kryptik.E Trojaner

  • geschlossen

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • kryptik.E Trojaner

    Folgendes Problem:
    beim Sufen (harmlose Seite - Krankenhausseite) meldt NOD32 plötzlich
    Bedrohung endtdeckt "eine Variante des Win32/Kryptik.E".
    Aktion: Geblockt.
    Alles gut, nein ich glaube nicht.
    Bei dem Rechner handelt es sich um das Notebook meiner Tochter, deshalb kann ich auch nicht nachvollziehen ob folgende Sachen schon vorher waren:
    1.) Nach dem Starten ist die Firewall ausgeschaltet.
    Ich schalte Firewall wieder ein und starte neu. Firewall ist nach dem Starten wieder aus ....geht immer weiter so.
    2. Nach dem Starten meldet Outlook-Express das er nicht der Standart Mail-Client ist, mach es eigentlich nur bei bestimmten Aufrufen. Die sind aber nicht erfolgt.
    Ein Intensiv-Scan mit NOD32 brachte keine Meldung.
    Danach habe ich alle verfügbaren Updates (meine Tochter ist hier ein wenig nachlässig) installiert. Neustart und Firewall ist wieder aus. Firewall eingeschaltet und CCLean und Spyboot durchführt, mit CClean alles aufgeräumt und Spyboot hat mit nur gratuliert, daß keine Spione gefunden wurden.
    Google hat mir auch nicht wirklich weitergeholfen, nur engliche Treffer, Übersetzung auch nicht so prall, wer weiß Rat ? :confused:
    Bitte nur fachkundige Thread´s und kein Spam.
    Danke Jens
    Eine Kuh macht Muhhh, viele Kühe machen Mühe ...............

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Jens-Hoppel () aus folgendem Grund: erledigt

  • Hallo

    Jens-Hoppel schrieb:


    beim Sufen (harmlose Seite - Krankenhausseite) meldt NOD32 plötzlich
    Bedrohung endtdeckt "eine Variante des Win32/Kryptik.E".
    Aktion: Geblockt.

    Wo wurde den besagter Virus gefunden?
    Bitte den kompletten Pfad angeben.

    Dass die FW abgeschaltet wird, könnte durchaus an Malware liegen.

    Also, erst mal die Analyse:
    Lasse Malwarebytes scannen (Komplettscan), update es vorher und poste das Log. Lasse zusätzlich alles gefundene löschen.

    Lasse dann nochmal den bereits installerten CCleaner laufen und bereinige sowohl temporäre Dateien und Registry.

    Mache dann ein Hijackthis-Log, benenne aber vorher die Hijackthis.exe in this.com um!
    Poste dann das Hijackthis-Log.

    Mfg
  • Deine Hilfe war wirklich gut. :danke: :danke: :danke:

    Hier erstmal die Meldung von NOD32:
    Zeit Modul Objekt Name Threat Aktion Nutzer Information
    29.08.2008 18:59:34 IMON Datei h**p://78.109.30.2/cgi-bin/index.cgi?ffffffbe0100f0700252dfce5206f31fad5702b7479f7200010007000000000801[/url] eine Variante von Win32/Kryptik.E Trojaner ACER-0449F89892\oem

    Hier das Log-File von Malwarebytes:
    Malwarebytes' Anti-Malware 1.25
    Datenbank Version: 1101
    Windows 5.1.2600 Service Pack 3

    14:34:35 31.08.2008
    mbam-log-08-31-2008 (14-34-35).txt

    Scan-Methode: Vollständiger Scan (C:\|D:\|)
    Durchsuchte Objekte: 116379
    Laufzeit: 20 minute(s), 20 second(s)

    Infizierte Speicherprozesse: 1
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 1
    Infizierte Registrierungswerte: 1
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 10

    Infizierte Speicherprozesse:
    C:\WINDOWS\system32\cssrss.exe (Backdoor.Knocker) -> Unloaded process successfully.

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Spyware.Sinowal) -> Quarantined and deleted successfully.

