Swim
 
Problem mit "TR/Crypt.FKM.Gen - Trojan" - Standard

Problem mit "TR/Crypt.FKM.Gen - Trojan"



so noch der combo-log:
Code:
ATTFilter
ComboFix 08-11-27.03 - #### 2008-11-27 20:21:29.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1527 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Roman Stich\Desktop\ComboFix.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2008-10-27 bis 2008-11-27  ))))))))))))))))))))))))))))))
.

2008-11-27 20:14 . 2008-11-27 20:14	<DIR>	d--------	c:\programme\CCleaner
2008-11-27 19:51 . 2008-11-27 19:51	<DIR>	d--------	c:\windows\LastGood
2008-11-26 22:05 . 2008-11-26 22:05	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-11-26 22:05 . 2008-11-26 22:05	<DIR>	d--------	c:\dokumente und einstellungen\####\Anwendungsdaten\Malwarebytes
2008-11-26 22:05 . 2008-11-26 22:05	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-26 22:05 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-26 22:05 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-26 20:19 . 2008-11-26 20:19	410,976	--a------	c:\windows\system32\deploytk.dll
2008-11-22 21:35 . 2004-08-03 23:57	221,184	--a------	c:\windows\system32\wmpns.dll
2008-11-22 21:14 . 2008-11-22 21:14	<DIR>	d--------	c:\windows\system32\de-de
2008-11-22 21:13 . 2008-11-22 21:13	<DIR>	d--------	c:\windows\system32\de
2008-11-22 21:13 . 2008-11-22 21:13	<DIR>	d--------	c:\windows\system32\bits
2008-11-22 21:13 . 2008-11-22 21:14	<DIR>	d--------	c:\windows\l2schemas
2008-11-17 21:18 . 2008-11-17 21:18	<DIR>	d--------	c:\programme\Trend Micro
2008-11-17 20:53 . 2008-11-17 21:08	<DIR>	d-a------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-17 20:50 . 2008-11-17 20:50	250	--a------	c:\windows\gmer.ini
2008-11-13 21:44 . 2008-11-13 21:44	54,156	--ah-----	c:\windows\QTFont.qfn
2008-11-13 21:44 . 2008-11-13 21:44	1,409	--a------	c:\windows\QTFont.for
2008-11-11 20:18 . 2008-10-24 12:21	455,296	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2008-11-06 18:44 . 2008-11-06 18:44	<DIR>	d--------	c:\programme\DivX
2008-11-06 18:37 . 2008-11-06 18:37	<DIR>	d--h-----	c:\windows\PIF

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-26 19:19	---------	d-----w	c:\programme\Java
2008-11-18 16:24	---------	d-----w	c:\programme\ICQToolbar
2008-11-17 19:49	---------	d-----w	c:\dokumente und einstellungen\####\Anwendungsdaten\ICQ
2008-11-13 20:44	---------	d-----w	c:\programme\QuickTime
2008-10-26 19:33	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania
2008-10-24 11:21	455,296	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-20 14:57	---------	d-----w	c:\programme\Google
2008-10-20 14:53	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-10-16 13:06	268,648	----a-w	c:\windows\system32\mucltui.dll
2008-10-16 13:06	208,744	----a-w	c:\windows\system32\muweb.dll
2008-09-30 15:43	1,286,152	----a-w	c:\windows\system32\msxml4.dll
2008-09-28 16:24	2,560	----a-w	c:\windows\_MSRSTRT.EXE
2008-09-28 16:19	---------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-15 15:24	1,846,528	----a-w	c:\windows\system32\win32k.sys
2008-09-10 01:13	1,307,648	------w	c:\windows\system32\msxml6.dll
2008-09-04 17:15	1,106,944	----a-w	c:\windows\system32\msxml3.dll
2007-09-25 17:53	17,820,592	----a-w	c:\programme\antivir_workstation_win7u_de_h.exe
2004-10-01 13:00	40,960	----a-w	c:\programme\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"PhilipsLime"="c:\programme\Philips\Philips Lime Service\bin\LimeAlive.exe" [2005-09-08 159744]
"Steam"="e:\myworks\steam\steam.exe" [2008-10-08 1410296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2006-10-22 86016]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"razer"="c:\programme\Razer\razerhid.exe" [2005-05-17 147456]
"PhilipsDM"="c:\programme\Philips\Philips Device Manager\Bin\DeviceManager.exe" [2005-09-14 512000]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-26 136600]
"PCSuiteTrayApplication"="e:\myworks\Spiele\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 229376]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"WireLessMouse"="e:\myworks\Tastatur\StartAutorun.exe" [2005-11-30 94208]
"WireLessKeyboard"="e:\myworks\Tastatur\StartAutorun.exe" [2005-11-30 94208]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 210520]
NCProTray.lnk - c:\programme\SEC\Natural Color Pro\NCProTray.exe [2007-07-06 49220]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"= c_060380.nls
"aux2"= c_060380.nls
"wave1"= c_060380.nls
"mixer1"= c_060380.nls
"midi2"= c_060380.nls
"wave2"= c_060380.nls
"mixer2"= c_060380.nls
"aux1"= c_060380.nls

