|
HijackThis-Analyse erbeten - TR/Crypt.FKM.Gen gefunden Hallo! Vielen Dank für die Hilfe! Ich surfe mit K-Meleon und FireFox, Betriebssystem ist Windows XP SP2. Avira hat mir zuletzt folgende Meldungen gegeben: In der Datei 'C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WA0KVQ57\n2_18_09_07_1[2].exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [TR/Crypt.FKM.Gen] gefunden. In der Datei 'C:\WINDOWS\TEMP\1312187064.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [TR/Crypt.FKM.Gen] gefunden. In der Datei 'C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EOY0M6ZR\n2_18_09_07_1[1].exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [TR/Crypt.FKM.Gen] gefunden. In der Datei 'C:\WINDOWS\TEMP\1925958827.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [TR/Crypt.FKM.Gen] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WA0KVQ57\n2_18_09_07_1[1].exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [TR/Crypt.FKM.Gen] gefunden. In der Datei 'C:\WINDOWS\TEMP\1619397016.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [TR/Crypt.FKM.Gen] gefunden. ... (jedesmal kommen andere Meldungen) Hier die Jijackthis-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 10:30:57, on 28.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Apoint\Apoint.exe C:\WINDOWS\system32\Atiptaxx.exe D:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Apoint\Apntex.exe D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\RALINK\Common\RaUI.exe D:\Programme\K-Meleon\loader.exe C:\WINDOWS\system32\wscntfy.exe D:\Programme\K-Meleon\k-meleon.exe C:\Programme\wincmd\TOTALCMD.EXE D:\Programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programme\Free Download Manager\iefdmcks.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - Startup: K-Meleon Loader.lnk = D:\Programme\K-Meleon\loader.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://D:\Programme\Free Download Manager\dllink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\ati2evxx.exe O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe |
http://www.smiliegenerator.de/s33/smilies-25934.png Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab: Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) |
Vielen Dank, unten die benötigten Infos. Leider ließ sich eScan vor dem Scan nicht aktualisieren; außerdem ist bei 2 Durchläufen irgendwann der Computer ausgegangen. Soll ich das Protokoll anhängen? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.9 Sprache: German C:\DOKUME~1\**\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\61SXGPWB\n2_21_09_07_0[1].exe//PE_Patch.UPX//UPX infiziert von "Trojan.Win32.Agent.bsg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 16:29:41,32 Batchende: 16:29:45,55 Virustotal: Datei svchost.exe empfangen 2007.10.28 15:34:02 (CET) Ergebnis: 0/31 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.27.0 2007.10.26 - AntiVir 7.6.0.30 2007.10.26 - Authentium 4.93.8 2007.10.26 - Avast 4.7.1074.0 2007.10.27 - AVG 7.5.0.503 2007.10.27 - BitDefender 7.2 2007.10.28 - CAT-QuickHeal 9.00 2007.10.26 - ClamAV 0.91.2 2007.10.28 - DrWeb 4.44.0.09170 2007.10.28 - eSafe 7.0.15.0 2007.10.22 - eTrust-Vet 31.2.5244 2007.10.26 - Ewido 4.0 2007.10.28 - FileAdvisor 1 2007.10.28 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.26 - F-Secure 6.70.13030.0 2007.10.27 - Ikarus T3.1.1.12 2007.10.27 - Kaspersky 7.0.0.125 2007.10.28 - McAfee 5150 2007.10.26 - Microsoft 1.2908 2007.10.28 - NOD32v2 2621 2007.10.28 - Norman 5.80.02 2007.10.26 - Panda 9.0.0.4 2007.10.28 - Prevx1 V2 2007.10.28 - Rising 19.46.61.00 2007.10.28 - Sophos 4.23.0 2007.10.28 - Sunbelt 2.2.907.0 2007.10.27 - Symantec 10 2007.10.28 - TheHacker 6.2.9.110 2007.10.27 - VBA32 3.12.2.4 2007.10.28 - VirusBuster 4.3.26:9 2007.10.27 - weitere Informationen File size: 14336 bytes MD5: 65a819b121eb6fdab4400ea42bdffe64 SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3 |
Ccleaner - System bereinigen Lade dir den Ccleaner runter -> KLICK - Ccleaner installieren (die toolbar nicht installieren) und starten - wähle unter Options --> Settings --> German - bereinige dein System http://soft.oszone.net/img_soft/ccleaner.jpg - lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben |
Habe ich gemacht, es wurde auch einiges bereinigt, aber Avira meldet immer noch den gleichen Trojaner...:-/ EDIT: Ich habe den CCleaner nochmal mehrmals durchgeführt, bis keine Fehler mehr gefunden wurden. Möglicherweise tritt das Problem jetzt nicht mehr auf - ich beobachte es und sage nochmal Bescheid. Danke schonmal! |
Update: Leider findet Avira den Trojaner immer noch... :-( |
Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen Poste ausserdem den Inhalt der C:\avenger.txt Datei. |
Script File: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\yamqcygs ******************* Script file located at: amacrgnf Could not open script file! Error Could not open script file! Status: 0xc000003b Abort! |
2. Versuch: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Fatal error: could not create new script file. Error code: 1813 Error logged to errorlog.txt. Aborting now! |
3. Versuch: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\otoeojyr ******************* Script file located at: \??\C:\ijebvutp.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WA0KVQ57\n2_18_09_07_1[2].exe not found! Deletion of file C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WA0KVQ57\n2_18_09_07_1[2].exe failed! Could not process line: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WA0KVQ57\n2_18_09_07_1[2].exe Status: 0xc0000034 File C:\WINDOWS\TEMP\1312187064.exe not found! Deletion of file C:\WINDOWS\TEMP\1312187064.exe failed! Could not process line: C:\WINDOWS\TEMP\1312187064.exe Status: 0xc0000034 File C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EOY0M6ZR\n2_18_09_07_1[1].exe not found! Deletion of file C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EOY0M6ZR\n2_18_09_07_1[1].exe failed! Could not process line: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EOY0M6ZR\n2_18_09_07_1[1].exe Status: 0xc0000034 File C:\WINDOWS\TEMP\1925958827.exe not found! Deletion of file C:\WINDOWS\TEMP\1925958827.exe failed! Could not process line: C:\WINDOWS\TEMP\1925958827.exe Status: 0xc0000034 File C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WA0KVQ57\n2_18_09_07_1[1].exe deleted successfully. File C:\WINDOWS\TEMP\1619397016.exe not found! Deletion of file C:\WINDOWS\TEMP\1619397016.exe failed! Could not process line: C:\WINDOWS\TEMP\1619397016.exe Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board