Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner Tr/Crypt.FKm.Gen Wie kann man den entfernen? (https://www.trojaner-board.de/64491-trojaner-tr-crypt-fkm-gen-man-entfernen.html)

lilly08 15.11.2008 22:06
Ohh.. seh gerad ich hab das gestern schon reingesetzt....irgendwie dachte ich das hätte gestern nicht funktioniert...! Mache dann jetzt das mit Gmer...

Silent sharK 15.11.2008 22:10
Lies dir bitte nochmal das durch:

http://www.trojaner-board.de/64491-t...tml#post392361

:)

lilly08 15.11.2008 22:36
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-15 22:30:31
Windows 5.1.2600 Service Pack 3


---- User code sections - GMER 1.0.14 ----

.text C:\windows\system32\winlogon.exe[572] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 017A0000
.text C:\windows\system32\winlogon.exe[572] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 01790000
.text C:\windows\system32\winlogon.exe[572] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 017B0000
.text C:\windows\system32\winlogon.exe[572] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 017D0000
.text C:\windows\system32\winlogon.exe[572] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 017E0000
.text C:\windows\system32\winlogon.exe[572] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 017F0000
.text C:\windows\system32\winlogon.exe[572] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 01930000
.text C:\windows\system32\winlogon.exe[572] WS2_32.dll!send 71A14C27 5 Bytes JMP 017C0000
.text C:\windows\system32\lsass.exe[628] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 00FE0000
.text C:\windows\system32\lsass.exe[628] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 00FD0000
.text C:\windows\system32\lsass.exe[628] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 00FF0000
.text C:\windows\system32\lsass.exe[628] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 010D0000
.text C:\windows\system32\lsass.exe[628] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 010E0000
.text C:\windows\system32\lsass.exe[628] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 010F0000
.text C:\windows\system32\lsass.exe[628] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 01230000
.text C:\windows\system32\lsass.exe[628] WS2_32.dll!send 71A14C27 5 Bytes JMP 010C0000
.text C:\windows\system32\svchost.exe[860] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 00FD0000
.text C:\windows\system32\svchost.exe[860] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 009B0000
.text C:\windows\system32\svchost.exe[860] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 00FE0000
.text C:\windows\system32\svchost.exe[860] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 01170000
.text C:\windows\system32\svchost.exe[860] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 01180000
.text C:\windows\system32\svchost.exe[860] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 01190000
.text C:\windows\system32\svchost.exe[860] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 012D0000
.text C:\windows\system32\svchost.exe[860] ws2_32.dll!send 71A14C27 5 Bytes JMP 00FF0000
.text C:\windows\system32\svchost.exe[924] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 00FF0000
.text C:\windows\system32\svchost.exe[924] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 00E50000
.text C:\windows\system32\svchost.exe[924] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 012C0000
.text C:\windows\system32\svchost.exe[924] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 012E0000
.text C:\windows\system32\svchost.exe[924] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 012F0000
.text C:\windows\system32\svchost.exe[924] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 01300000
.text C:\windows\system32\svchost.exe[924] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 01440000
.text C:\windows\system32\svchost.exe[924] ws2_32.dll!send 71A14C27 3 Bytes JMP 012D0000
.text C:\windows\system32\svchost.exe[924] ws2_32.dll!send + 4 71A14C2B 1 Byte [ 8F ]
.text C:\windows\System32\svchost.exe[996] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 02990000
.text C:\windows\System32\svchost.exe[996] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 01C40000
.text C:\windows\System32\svchost.exe[996] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 029A0000
.text C:\windows\System32\svchost.exe[996] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 3 Bytes JMP 02D40000
.text C:\windows\System32\svchost.exe[996] ADVAPI32.dll!CryptDeriveKey + 4 77DB9FE1 1 Byte [ 8A ]
.text C:\windows\System32\svchost.exe[996] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 03290000
.text C:\windows\System32\svchost.exe[996] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 032A0000
.text C:\windows\System32\svchost.exe[996] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 033E0000
.text C:\windows\System32\svchost.exe[996] ws2_32.dll!send 71A14C27 5 Bytes JMP 029B0000
.text C:\windows\System32\svchost.exe[1060] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 00E20000
.text C:\windows\System32\svchost.exe[1060] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 00E10000
.text C:\windows\System32\svchost.exe[1060] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 00E30000
.text C:\windows\System32\svchost.exe[1060] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 00E50000
.text C:\windows\System32\svchost.exe[1060] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 00E60000
.text C:\windows\System32\svchost.exe[1060] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 00E70000
.text C:\windows\System32\svchost.exe[1060] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 00FB0000
.text C:\windows\System32\svchost.exe[1060] ws2_32.dll!send 71A14C27 5 Bytes JMP 00E40000
.text C:\windows\system32\svchost.exe[1128] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 00FF0000
.text C:\windows\system32\svchost.exe[1128] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 00D30000
.text C:\windows\system32\svchost.exe[1128] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 011D0000
.text C:\windows\system32\svchost.exe[1128] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 011F0000
.text C:\windows\system32\svchost.exe[1128] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 01200000
.text C:\windows\system32\svchost.exe[1128] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 01210000
.text C:\windows\system32\svchost.exe[1128] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 01350000
.text C:\windows\system32\svchost.exe[1128] ws2_32.dll!send 71A14C27 5 Bytes JMP 011E0000
.text C:\windows\system32\spoolsv.exe[1320] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 01020000
.text C:\windows\system32\spoolsv.exe[1320] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 01010000
.text C:\windows\system32\spoolsv.exe[1320] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 01030000
.text C:\windows\system32\spoolsv.exe[1320] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 01050000
.text C:\windows\system32\spoolsv.exe[1320] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 01060000
.text C:\windows\system32\spoolsv.exe[1320] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 01070000
.text C:\windows\system32\spoolsv.exe[1320] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 011B0000
.text C:\windows\system32\spoolsv.exe[1320] ws2_32.dll!send 71A14C27 5 Bytes JMP 01040000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 01680000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 01670000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 01690000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 01810000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 016B0000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 016C0000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 016D0000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] WS2_32.dll!send 71A14C27 5 Bytes JMP 016A0000
.text C:\windows\System32\svchost.exe[1576] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 012A0000
.text C:\windows\System32\svchost.exe[1576] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 00E80000
.text C:\windows\System32\svchost.exe[1576] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 012B0000
.text C:\windows\System32\svchost.exe[1576] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 012D0000
.text C:\windows\System32\svchost.exe[1576] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 012E0000
.text C:\windows\System32\svchost.exe[1576] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 012F0000
.text C:\windows\System32\svchost.exe[1576] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 01430000
.text C:\windows\System32\svchost.exe[1576] ws2_32.dll!send 71A14C27 5 Bytes JMP 012C0000