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\MyWorks\\ICQToolbar\\ICQ6\\ICQ.exe"=
"c:\\Programme\\devolo\\informer\\devinf.exe"=
"c:\\Dokumente und Einstellungen\\####\\Desktop\\easyshare.exe"=
"e:\\MyWorks\\Steam\\steamapps\\####\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"e:\\MyWorks\\Steam\\steamapps\\common\\trackmania nations forever\\TmForever.exe"=
"e:\\MyWorks\\Spiele\\Cs16\\hl.exe"=
"e:\\MyWorks\\Spiele\\BF\\BF2.exe"=
"e:\\MyWorks\\Steam\\steamapps\\###\\half-life 2 deathmatch\\hl2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 videX32;videX32;c:\windows\system32\DRIVERS\videX32.sys [2007-06-26 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2007-06-26 11264]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [2004-05-17 17280]
R3 CAM1210;HAMA PC-WEBCAM AC-120;c:\windows\system32\Drivers\cam1210.sys [2007-08-30 93824]
S2 LVEzLoader;LifeView EZ-USB FX2 FIRMWARE LOADER (LVEzLD06.sys);c:\windows\system32\Drivers\LVEzLD06.sys [2008-07-05 15360]
S3 cdiskdun;cdiskdun;\??\c:\dokume~1\ROMANS~1\LOKALE~1\Temp\cdiskdun.sys []
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\system32\PLCMPR5.SYS []
S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\DRIVERS\zd1211u.sys [2007-06-30 237568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2008-11-22 c:\windows\Tasks\WebReg Deskjet F4100 series.job
- c:\programme\HP\Digital Imaging\bin\hpqwrg.exe [2006-12-10 21:36]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\####\Anwendungsdaten\Mozilla\Firefox\Profiles\jfq943sb.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.freenet.de
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-27 20:22:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-27 20:23:00
ComboFix-quarantined-files.txt  2008-11-27 19:22:44
ComboFix2.txt  2008-11-27 19:04:32
ComboFix3.txt  2008-11-17 20:27:50

Vor Suchlauf: 8.737.873.920 Bytes frei
Nach Suchlauf: 8,723,730,432 Bytes frei

154	--- E O F ---	2008-11-23 22:26:58
         
den rest mach ich jetzt noch, danke schomal!

Alt 27.11.2008, 20:39   #5
Sebbi_Swim
 
Problem mit "TR/Crypt.FKM.Gen - Trojan" - Standard

Problem mit "TR/Crypt.FKM.Gen - Trojan"



So also hier der rest, des skript(verlinkt)

http://www.file-upload.net/download-1280967/listing2.txt.html

und die neue Hijack:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:05, on 27.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Creative\Shared Files\CTDevSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Philips\Philips Lime Service\bin\LimeAlive.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Philips\Philips Lime Service\bin\Lime.exe
E:\MyWorks\Tastatur\MouseDrv.exe
E:\MyWorks\Tastatur\PS2USBKbdDrv.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\SEC\Natural Color Pro\NCProTray.exe
C:\Programme\devolo\informer\devinf.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\MyWorks\ICQToolbar\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Programme\HP\Smart Web Printing\SmartWebPrinting.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [PhilipsDM] "C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\MyWorks\Spiele\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WireLessMouse] E:\MyWorks\Tastatur\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] E:\MyWorks\Tastatur\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhilipsLime] "C:\Programme\Philips\Philips Lime Service\bin\LimeAlive.exe"
O4 - HKCU\..\Run: [Steam] "e:\myworks\steam\steam.exe" -silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: NCProTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\MyWorks\ICQToolbar\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\MyWorks\ICQToolbar\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTDevSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

