Avira AntiVir Trojanermeldung TR/Crypt.FKM.Gen

#0
09.11.2008, 18:10
...neu hier

Beiträge: 2
#1 Tach auch,

Ich bin neu im Forum. Vielleicht habt ihr, wenn ich das sage, ein wenig NAchsicht, falls ich manches falsch mache :;).

Beim Hochfahren des PC's (WinXP SP3) erscheint eine Warnungm, dass die Datei c_610106.nls den Virus "TR/Crypt.FKM.Gen" enthält.


Hier ist die Logfile von Hijack. Vielleicht sagt es dem ein oder anderen etwas.

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:02:56, on 09.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
c:\Programme\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5473 bytes
Danke schonmal im voraus,
der problem_fall
Seitenanfang Seitenende
10.11.2008, 14:51
Moderator

Beiträge: 5694
#2 >>
Lösche die temp Dateien mit Cleaner
http://www.CCleaner.de/

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei monate:
http://www.virus-protect.org/datfindbat.html


Gruss Swiss
Seitenanfang Seitenende
10.11.2008, 21:02
...neu hier

Themenstarter

Beiträge: 2
#3 Erstmal n dickes Dankeschön für die schnelle Antwort.

Zitat

Tonstudio postete
>>
Lösche die temp Dateien mit Cleaner
http://www.[url="http://www.CCleaner.de"]CCleaner[/url].de/
Erledigt ! (super Tool, TuneUp Utilities findet nur einen Bruchteil *_*)

Zitat

Tonstudio postete
>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html
Hab das Update ausgeführt und lass es gerade durchlaufen. Ein infiziertes Objekt wurde gefunden.

Code

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1380
Windows 5.1.2600 Service Pack 3

10.11.2008 20:54:52
mbam-log-2008-11-10 (20-54-48).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 157797
Laufzeit: 1 hour(s), 3 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat

Tonstudio postete
>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei monate:
http://www.virus-protect.org/datfindbat.html
Gruss Swiss

Code

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CE5-55BE

Verzeichnis von c:\

10.11.2008  20:59                 0 dirdat.txt
10.11.2008  19:30       937.603.072 hiberfil.sys
10.11.2008  19:30     1.409.286.144 pagefile.sys
10.11.2008  17:23               525 hpfr3420.xml
10.11.2008  17:23           291.740 hpfr3420.log
09.11.2008  16:27               886 avenger.txt
09.11.2008  16:18             1.450 rapport.txt
09.11.2008  15:14               211 boot.ini
19.09.2008  16:37           251.712 ntldr
              21 Datei(en)  2.347.489.660 Bytes
               0 Verzeichnis(se), 84.351.676.416 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CE5-55BE

