GELÖST Erbitte Hilfe beim Fixing Trojaner TR/Crypt.FKM.Gen

Diskutiere Erbitte Hilfe beim Fixing Trojaner TR/Crypt.FKM.Gen im Security / Firewall / Virenabwehr Forum im Bereich Software Forum; Hallo zusammen, eigentlich meinte ich hier bereits die Lösung meines Problems gefunden zu haben...
Z

ZeppelinII

Threadstarter
Mitglied seit
09.08.2008
Beiträge
30
Hallo zusammen,
eigentlich meinte ich hier bereits die Lösung meines Problems gefunden zu haben: http://www.winboard.org/forum/security-firewall-virenabwehr/71530-geloest-brauche-ganz-dringend-hilfe-hab-trojaner-tr-crypt-fkm-gen.html
und bin genau so vorgegangen, wie dort beschrieben.
Leider ohne Erfolg. Den alten Thread wollte ich aber nicht wiederbeleben, sondern mache hier lieber einen eigenen auf.

Also AntiVir (täglich aktuell) meldet mir bei jedem Systemstart und danach immer mal wieder siehe Bilddatei im Anhang: Die Datei 15265623591.cpx ist der Trojaner TR/Crypt.FKM.Gen.
Keine der Optionen von AntiVir führt zu einer Abhilfe.

Danach habe ich einen Scan mit HJT 2.0.2 gemacht und wollte das log-file unter www.hijackthis.de auswerten lassen. Genau wie in der Anleitung
Sowohl den Text direkt in die Eingabebox von www.hijackthis.de kopiert, als auch das log-file direkt als Datei von meinem PC hochgeladen.
Ergebnis: siehe angehängte Graphik - also keines.

Was mich zusätzlich wundert ist, dass die Webseite (siehe Screenshot) im unteren Abschnitt meldet, auf meinem PC liefe kein Virenscanner und auch keine Firewall.
Firewall ist insofern richtig, als ich die WINXP-Firewall deaktiviert habe, aber die Hardware-FW meines DSL-Routers nutze (Siemens Gigaset se105).

Ebenfalls bringt mich der Button "Send Log to TrendMicro" nicht weiter.

Ich habe leider keine Ahnung, welche Einträge des Log-Files ich fixen sollte, um das Problem mit dem Trojaner zu lösen, mir aber keine Funktionen meiner relativ komplexen Systemkonfiguration zu zerstören.

Es ist mir leider nicht möglich, mein System völlig neu aufzusetzen. (XPpro SP3 auf älterem Pentium-PC mit 1,24 GHz mit zahlreichen externen Peripheriegeräten im LAN)

Wenn mir jemand helfen könnte, wäre ich sehr dankbar.

Grüße,
André
 

Anhänge

Duke

Duke

Mitglied seit
26.07.2007
Beiträge
9.671
Standort
Niedersachsen
Hallihallo und :welcome:huhu

In deinem HiJackthis-LogFile steht ganz unten diese Zeile:

"O23 - Service: Network Security Service (�%AF夶À¨) - Unknown owner - C:\WINNT\system32\ipfc.exe (file missing)"

Nimm die mal raus aus dem LogFile. Dann klappt auch die Auswertung. Irgendwie kann der wohl mit den Zeichen dort nichts anfangen.

Das mit der "nicht laufenden Firewall" ist normal, da du ja keine Software-Firewall am laufen hast wie du schreibst. HiJackThis kann aber halt nur Software prüfen.

Gruß Duke7064
 
Z

ZeppelinII

Threadstarter
Mitglied seit
09.08.2008
Beiträge
30
Danke

... für die Begrüßung und vor allem für den prompten Hinweis.
Gar so neu bin ich hier übrigens nicht, war aber bislang nur passiver Teilnehmer.

Die Zeile kam mir auch sehr merkwürdig vor. Aber da alle Hinweise sagen, man solle zunächst mal nichts ändern, habe ich den kompletten Output hochgeladen.