--
End of file - 7717 bytes
         
DANKE nochmal, weis aber noch nicht ob der trojaner weg ist...*hoffe aber*


Alt 27.11.2008, 21:24   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Problem mit "TR/Crypt.FKM.Gen - Trojan" - Standard

Problem mit "TR/Crypt.FKM.Gen - Trojan"



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:
ATTFilter
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=-
"aux2"=-
"wave1"=-
"mixer1"=-
"midi2"=-
"wave2"=-
"mixer2"=-
"aux1"=-

Collect::
c:\windows\system32\c_060380.nls
c:\dokume~1\ROMANS~1\LOKALE~1\Temp\cdiskdun.sys

Rootkit::
c:\windows\system32\c_060380.nls
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
--> Problem mit "TR/Crypt.FKM.Gen - Trojan"

Alt 27.11.2008, 22:19   #7
Sebbi_Swim
 
Problem mit "TR/Crypt.FKM.Gen - Trojan" - Standard

Problem mit "TR/Crypt.FKM.Gen - Trojan"



Also alles gemacht, beim Neustart kamen keine neuen Fund-Nachrichten *freu*
ich Danke dir über alles!!!
und noch die log:
Code:
ATTFilter
ComboFix 08-11-27.03 - ### 2008-11-27 22:10:18.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1348 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Roman Stich\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Roman Stich\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\c_060380.nls

.
(((((((((((((((((((((((   Dateien erstellt von 2008-10-27 bis 2008-11-27  ))))))))))))))))))))))))))))))
.

2008-11-27 20:14 . 2008-11-27 20:14	<DIR>	d--------	c:\programme\CCleaner
2008-11-26 22:05 . 2008-11-26 22:05	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-11-26 22:05 . 2008-11-26 22:05	<DIR>	d--------	c:\dokumente und einstellungen\Roman Stich\Anwendungsdaten\Malwarebytes
2008-11-26 22:05 . 2008-11-26 22:05	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-26 22:05 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-26 22:05 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-26 20:19 . 2008-11-26 20:19	410,976	--a------	c:\windows\system32\deploytk.dll
2008-11-22 21:35 . 2004-08-03 23:57	221,184	--a------	c:\windows\system32\wmpns.dll
2008-11-22 21:14 . 2008-11-22 21:14	<DIR>	d--------	c:\windows\system32\de-de
2008-11-22 21:13 . 2008-11-22 21:13	<DIR>	d--------	c:\windows\system32\de
2008-11-22 21:13 . 2008-11-22 21:13	<DIR>	d--------	c:\windows\system32\bits
2008-11-22 21:13 . 2008-11-22 21:14	<DIR>	d--------	c:\windows\l2schemas
2008-11-17 21:18 . 2008-11-17 21:18	<DIR>	d--------	c:\programme\Trend Micro
2008-11-17 20:53 . 2008-11-17 21:08	<DIR>	d-a------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-17 20:50 . 2008-11-17 20:50	250	--a------	c:\windows\gmer.ini
2008-11-13 21:44 . 2008-11-13 21:44	54,156	--ah-----	c:\windows\QTFont.qfn
2008-11-13 21:44 . 2008-11-13 21:44	1,409	--a------	c:\windows\QTFont.for
2008-11-11 20:18 . 2008-10-24 12:21	455,296	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2008-11-06 18:44 . 2008-11-06 18:44	<DIR>	d--------	c:\programme\DivX
2008-11-06 18:37 . 2008-11-06 18:37	<DIR>	d--h-----	c:\windows\PIF

