TR/Crypt.FKM.gen
 

Hallo zusammen,

ich habe mir trotz aktuellem AntiVir den Trojaner TR/Crypt.FKM.gen eingefangen.
Zunächst habe ich die in diesem Forum gepostete Liste von "undoreal" (vom 13.08.2008) abgearbeitet, die dankenswerterweise auch für Laien wie mich verständlich geschrieben ist. D.h. Programmupdates (habe Windows XP bis inkl. SP 2, die Installation von SP 3 hat nicht geklappt), Firewall, agressives AntiVir etc. Der Antiviren-Scan im abgesicherten Modus hat keinen Virus oder ähnliches ergeben, nur 115 Warnungen und ein logfile, das zu lang ist, um es hier zu posten.

Im Folgenden poste ich mein (anonymisiertes und um Links bereinigtes) HJT-logfile und hoffe, dass Ihr mir einen Tipp geben könnt, wie ich am besten weiter verfahre. Habe mich nicht getraut, auf eigene Faust The Avenger o.ä. zu installieren und irgendwelche Dateien zu löschen, ohne dass sich mal ein Profi mein HJT-file angeschaut hat. Ich selbst verstehe im HJT-file – trotz Recherche hier im Board – leider nicht viel.
Ich würde mich freuen und wäre sehr dankbar, wenn Ihr mir weiterhelfen könntet!! Hoffe, ich habe bis hierhin alles richtig gemacht. Beste Grüße und vielen Dank!

Hier mein HiJackThis-logfile

Hallo Hannah :)

Zwecks Analyse/Bereinigung, arbeite bitte folgende Schritte der Reihe nach ab:

1.)
IceSword

Hier gibt es das Tool => Klick
(Für Vista => Klick)

FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann. Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht . Damit lässt sich zum Beispiel Rustock-B (alias lzx32.sys) finden.

1. http://virus-protect.org/artikel/bilder/iceee.png
2. http://virus-protect.org/artikel/bilder/icee.png

• Kopiere den Text, der im Kommandozeilenfenster steht.
• Gehe dazu wie folgt vor:

Oben rechts auf das "Schwert-Symbol" klicken => Edit => Select All => wieder auf das "Schwert-Symbol" klicken => Edit => Copy
Füge den Text bitte in Deine nächste Antwort mit ein:
2.)
Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

3.)
MalwareBytes Anti-Malware:

• Lade dir MalwareBytes Anti-Malware
• Folge den Anweisungen der Anleitung
• Lösche alles in der Quarantäne:

http://saved.im/ndc5njj4d2lr/entfernen.png

• poste das entstandene Logfile

4.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

mfg

Hallo Silent Shark,

ganz herzlichen Dank, dass Du Dich meines Problems so umfassend, detailliert und verständlich beschrieben angenommen hast. :dankeschoen:

Ich habe nun meine Hausaufgaben gemacht und poste im folgenden die Logfiles. Vielen Dank schon mal fürs Anschauen. IceSword, Blacklight und Malwarebytes haben nach meinem Verständnis nichts Verdächtiges gefunden (aber das heißt nichts ;) ), das Combofix-logfile verstehe ich nicht. Ich würde micht daher freuen, wenn Du (oder auch andere Kompetenzler in diesem Forum) Dir die Logfiles anschauen könntest und mir auf der Jagd und beim Erlegen des Virus weiterhin helfen könntest. Dafür schon im Voraus vielen Dank!

DIE LOGFILES VON ICE SWORD, BLACKLIGHT UND MALWAREBYTES POSTE ICH ZUERST UND IN EINEM SEPARATEN POSTING DAS COMBOFIX LOGFILE, DA ZU LANG.

1) ICE SWORD LOGFILE
2) BLACKLIGHT LOGFILE
3) MALWAREBYTES LOGFILE

Nach den eben geposteten 3 logfiles (IceSword, Blacklight, Malwarebytes) hier noch das 4. Logfile (ComboFix). Merci!!

4) COMBOFIX LOGFILE
(nach Abarbeitung von CCCleaner)

Ende meines Beitrags

Hi,

die sicherste Variante ist in jedem Fall das neuaufsetzen und es wird dir wahrscheinlich letztenendes nichts anderes übrig bleiben.
Es wäre allerdings toll, wenn du noch 2-3 posts lang mitmachst, ich würde gerne etwas versuchen, um die malware zu entfernen.