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Udfs \UdfsCdRom BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Udfs \UdfsDisk BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Cdfs \Cdfs BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)

---- EOF - GMER 1.0.14 ----

Danke das du mir immer noch hilfst!

Silent sharK 15.11.2008 22:40
Schlecht das Gmer nichts findet.
Mach nun bitte die Überprüfung von den nls-Dateien weiter. ;)

lilly08 15.11.2008 22:56
Also C_774380.nls habe ich nicht gefunden :-(
C_20261 ist 136kb groß. Die meißten sind so 64-65kb groß und 3 sind 192kb groß, eine 108kb, eine 354kb und eine 159kb. Hoffe das hilft!

Silent sharK 15.11.2008 23:01
Silentbanker hat genau 133.120 bytes.

Komisch, dass du die eine nicht findest.
Versuch es mal so:

Dateipfad finden:
  1. Klicke auf Start => Ausführen
  2. Kopiere das unten stehende Skript hinein
  3. Drücke Enter
Code:
cmd /c dir /s /a "c:\*c_774380*.*" > c:\find.txt & notepad c:\find.txt
Der Editor wird sich mit der Datei c:\find.txt öffnen. Bitte poste den Inhalt hier in den Thread.

lilly08 15.11.2008 23:04
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 149C-455F

Silent sharK 15.11.2008 23:06
Hm, das gibts doch nicht. :headbang:

Hast du die Datei denn noch in der Quarantäne von Avira?
Wenn ja, erstell einen Ordner auf den Desktop namens "infected".
Stell den Avira Guard ab und tu die besagte Datei in den Ordner "infected" wiederherstellen.

Prüf die Größe der Datei.

lilly08 15.11.2008 23:10
Die Größe beträgt 121kb

Silent sharK 15.11.2008 23:13
Kannst du die Datei bitte in ein Passwortgeschütztes ZIP-Archiv packen (PW: infected) und an meine Emailaddresse silent_shark@gmx.de senden?

lilly08 15.11.2008 23:14
Wie packe ich die denn in so ein Passwortgeschütztes ZIP Archiv?

Silent sharK 15.11.2008 23:22
Hast du WinRAR installiert?
Wenn ja, dann gehe so vor:

Rechtsklick auf die Datei => "Zum Archiv hinzufügen" (Es erscheint jetzt ein Fenster) => Gehe auf "Erweitert" => "Passwort festlegen" => (Passwort eingeben, 2x => Ok) => Ok

Btw. findest du folgende Datei?
vwpzwidxu.exe

lilly08 15.11.2008 23:30
Hab dir die Zip Datei geschickt... Die andere Datei gibts laut meinem Suchergebnis nicht!

Silent sharK 15.11.2008 23:37
Ok, das ist die infizierte Datei. In dem Fall hat Avira mal saubere Arbeit geleistet.

Da du die Datei in system32 nicht mehr findest, kommt die Fundmeldung trotzdem noch?

Lass mal MBAM laufen..

MalwareBytes Anti-Malware:

  • Lade dir MalwareBytes Anti-Malware
  • Folge den Anweisungen der Anleitung
  • Lösche alles in der Quarantäne:
http://saved.im/ndc5njj4d2lr/entfernen.png
  • poste das entstandene Logfile

lilly08 16.11.2008 00:56
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1401
Windows 5.1.2600 Service Pack 3

16.11.2008 00:55:02
mbam-log-2008-11-16 (00-55-02).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 95441
Laufzeit: 1 hour(s), 2 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{28956e88-b482-4aa8-b6e2-d707d190a7ab}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91 85.255.112.238 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{28956e88-b482-4aa8-b6e2-d707d190a7ab}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91 85.255.112.238 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:44 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19