Nun habe ich vorerst die Zeile aus dem Log-file gelöscht und poste das Ganze noch mal auf die Auswertungsseite.

In HJT habe ich den entsprechenden Eintrag aber noch nicht gefixed.

Aber vllt. hat Deine Hilfe ja schon zur Lösung des Probs geführt. Ich versuche es gleich noch einmal.

Also nochmals :danke

edit: Bingo! Nun habe ich schon mal ein vorläufiges Ergebnis, mit dem ich sinnvoll weiter machen kann
 
Zuletzt bearbeitet:
Duke

Duke

Mitglied seit
26.07.2007
Beiträge
9.671
Standort
Niedersachsen
Gern geschehen.

Ich hab da noch nen allgemeinen Hinweis:
Du hast geschrieben das du nicht neu aufsetzen kannst oder willst. AntiVirus-Programme sollen den Rechner vor Viren im Vorfeld schützen. Wenn sie erstmal drauf sind (was immer mal passieren kann) ist das System nicht mehr wirklich "vertrauenswürdig". Sicherlich kann man den Trojaner oder was auch immer entfernen, bzw. das System insofern wieder hinkriegen das nichts mehr gefunden wird, aber wirklich sicher sein, das nichts "Schädliches" mehr vorhanden ist, kann man, meiner Meinung nach, nicht wirklich.
Die einzige sichere Variante ist eine Datenrettung und die Neuinstallation. Muß jeder natürlich für sich selbst entscheiden, ist nur ein gut gemeinter Hinweis.

Zu HiJackThis: Die Zeile, die du aus dem LogFile entfernt hast, darfst du aber nicht vergessen. Dort ist eine IPFC.exe angegeben. Da steht zwar "file missing", aber ich würde mich trotzdem mal schlau machen was das ist und obs ungefährlich ist.

Gruß Duke7064
 
D

Digit

Mitglied seit
04.03.2007
Beiträge
1.747
Schicke die gefundene Datei mit Verdacht auf Fehalarm zu Avira.

http://analysis.avira.com/samples/index.php

oder an virus_malware at avira.com at=@ in einer .zip Datei mit Passwort und dein Problem dazuschreiben

Antwort kommt evtl. morgen

.cpx gehört zu CorelDraw - muss aber kein Fehlalarm sein !


ansonsten

http://www.winboard.org/forum/security-firewall-virenabwehr/71530-geloest-brauche-ganz-dringend-hilfe-hab-trojaner-tr-crypt-fkm-gen.html#post556487


edit: diese Adresse am besten auswählen: heuristik2 at avira.com at=@

und falls du die Datei in Quarantäne hast gehe so vor:

http://forum.avira.com/wbb/index.php?page=Thread&postID=143897#post143897
 
Zuletzt bearbeitet:
Z

ZeppelinII

Threadstarter
Mitglied seit
09.08.2008
Beiträge
30
anscheinend gelöst

Mit dem bereinigten HJT-Log bekam ich einige Hinweise auf wahrscheinlich schädliche Einträge.
Die habe ich dann gefixed, PC heruntergefahren und wieder neu gestartet.
Beim ersten Versuch kam immer noch die Antivirmeldung. :wacko
Dann habe ich noch während diverse Prozesse starteten gnadenlos den Netzstecker gezogen.

Nach einem erneuten Hochfahren blieb AntiVir dann still.
Dann habe ich Spybot S&D laufen lassen, was gut drei Stunden brauchte (bei dauernd 100% CPU-Auslastung) - Gefunden wurde bei dem Scan allerdings nichts.

Die bewussten cpx-files aus dem System32-Ordner habe ich dann wie geraten auch noch an AVIRA zur Überprüfung gepostet und sie anschließend manuell umbenannt.
Da CorelDraw auf meinem PC nicht installiert ist, dürfte dies nichts schaden. Aber man weiß ja nicht, inwieweit z.B. die Software von Digitalkamera, Scanner, WebCam oder sonstige intransparente Programme eventuell Bestandteile von Corel benutzen.