Du solltest aber auf jedenfall sobald wie möglich all deine Passwörter von einem sauberen Rechner aus ändern, um den Verursachern deiner Infektion keine Möglichkeit zu geben, die geklauten Passwörter auszuntzen.

Weißt du zufällig wie du dir die Malware eingefangen hast? Bzw wann du die dir eignefangen hast?

Wenn du helfen möchtest, arbeite bitte folgendes ab:
ein FileListing mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille

Mein listing.txt als Link
 

Bonsoir myrtille,

hab vielen Dank dafür dass Du Dich meines Problems annimmst.
Ich habe die Datei listing.txt verlinkt unter:
http://www.file-upload.net/download-...sting.txt.html

Besten Dank schon mal fürs Ansehen!

Ich habe leider keine Ahnung, wie ich mir die malware eingefangen habe. Muss etwa in der ersten Novemberwoche gewesen sein.
Mein Avira ist immer aktiv und mit Verzögerung von max. 7 Tagen up to date. Ich öffne nie Mails von Absendern, die ich nicht kenne (habe auch seit langem keine erhalten) und lade auch selten was ausm Netz runter (zuletzt meine O2-Telefonrechnung und einige Hörproben-soundfiles bei Amazon). Ansonsten schaue ich regelmäßig bei gmx und Spiegel online rein... da poppen ja auch allerhand Fenster auf.
Hoffe, wir können die Malware auch ohne völliges Neuaufsetzen des Rechners beseitigen. Aber für den schlimmsten Fall hätte ich auch ein (wenn auch ein halbes Jahr altes System-backup auf meiner externen Festplatte).

LG,
hannah

listing.txt
 

Hallo myrtille,
vielen Dank auch für Deinen Hinweis mit den Passwörtern. Noch eine Frage: Sollte ich sicherheitshalber generell jetzt erst mal die Internet gar nicht mehr (oder nur noch so wenig wie unbedingt nötig) nutzen? D.h. muss ich befürchten, dass bei aktiver Internetverbindung alle Schleusen offen sind und ich mir noch mehr Schaden/Schädlinge einfange?
Danke schon mal und beste Grüße
Hannah

Hi,
ja bitte so weing wie möglich ins Internet gehen. (Allerdings brauchen die nächsten 2 schritte internet ;) )

versuch bitte mal folgendes:
.Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Kaspersky - Onlinescanner
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.
---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren
=> Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK
=> Link "Arbeitsplatz" anklicken => Scan beginnt automatisch
=> Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern
=> Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Mache bitte auch einen Scan mit Antivir und poste das Log hier.

Die Bereinigung ist eher ein Experiment. Es kann sein, dass sie klappt. Es kann sein dass sie nicht klappt.
Wenn du wirklich ganz sicher sein willst (und zb OnlineBanking betreibst) solltest du wahrscheinlich das Image noch einspielen.

Ich würd vorher nur gern sehen, ob der Befall nach den obigen Schritten wieder erscheint oder nicht.

lg myrtille

Hallo,

ich habe genau das gleiche Problem.


[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke. :)

[/edit]

Combofix.txt nicht überschreibbar?
 

Hallo Myrtille,

vielen Dank für die schnelle Antwort. Tagsüber war ich bei der Arbeit und konnte nicht weiter am Virenproblem arbeiten. Nun ist sowohl Feierabend als auch meine Kleine im Bett und ich kann mich wieder dem hartnäckigen Virus widmen.

Ich habe die cfscript.txt erstellt und mit der rechten Maustaste auf das ComboFix-Icon auf dem Desktop gezogen. Dabei hat sich das "Öffnen mit"-Element geöffnet und ich habe in dem sich dann öffnenden Warnfenster für combofix.exe auf Ausführen geklickt. Hoffe das war der richtige Weg, ComboFix auszuführen. Während Combofix ausgeführt wurde, hat Avira einige neue Virenfunde gemeldet, deren screenshots ich hier verlinke: Weiteres Problem: Die ComboFix.txt hat sich nicht - wie beim letzten Lauf am 15.11.08 - selbst geöffnet und ich habe nach dem Neustart unter C:\ nur die alte ComboFix.txt vom 15.11.08 gefunden, nicht die von eben. Beim Neustart sind auch wieder die bekannten Virenmeldungen aufgetaucht. Soll ich ComboFix nun nochmal ausführen?

