Meldung AntiVir - Trojaner TR/Crypt.FKM.Gen

10.08.2008, 16:38

Hallo zusammen,

das AntiVir eines Freundes meldet seit gestern einen Virus Fund bzw. hat er sich anscheinend einen Trojaner eingefangen der sich TR/Crypt.FKM.Gen nennt.

Beim Versuch diesen Trojaner zu löschen ist kein Erfolg ersichtlich, beim nächsten Scan mit Avira AntiVir taucht er wieder auf.

1.) Hat schon jemand Erfahrung mit diesem Trojaner gemacht?

2.) Weiss jemand wie man ihn wieder dauerhaft und vollständig entfernt?

3.) Anbei noch das LogFile..............

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:16:08, on 10.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Avira AntiVir\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
E:\Avira AntiVir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
E:\HP Scanjet 2300c\HP Share-to-Web\hpgs2wnd.exe
E:\Adobe Acrobat\Distillr\Acrotray.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
E:\ITunes\iTunesHelper.exe
E:\HP Scanjet 2300c\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Avira AntiVir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
E:\Eumex Telefonanlage\Capictrl.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Teledat\SYSTEM\RVSINST.EXE
C:\WINDOWS\system32\svchost.exe
E:\Perfect Disc\PDSched.exe
E:\Teledat\SYSTEM\RVSCC.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\MS Office\Office12\EXCEL.EXE
E:\WinRar\WinRAR.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX00.000\Hijac kThis.exe
E:\T-Online 6.0\T-Online_Software_6\eMail\Mail.exe
E:\T-ONLI~1.0\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
E:\T-ONLI~1.0\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
E:\T-ONLI~1.0\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
E:\T-ONLI~1.0\T-ONLI~1\Notifier\Notifier.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = logismarketcdrom;*.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [UIUCU] C:\DOKUME~1\Admin\LOKALE~1\Temp\UIUCU.EXE -CLEAN_UP -S
O4 - HKLM\..\Run: [avgnt] "E:\Avira AntiVir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [routcnf] E:\Eumex Telefonanlage\routcnf.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] E:\HP Scanjet 2300c\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [zzzHPSETUP] F:\Setup.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "E:\Adobe Acrobat\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\ITunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Dokumente und Einstellungen\Admin\Desktop\498115F.exe" -scan
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://E:\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\MSOFFI~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MSOFFI~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Avira AntiVir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Avira AntiVir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NBService - Nero AG - E:\Nero 7.8.5.0\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - E:\Perfect Disc\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - E:\Perfect Disc\PDSched.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - E:\Teledat\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - E:\Teledat\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - E:\Teledat\SYSTEM\RVSINST.EXE
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Admin/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg

--
End of file - 9657 bytes

10.08.2008, 18:01

Hallöchen,

also ich würde den Rechner mal im abgesicheren Modus starten und dann Antivir durchlaufen lassen. Wichtig ist auch vor der Bereinigung die systemwiederherstellung zu deaktivieren und erst wieder zu aktivieren, wenn der Rechner wieder sauber ist.

Im Logfile fallen mir folgende Einträge auf:

Code:

O4 - HKLM\..\Run: [UIUCU] C:\DOKUME~1\Admin\LOKALE~1\Temp\UIUCU.EXE -CLEAN_UP -S
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Dokumente und Einstellungen\Admin\Desktop\498115F.exe" -scan
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Admin/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg

Kontrollieren und ggf. fixen ( beheben )...

10.08.2008, 18:06

Hallo,

@Dirk: Alles klar, werd ich versuchen zu machen. Genauere Infos über den Trojaner ist nicht bekannt?

10.08.2008, 18:12

Hallöchen,

Avira hält sich da mit Informationen zum Trojaner TR/Crypt.FKM.Gen etwas zurück:

https://www.avira.com/de/threats/sect...t.fkm.gen.html

10.08.2008, 18:35

Ok, da kann man nicht recht viel raus lesen. Hat vielleicht jemand das gleiche Problem mit diesem Trojaner?

Bin für jeden Rat und Tipp dankbar.....

10.08.2008, 21:59

Moin,

Hat vielleicht jemand das gleiche Problem mit diesem Trojaner?

wenn du mit dem Namen googelst findest du mehrfache Einträge.
Aber wichtig ist doch, dass du ihn unschädlich machen kannst. deshalb > Dirks Ratschlag.

Meldung AntiVir - Trojaner TR/Crypt.FKM.Gen

Meldung AntiVir - Trojaner TR/Crypt.FKM.Gen

Re: Meldung AntiVir - Trojaner TR/Crypt.FKM.Gen

Re: Meldung AntiVir - Trojaner TR/Crypt.FKM.Gen

Re: Meldung AntiVir - Trojaner TR/Crypt.FKM.Gen

Re: Meldung AntiVir - Trojaner TR/Crypt.FKM.Gen

Re: Meldung AntiVir - Trojaner TR/Crypt.FKM.Gen

Ähnliche Themen

TR/Crypt.XPACK.GEN - Trojaner auf meinem Rechner

Trojaner TR/Crypt.ULPM.Gen bitte Hilfe

Viren-meldung beim surfen - antivir - nun alle weg??

komische meldung u trojaner dumaru

stündlich bekomme ich Trojaner Meldung!