Die Hinweise im Trojaner-Board hatte ich auch schon gefunden. Aber da dort immer wieder andere Tools empfohlen werden, die man sich installieren sollte, habe ich davon Abstand genommen, mich danach zu richten. - Zumal das den dortigen Anfragen ja meistens auch nicht geholfen hat.

Jedenfalls nochmals vielen Dank allen Helfern.

Grüße,
André
 
D

Digit

Mitglied seit
04.03.2007
Beiträge
1.747
Die bewussten cpx-files aus dem System32-Ordner habe ich dann wie geraten auch noch an AVIRA zur Überprüfung gepostet und sie anschließend manuell umbenannt.
Grüße,
André
In Quarantäne verschieben reicht vorerst aus.
Laß uns wissen was Avira antwortet.

Wenn es eine Infektion ist, reicht Quarantäne/Löschen oder umbenennen in der Regel nicht aus, man weiß nie was alles im System verändert wurde

Kurze Erklärung .Gen = generische Erkennung

Klick



edit: Hast du Spybot S&D in neuester Version (1.6.0) ? Die geht nämlich recht schnell, vorausgesetzt der Virenwächter ist beim Scan abgeschaltet
 
Zuletzt bearbeitet:
Z

ZeppelinII

Threadstarter
Mitglied seit
09.08.2008
Beiträge
30
In Quarantäne verschieben reicht vorerst aus.
Laß uns wissen was Avira antwortet.
Selbstverständlich gebe ich das Ergebnis hier bekannt, wenn ich eines bekomme.
Aber zur Zeit lautet der Status noch:
Das Virenlabor Team ist momentan mit der Analyse beschäftigt
Da AntiVir die Dateien nicht in Quarantäne verfrachtet, habe ich die Dateiendungen vorerst von *.cpx in *.cp_x geändert. Das mag womöglich nur placebo sein, aber vorerst scheint erst mal Ruhe auf meinem System zu herrschen.

Schweren Herzens habe ich dann auch noch Spybot S&D nach akualisierung auf den neuesten Stand den Auftrag erteilt, ein ständiges Auge auf jeden Prozess zu werfen. Das klaut mir natürlich Ressourcen, die ich eigentlich für Dynamips bräuchte.
 
Z

ZeppelinII

Threadstarter
Mitglied seit
09.08.2008
Beiträge
30
Feedback von Avira

Nur zur Info:
Ich hatte ja die Datei "15265623591.cpx", welche AntiVir mir als Ursache des Übels gemeldet hatte, sowie einige weitere mit nahezu gleichen Namen an Avira zur Analyse gepostet.

Gestern erhielt ich nur die erstaunliche Antwort aus dem Avira Labor:
Code:
Wir haben folgende Archivdateien empfangen:



Datei ID  Dateiname Größe (Byte) Ergebnis 
25109077  152xxx9xx_cpx.zip 40.7 KB OK 

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:

Datei ID  Dateiname Größe (Byte) Ergebnis 
25109078  152656235921.CPX  343 Byte  CLEAN 
25109079  152656235931.CPX  18.53 KB  CLEAN 
25109080  152656235951.CPX  21.06 KB  CLEAN 
25109081  152656235977.CPX  1.37 KB  CLEAN 
25109082  152656235912.CPX  285 Byte  CLEAN 


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

 Dateiname Ergebnis 
 152656235921.CPX  CLEAN 

Die Datei '152656235921.CPX' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden. 

 Dateiname Ergebnis 
 152656235931.CPX  CLEAN 

Die Datei '152656235931.CPX' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden. 

 Dateiname Ergebnis 
 152656235951.CPX  CLEAN 

Die Datei '152656235951.CPX' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden. 

 Dateiname Ergebnis 
 152656235977.CPX  CLEAN 

Die Datei '152656235977.CPX' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden. 