Thanks, viele Grüße und nochmals Danke!!!


(Kaspersky habe ich einstweilen noch nicht laufen lassen.)

Hi,

deaktiviere bitte Avira während Combofix läuft. Ziehe die Textdatei dann mit der linken Maustaste auf Combofix.exe um sie auszuführen. (Mein Fehler)
lg myrtille

ComboFix logfile
 

Hallo Myrtille,

OK, jetzt hats geklappt.
Im Folgenden poste ich das neue ComboFix logfile (und mache mich dann gleich an die Scans mit Kaspersky und Avira -> diese poste ich sobald ich fertig bin).

Danke fürs Ansehen!

Kaspersky und Avira Logfiles
 

Hallo Myrtille,

endlich hat es geklappt, Kaspersky laufen zu lassen (hatte erst ziemliche Probleme mit dem Internet Explorer). Das Programm hat aber keine Malware gefunden.
Das Kaspersky logfile poste ich im Folgenden:
Beim Hochfahren heute früh (nachdem ich gestern ComboFix hatte laufen lassen), hatte ich übrigens keine Avira-Meldung mehr bezüglich des Trojaners. Allerdings ist sie vorhin beim Avira-Komplettscan wieder aufgetaucht (C:\Windows\system32\c_749856.nls Ist das Trojanische Pferd TR/Crypt.FKM.Gen). Ich konnte auch "Löschen" anklicken, was bisher nie gegangen war.

Daneben hatte ich beim Avira-Scan ziemlich viele Meldungen der Art "C:\System Volume Information\...\A0050513.exe Enthält Erkennungsmuster der Anwendung APPL/Nircmd.E.2.B" Einige davon waren im Ordner ComboFix, so dass ich vermute, dass es unbedenkliche Programmteile von ComboFix waren.

Mein Avira Logfile ist riesengroß (über 23 MB! Ist das normal? Oder soll ich lieber bestimmte Auszüge posten/verlinken?). Ich verlinke hier mal das gesamte Logfile:
File-Upload.net - AVSCAN-20081119-225050-2E7533A2_ed.LOG


Wäre nett, wenn Du drüberschauen könntest.
VIELEN VIELEN DANK schon mal.

Beste Grüße
Hannah

Hi,

ja die Datei wurde leider direkt wieder erstellt. Dein Rechner ist daher noch nicht sauber.

Versuch bitte mal Folgendes:

• Lade dir SDFix herunter und speichere es auf deinem Desktop.
• Starte SDFix.exe per Doppelklick, wähle installieren, um das Programm in seinen eigenen Ordner unter C:\ zu entpacken.
• Wechsle in den abgesicherten Modus
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Wenn dich das Skript dazu auffordert, drücke bitte eine Taste, um den Rechner neuzustarten.
• Wenn der Rechner hochgefahren ist, wird das Programm zuende laufen.
• Zum Schluss muss nochmal eine Taste gedrückt werden, um das Skript zu beenden und den explorer zu starten.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.

Eine bebilderte Anleitung für den abgesicherten Modus gibt es hier

Außerdem würde mich auch ein (Quick)Scan mit Malwarebytes interessieren und führe bitte auch folgende Datei aus und poste das erstellte Log: mbr.exe. :)

Könntest du wohl den Ordner C:\qoobox zippen und mit einem Passwort versehen und mir per Mail zuschicken?

lg myrtille

Logfiles: SDFix, Malwarebytes, mbr
 

Hallo,

Ok, habe alles ausgeführt: 1. SDFix, 2. MalwareBytes Quickscan
und 3. mbr.exe habe ich ausgeführt.
Beim Hochfahren (nach dem MalwareBytes Quickscan) bekam ich keine Virenmeldung mehr. Darf ich die leise Hoffnung hegen, dass der Virus weg ist? Oder muss ich damit rechnen, dass er noch irgendwo im Verborgenen schlummert und wiederaufersteht?

Im Folgenden poste ich die Logfiles:

1. SDFix - Report.txt
2. MalwareBytes QuickScan
3. mbr.exe

VIELEN VIELEN DANK schon mal fürs Anschauen :singsing:!!!
Beste Grüße