Verzeichnis von C:\WINDOWS\system32

10.11.2008  19:31             1.158 wpa.dbl
09.11.2008  16:26                89 c_610117.nls
09.11.2008  16:12                 0 tmp.txt
09.11.2008  16:12             1.988 tmp.reg
26.10.2008  14:22           410.908 perfh009.dat
26.10.2008  14:22            65.378 perfc009.dat
26.10.2008  14:22           427.204 perfh007.dat
26.10.2008  14:22            79.192 perfc007.dat
26.10.2008  14:22           994.020 PerfStringBackup.INI
16.10.2008  20:59           234.368 FNTCACHE.DAT
15.10.2008  17:35           337.408 netapi32.dll
07.10.2008  20:19        16.721.856 MRT.exe
03.10.2008  17:58         6.066.176 ieframe.dll
19.09.2008  16:58                90 spupdwxp.log
15.09.2008  16:24         1.846.528 win32k.sys
27.08.2008  09:57         3.593.216 mshtml.dll
26.08.2008  08:57           826.368 wininet.dll
26.08.2008  08:57         1.159.680 urlmon.dll
26.08.2008  08:57           233.472 webcheck.dll
26.08.2008  08:57           477.696 mshtmled.dll
26.08.2008  08:57            44.544 pngfilt.dll
26.08.2008  08:57           102.912 occache.dll
26.08.2008  08:57           105.984 url.dll
26.08.2008  08:57           671.232 mstime.dll
26.08.2008  08:57           193.024 msrating.dll
26.08.2008  08:57            52.224 msfeedsbs.dll
26.08.2008  08:57           459.264 msfeeds.dll
26.08.2008  08:57            44.544 iernonce.dll
26.08.2008  08:57            27.648 jsproxy.dll
26.08.2008  08:57           267.776 iertutil.dll
26.08.2008  08:57         1.831.424 inetcpl.cpl
26.08.2008  08:57           133.120 extmgr.dll
26.08.2008  08:57           153.088 ieakeng.dll
26.08.2008  08:57           214.528 dxtrans.dll
26.08.2008  08:57            63.488 icardie.dll
26.08.2008  08:57           383.488 ieapfltr.dll
26.08.2008  08:57           347.136 dxtmsft.dll
26.08.2008  08:57           384.512 iedkcs32.dll
26.08.2008  08:57           230.400 ieaksie.dll
26.08.2008  08:57           124.928 advpack.dll
25.08.2008  09:38            13.824 ieudinit.exe
25.08.2008  09:37            70.656 ie4uinit.exe
23.08.2008  06:54           161.792 ieakui.dll
14.08.2008  14:19         2.026.496 ntkrnlpa.exe
14.08.2008  14:19         2.147.840 ntoskrnl.exe
12.08.2008  23:20           609.048 TZLog.log
18.07.2008  21:10            94.920 cdm.dll
18.07.2008  21:10            53.448 wuauclt.exe
18.07.2008  21:10            45.768 wups2.dll
18.07.2008  21:10            36.552 wups.dll
18.07.2008  21:10            33.992 wucltui.dll.mui
18.07.2008  21:09            29.896 wuaucpl.cpl.mui
18.07.2008  21:09            29.896 wuapi.dll.mui
18.07.2008  21:09           325.832 wucltui.dll
18.07.2008  21:09           215.752 wuaucpl.cpl
18.07.2008  21:09           205.000 wuweb.dll
18.07.2008  21:09           563.912 wuapi.dll
18.07.2008  21:09         1.811.656 wuaueng.dll
18.07.2008  21:08            21.192 wuaueng.dll.mui
07.07.2008  21:26           253.952 es.dll
24.06.2008  17:42            74.240 mscms.dll
24.06.2008  17:12           295.936 wmpeffects.dll
20.06.2008  18:46           247.296 mswsock.dll
20.06.2008  18:46           147.968 dnsapi.dll
27.05.2008  09:50            90.112 QuickTimeVR.qtx
27.05.2008  09:50            57.344 QuickTime.qts
10.05.2008  00:24           135.168 wshom.ocx
09.05.2008  11:54           180.224 scrobj.dll
09.05.2008  11:54            90.112 wshext.dll
09.05.2008  11:54           430.080 vbscript.dll
09.05.2008  11:54           172.032 scrrun.dll
09.05.2008  11:54           512.000 jscript.dll
08.05.2008  12:24           155.648 wscript.exe
07.05.2008  10:07           135.168 cscript.exe
07.05.2008  06:10         1.293.824 quartz.dll
            2120 Datei(en)    444.108.516 Bytes
               0 Verzeichnis(se), 84.351.549.440 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CE5-55BE

Verzeichnis von C:\WINDOWS

10.11.2008  19:48         1.684.849 WindowsUpdate.log
10.11.2008  19:30             4.076 ModemLog_Motorola SM56 Data Fax Modem.txt
10.11.2008  19:30               159 wiadebug.log
10.11.2008  19:30                50 wiaservc.log
10.11.2008  19:30             2.048 bootstat.dat
10.11.2008  19:29            32.548 SchedLgU.Txt
09.11.2008  15:14               658 win.ini
09.11.2008  15:14               227 system.ini
31.10.2008  09:39               116 NeroDigital.ini
23.10.2008  20:12               130 EurekaLog.ini
03.10.2008  17:25             1.659 hpdj6122.ini
03.10.2008  17:25             6.761 hpdj6122.his
14.04.2008  03:23           288.768 winhlp32.exe
14.04.2008  03:23            32.866 slrundll.exe
14.04.2008  03:22           153.600 regedit.exe
14.04.2008  03:22            70.144 notepad.exe
14.04.2008  03:22            10.752 hh.exe
14.04.2008  03:22         1.036.800 explorer.exe
14.04.2008  03:22            50.688 twain_32.dll

              94 Datei(en)     48.176.004 Bytes
               0 Verzeichnis(se), 84.351.569.920 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CE5-55BE

Verzeichnis von C:\DOKUME~1\Josef\LOKALE~1\Temp

10.11.2008  20:56                 0 etilqs_Pi55InZdYlYqQKviI5re
10.11.2008  19:51           311.296 ~DF4AB0.tmp
10.11.2008  19:32            16.384 Perflib_Perfdata_b98.dat
10.11.2008  19:32            16.384 Perflib_Perfdata_b88.dat
10.11.2008  19:31            16.384 Perflib_Perfdata_798.dat
09.11.2008  23:48            34.506 WcesView.log
09.11.2008  23:47               866 TWAIN.LOG
09.11.2008  23:39                 3 Twain001.Mtx
09.11.2008  23:39               156 Twunk001.MTX
09.11.2008  23:29                 0 Twunk002.MTX
09.11.2008  15:36               258 ~78.tmp
              11 Datei(en)        396.237 Bytes
               0 Verzeichnis(se), 84.351.565.824 Bytes frei
Seitenanfang Seitenende
11.11.2008, 00:03
Moderator

Beiträge: 5694
#4 Scanne mit Dr.Web und poste das Log:
http://virus-protect.org/cureit.html

Gruss Swiss
Seitenanfang Seitenende