 Dateiname Ergebnis 
 152656235912.CPX  CLEAN 

Die Datei '152656235912.CPX' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.
Da wundere ich mich natürlich, warum AntiVir permanent Alarm geschlagen hat.
Entweder spinnt das Programm oder das Avira-Analyselabor hat etwas übersehen.
 
D

Digit

Mitglied seit
04.03.2007
Beiträge
1.747
Vieleicht gab es ein Update und Antivir erkennt sie nicht mehr, oder meldet Antivir jetzt immer noch genau bei dieser Datei das Tr.Pferd ?

Sind alle Updates auch Engine-Update gemacht ?

AV8 8.1.01.19 ist die letzte Version.

Du kannst mit Angabe deiner E-Mailadresse auch die Dateien mal an

newvirus at kaspersky.com at=@ schicken, die Antworten recht fix.

Aber mir ist das schleierhaft, wenn dein Antivir auf neuestem Stand ist und haargenau bei der Datei die Meldung abgibt und der Support nicht - habe ich noch nie erlebt.

Auch diese Adresse: heuristik2 at avira.com at=@ speziell bei generischen Funden

per E-Mail mit Passwort zB infected
 
Z

ZeppelinII

Threadstarter
Mitglied seit
09.08.2008
Beiträge
30
AV8 8.1.01.19 ist die letzte Version.
...
Aber mir ist das schleierhaft, wenn dein Antivir auf neuestem Stand ist und haargenau bei der Datei die Meldung abgibt und der Support nicht - habe ich noch nie erlebt.
Diese Version habe ich und die wird auch täglich aktualisiert.
Seit dem Fixing am Samstag habe ich aber auch Ruhe.
 
D

Digit

Mitglied seit
04.03.2007
Beiträge
1.747
Diese Version habe ich und die wird auch täglich aktualisiert.
Seit dem Fixing am Samstag habe ich aber auch Ruhe.

ok dann ist js gut aber warum diese Datei trotzdem anschlägt und eigentlich clean sein soll ?

Deswegen interessehalber, falls du dir die Mühe machen möchtest, versuch mal sie an die 2 weiteren Adressen zu senden.
 
Thema:

Erbitte Hilfe beim Fixing Trojaner TR/Crypt.FKM.Gen

Sucheingaben

Crypt.FKM.Gen

Erbitte Hilfe beim Fixing Trojaner TR/Crypt.FKM.Gen - Ähnliche Themen

  • Sound funktioniert nicht mehr - Hilfe!

    Sound funktioniert nicht mehr - Hilfe!: Gestern Abend ist mir mein Handy auf die rechte Seite der Laptop-Tastatur gefallen und gleich danach startete er sich plötzlich selber neu. Als...
  • Viren- und Spayware lässt sich nicht aktualisieren - Ox80004004 - erbitte Hinweise - Danke

    Viren- und Spayware lässt sich nicht aktualisieren - Ox80004004 - erbitte Hinweise - Danke: Hallo, ich kann Windows Defender nicht aktualisieren. Es wird der Fehler Code 0x80004004 angegeben. Was muss ich tun, um meinen PC sicher zu...
  • Erbitte Hilfe beim Router setup

    Erbitte Hilfe beim Router setup: Ich habe mir einen Router gekauft, weil ich den brauche, um meinen neuen Linuxbasierten SAT-Receiver (Dreambox) mit dem Internet zu verbinden. So...
  • Kann man user-Einstellungen kopieren? Erbitte dringend Hilfe. Danke

    Kann man user-Einstellungen kopieren? Erbitte dringend Hilfe. Danke: Hatte eine email, dessen Absender mir nichts sagte (sowas öffne ich nicht sondern lösche sofort). Dadurch, dass das touchpad aber Befehle...
  • Erbitte eure Kaufempfehlungen

    Erbitte eure Kaufempfehlungen: Hallöchen liebe WinBoard'ler, ich plane zum nächsten Monat oder spätestens zum April hin die Anschaffung eines Notebooks - primär fürs Studium...
  • Ähnliche Themen

    Oben