Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Crypt.FKM.Gen (https://www.trojaner-board.de/59136-tr-crypt-fkm-gen.html)

Nireaha 04.09.2008 12:43
TR/Crypt.FKM.Gen
 
Hallo,
habe mir leider auch den Wurm TR/Crypt.FKM.Gen eingefangen. Habe gestern schon den halben Tag hier verbracht und mir andere Hilfestellungen angesehen und soweit abgearbeitet wie in diesem Thread http://www.trojaner-board.de/57808-t...t-fkm-gen.html empholen.
Was ich nicht machen konnte war das SP 3 für Windows zu laden. Müsste ich mir woanders herholen.
Was mich gewundert hat ist das mein Antivir nach aggressiver Einstellung den Wurm nicht mehr findet beim scannen. Ansonsten taucht er meist beim hochfahren auf, so 10 Meldungen von Antivir hintereinander.

So dann noch die Logs von Hijack und Superantispyware.

Schonmal vielen Dank für jede Hilfe die ihr mir geben könnt.

cosinus 04.09.2008 20:36
Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Nireaha 04.09.2008 23:04
So danke schonmal für die Hilfe.

Hab die ersten sachen schonmal fertig.
Bei der Systemwiederherstellung hab ich noch ne Frage. In der Anleitung steht ich soll das Häkchen setzen und dann wieder rausnehmen. Soll das bedeuten häkchen nach dem ganzen, also nach dem dann der Trojaner weg ist oder gleich wieder reinsetzen. thx for help

cosinus 04.09.2008 23:07
Code:
C:\WINDOWS\system32\149010267712.CPX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\149010267721.CPX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\149010267731.CPX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\149010267751.CPX (Trojan.Agent) -> No action taken.
hast Du die schon gelöscht? Ich ahne was Böses. Werte die mal bei Virustotal aus und poste die Ergebnisse.

Nireaha 04.09.2008 23:12
Und noch der log von Silent Runner.

File-Upload.net - Startup-Programs--STEFAN1--2008-09-04-23.48.47.txt.zip

Nireaha 04.09.2008 23:21
Ja hab die in Quarantäne verschoben.

Wie soll ich die bei Virustotal hochladen?? den kompletten log??

cosinus 04.09.2008 23:25
Nein die Dateien. Ist nun aber wurscht, Du hast sie schon in Qurantäne geschoben. :killpc:
Sagmal, macht irgendjmd an dieser (deinen) Kiste Onlinebanking? :rolleyes:

Nireaha 04.09.2008 23:28
Aehm ja, ab und zu schon.

cosinus 04.09.2008 23:38
Ahja. Dann behalt mal in der nächsten Zeit Dein Konto schön im Auge. Oder zumindest die Konten, in denen man sich von der verseuchten Kiste eingeloggt hat. Ich vermute bei den erwähnten Dateien, die MBAM fand, einen silentbanker (oder auch hier)

Du solltest schon mal vorsorglich von einem sauberen PC mit Internetzugang alle Logindaten ändern. Und wie gesagt, behalt Dein Konto im Auge.

Mach noch die anderen Logs, ich glaub aber kaum, dass ich jetzt noch zur Auswertung komme, wahrscheinlich morgen (also heute nach dem Schlafen ;) )

Nireaha 04.09.2008 23:41
oki werd ich mal tun. Poste die Auswertung vom Combofix morgen früh. Danke schonmal sehr für Deine Hilfe.

gute Nacht gewünscht

Nireaha 05.09.2008 00:38
so hier dann noch der log vom comboFix

cosinus 05.09.2008 22:09
Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\WINDOWS\system32\vghd.scr
C:\WINDOWS\system32\drivers\14901026771.CPX
C:\WINDOWS\system32\14901026771.CPX
Danach müssen einige Objekte gelöscht werden:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
files to delete:
C:\WINDOWS\system32\vghd.scr
C:\WINDOWS\system32\drivers\14901026771.CPX
C:\WINDOWS\system32\14901026771.CPX

Folders to delete:
C:\Dokumente und Einstellungen\name\Anwendungsdaten\vghd
C:\Programme\AskPBar

drivers to delete:
aux1
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Was ist mit dem filelisting?

Nireaha 06.09.2008 15:49
Habe die Dateianzeige geprüft, war alles noch so eingestellt, mit versteckte Dateien anzeigen.

Dann die Dateien bei Virustotal analysiert. Die system32/driver konnte ich nicht finden und die 149....cpx datei auch nicht, habe dafür ne andere cpx datei getestet die sich am 05.09. erstellt hat. Hab von der Art grad 4, 2 am 5.08 erstellt und 2 am 5.09.
Beide Tests ohne Ergebnis, wenn ich das richtige sehe.

Schaff den Avenger leider erst morgen.

danke und lg.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131