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-26 19:19	---------	d-----w	c:\programme\Java
2008-11-18 16:24	---------	d-----w	c:\programme\ICQToolbar
2008-11-17 19:49	---------	d-----w	c:\dokumente und einstellungen\###\Anwendungsdaten\ICQ
2008-11-13 20:44	---------	d-----w	c:\programme\QuickTime
2008-10-26 19:33	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania
2008-10-24 11:21	455,296	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-20 14:57	---------	d-----w	c:\programme\Google
2008-10-20 14:53	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-10-16 13:06	268,648	----a-w	c:\windows\system32\mucltui.dll
2008-10-16 13:06	208,744	----a-w	c:\windows\system32\muweb.dll
2008-09-30 15:43	1,286,152	----a-w	c:\windows\system32\msxml4.dll
2008-09-28 16:24	2,560	----a-w	c:\windows\_MSRSTRT.EXE
2008-09-28 16:19	---------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-15 15:24	1,846,528	----a-w	c:\windows\system32\win32k.sys
2008-09-10 01:13	1,307,648	------w	c:\windows\system32\msxml6.dll
2008-09-04 17:15	1,106,944	----a-w	c:\windows\system32\msxml3.dll
2007-09-25 17:53	17,820,592	----a-w	c:\programme\antivir_workstation_win7u_de_h.exe
2004-10-01 13:00	40,960	----a-w	c:\programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((((   snapshot_2008-11-27_20.03.26,59   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-27 21:12:30	16,384	----atw	c:\windows\temp\Perflib_Perfdata_c8.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"PhilipsLime"="c:\programme\Philips\Philips Lime Service\bin\LimeAlive.exe" [2005-09-08 159744]
"Steam"="e:\myworks\steam\steam.exe" [2008-10-08 1410296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2006-10-22 86016]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"razer"="c:\programme\Razer\razerhid.exe" [2005-05-17 147456]
"PhilipsDM"="c:\programme\Philips\Philips Device Manager\Bin\DeviceManager.exe" [2005-09-14 512000]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-26 136600]
"PCSuiteTrayApplication"="e:\myworks\Spiele\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 229376]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"WireLessMouse"="e:\myworks\Tastatur\StartAutorun.exe" [2005-11-30 94208]
"WireLessKeyboard"="e:\myworks\Tastatur\StartAutorun.exe" [2005-11-30 94208]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 210520]
NCProTray.lnk - c:\programme\SEC\Natural Color Pro\NCProTray.exe [2007-07-06 49220]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\MyWorks\\ICQToolbar\\ICQ6\\ICQ.exe"=
"c:\\Programme\\devolo\\informer\\devinf.exe"=
"c:\\Dokumente und Einstellungen\\###\\Desktop\\easyshare.exe"=
"e:\\MyWorks\\Steam\\steamapps\\###\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"e:\\MyWorks\\Steam\\steamapps\\common\\trackmania nations forever\\TmForever.exe"=
"e:\\MyWorks\\Spiele\\Cs16\\hl.exe"=
"e:\\MyWorks\\Spiele\\BF\\BF2.exe"=
"e:\\MyWorks\\Steam\\steamapps\\###\\half-life 2 deathmatch\\hl2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 videX32;videX32;c:\windows\system32\DRIVERS\videX32.sys [2007-06-26 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2007-06-26 11264]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [2004-05-17 17280]
R3 CAM1210;HAMA PC-WEBCAM AC-120;c:\windows\system32\Drivers\cam1210.sys [2007-08-30 93824]
S2 LVEzLoader;LifeView EZ-USB FX2 FIRMWARE LOADER (LVEzLD06.sys);c:\windows\system32\Drivers\LVEzLD06.sys [2008-07-05 15360]
S3 cdiskdun;cdiskdun;\??\c:\dokume~1\ROMANS~1\LOKALE~1\Temp\cdiskdun.sys []
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\system32\PLCMPR5.SYS []
S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\DRIVERS\zd1211u.sys [2007-06-30 237568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2008-11-22 c:\windows\Tasks\WebReg Deskjet F4100 series.job
- c:\programme\HP\Digital Imaging\bin\hpqwrg.exe [2006-12-10 21:36]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-27 22:12:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\CTSVCCDA.EXE
c:\programme\Creative\Shared Files\CTDevSrv.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\rundll32.exe
c:\programme\Razer\razerofa.exe
c:\windows\system32\rundll32.exe
c:\programme\Philips\Philips Lime Service\bin\Lime.exe
e:\myworks\Tastatur\PS2USBKbdDrv.exe
e:\myworks\Tastatur\MouseDrv.exe
c:\programme\devolo\informer\devinf.exe
c:\programme\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-27 22:16:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-11-27 21:16:07
ComboFix2.txt  2008-11-27 19:23:01
ComboFix3.txt  2008-11-27 19:04:32
ComboFix4.txt  2008-11-17 20:27:50

Vor Suchlauf: 8.709.210.112 Bytes frei
Nach Suchlauf: 8,702,816,256 Bytes frei

168	--- E O F ---	2008-11-23 22:26:58
         
DANKE DANKE DANKE

Alt 27.11.2008, 22:31   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Problem mit "TR/Crypt.FKM.Gen - Trojan" - Standard

Problem mit "TR/Crypt.FKM.Gen - Trojan"



Ok...
Mach das gleich bitte nochmal mit Combofix nur diesmal diesen Text als Script nehmen:

Code:
ATTFilter
Rootkit::
c:\dokume~1\ROMANS~1\LOKALE~1\Temp\cdiskdun.sys
         
Ich muss Dir auch leider sagen, dass Du wahrscheinlich Opfer des Silentbankers geworden bist, da ist ein Formatieren dringend empfohlen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.11.2008, 18:12   #9
Sebbi_Swim
 
Problem mit "TR/Crypt.FKM.Gen - Trojan" - Standard

Problem mit "TR/Crypt.FKM.Gen - Trojan"



Hm und was bedeutet das wiederum?
das scripten werde ich gleich machen poste dann noch das log...