    Infizierte Registrierungswerte:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WMDM PMSP Service (Backdoor.Knocker) -> Quarantined and deleted successfully.

    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    C:\WINDOWS\system32\fbBsGW.syz (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\YvN530.syz (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\zD3o1N.syz (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\hkDNIy.syz (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\OP9TzI.syz (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\bfygfD.syz (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\KE6zkm.syz (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\LFeVYJ.syz (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\rhZeZd.syz (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\cssrss.exe (Backdoor.Knocker) -> Delete on reboot.

    War ein Volltreffer !!!

    2ter Durchlauf nach Neustart war dann sauber.
    Firewall deaktiviert sich auch nicht mehr.

    Und hier das Log-Fil von Hijackthis:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:09:43, on 31.08.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
    C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
    C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\Programme\Eset\nod32krn.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Program Files\Acer\Acer Arcade\PCMService.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\LAUNCH~1\LManager.exe
    C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
    C:\Programme\FreePDF_XP\fpassist.exe
    C:\Programme\Real\RealPlayer\RealPlay.exe
    C:\Programme\Eset\nod32kui.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
    C:\WINDOWS\system32\wbem\unsecapp.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\totalcmd\TOTALCMD.EXE
    c:\dienst\HijackThis\this.com

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = HomePage
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
    O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
    O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
    O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com/windowsup…eb_site.cab?1196178537500
    O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - photoservice.fujicolor.de/ips-…3/activex/IPSUploader.cab
    O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

    --
    End of file - 7704 bytes



    Kannst Du hier noch was sehen ?
    Ich glaube jetzt müßte alles O.K. sein.

    Gruß Jens :) :) :)

    Edit:
    Ich glaube es ist doch noch was drauf !
    Meine Tochter wollte jetzt nach dem der Rechner "Sauber" ist nach Ihrem Kontostand sehen.
    Geht auf die Sparkassenseite, Kto.Nr. usw. dann auf Details, jetzt will das Programm von Ihr
    zur "Autorisierung" 10 TAN haben. Ich gleich bei der Sparkasse angerufen, die sagen das
    wäre ein Trojaner, sie würden niemals 10 TAN´s verlangen.
    Muß ich jetzt das System platt machen, oder kann einer bei den Log-Files noch was sehen ?
    Gruß Jens


    Edit2
    Vielleicht ist dies noch hilfreich, offensichtlich ist der Trojaner nur im IE aktiv,
    unter Firefox kommt das Fenster mit der TAN-Eingabe nicht
    Gruß Jens
    Eine Kuh macht Muhhh, viele Kühe machen Mühe ...............
  • Hallo

    Erstmal ein Lob für deine Mitarbeit, man kann deine flüssig Texte lesen und du denkst auch an die Rechtschreibung. :)

    Nun zur schlechten Nachricht:
    Da war ein Backdoor aktiv, der womöglich Passwörter und Bankdaten stiehlt, deshalb sollte das System dringend neuaufgesetzt werden.
    Auch wenn Malwarebytes ihn und seine Freunde entfernt hat, muss dein System als kompromittiert betrachtet werden.

    Mache nun folgendes:
    Gehe an einen Rechner, von dem du bestimmt weisst, dass er sauber ist.
    (z.B. zu einem Nachbarn/Freund)
    Ändere dann von diesem Rechner aus alle Passwörter und Zugangsdaten (ALLES: Von MSN- über Freesoft-board- bis Online-Banking-Passwörter)

    Der "saubere" Rechner ist leider noch überhaupt nicht sauber.
    Es liegt nahe, dass ein Betrugsversuch vorliegt. Wie du schon gesagt hast, eine Bank verlangt nie mehr als einen TAN.
    Deshalb denke ich, das Ihr Opfer eines Phishing-Angriffs geworden seid.

    Darum ist das Neuaufsetzen zwingend. (Gute Anleitung hier)
    Bilder, Musik und Dokumente können gesichert werden, jedoch KEINE ausführbaren Dateien.

    Bitte schaue auch in deinen Bankauszügen nach, ob dort etwas abgebucht wurde.

    Mfg