DA ist ein PRoblem aufgetaucht, hab heute leider keine Zeit mehr, mach des ganze moren dann und werde dich/euch informieren...

Antwort

Themen zu Problem mit "TR/Crypt.FKM.Gen - Trojan"
1.exe, adobe, antivir, avira, bho, dll, excel, explorer, firefox, hijack, hijackthis, internet, internet explorer, launch, logfile, mozilla, nvidia, pdf, problem, programme, rundll, software, solution, system, tastatur, trojan, windows, windows xp



Ähnliche Themen: Problem mit "TR/Crypt.FKM.Gen - Trojan"


  1. Malwarebytes erkannte "DTSGainCompensatorDLL.dll" als Trojan.crypt kann ich mein System noch bereinigen oder sollte ich es platt machen?
    Plagegeister aller Art und deren Bekämpfung - 26.11.2015 (15)
  2. Avira meldet einen Fund "TR/Crypt.ZPACK.Gen2 [trojan]"
    Log-Analyse und Auswertung - 21.11.2015 (9)
  3. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  4. Herzlichen Dank "Schrauber" - "Problem mit der Gruppenrichtlinie" blockiert" gelöst
    Lob, Kritik und Wünsche - 11.12.2014 (0)
  5. Win7 nach AntiVir Funden "TR/Crypt.zpack.Gen7" und "Adspy.Gen2" stark verlangsamt
    Log-Analyse und Auswertung - 13.04.2014 (28)
  6. Windows 8: "TR/Crypt.XPACK.Gen2" / "ADWARE/Amonetize.U.3"
    Plagegeister aller Art und deren Bekämpfung - 30.09.2013 (9)
  7. Brief von Telekom / "Sicherheitswarnung zu Ihrem Internetzugang" / "TR/Crypt.ULPM.Gen"
    Log-Analyse und Auswertung - 25.10.2012 (37)
  8. "Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"
    Log-Analyse und Auswertung - 12.04.2012 (21)
  9. PC nach Befall durch "TR/Crypt.XPACK.Gen" und "TR/Crypt.ZPACK.Gen2" extrem langsam
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (7)
  10. Malwarereinigung: "TR/Kazy.25747.40", "Trojan.Downloader..." und "Backdoor: Win32Cycbot.B"
    Log-Analyse und Auswertung - 09.06.2011 (1)
  11. Problem mit Trojaner "TR/Crypt.XPACK.Gen"
    Plagegeister aller Art und deren Bekämpfung - 29.03.2011 (9)
  12. "0.05870814618642739.exe" ("Win32:Trojan-gen") in "C:\Users\***\AppData\Local\Temp\"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (25)
  13. Antivir findet Trojaner: "TR/Crypt.ZPACK.Gen (trojan)" - Was nun? (inkl. Hjackthis-File)
    Plagegeister aller Art und deren Bekämpfung - 17.06.2010 (1)
  14. AVG findet "Trojan horse Generic15.EAM", Antimalware "Trojan.Agent" + "Rootkit.Agent"
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (13)
  15. TR/Crypt.XPACK.Gen TROJANER - "Rest"problem
    Plagegeister aller Art und deren Bekämpfung - 27.12.2008 (9)
  16. Problem mit "TR/TDss.AE.22" und "TR/Crypt.XPACK.Gen"
    Mülltonne - 16.12.2008 (0)
  17. Problem mit "TR/Crypt.XPACK.Gen [trojan]"
    Log-Analyse und Auswertung - 05.12.2008 (4)

Zum Thema Problem mit "TR/Crypt.FKM.Gen - Trojan" - Hi erstmal, ich habe hier im board schon informiert was man dagegen tun kann usw. nur leider finde ich nichts was bei mir richtig hilft und wäre nett wenn mir - Problem mit "TR/Crypt.FKM.Gen - Trojan"...
Archiv
Du betrachtest: Problem mit "TR/Crypt.FKM.Gen - Trojan" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.