PWS:Win32/Fignotok.A - seit ich hier nen crypter geladen hab

[XxXx_Playa_xXxX]

hey forum,
folgende situation. ich hab von Tix den crypter gekauft... zu meiner dummheit wie sich herausgestellt hat, hab ich den treuhandservice nich in anspruch genommen. hatte es auch eilig mit dem crypter und gab ja bis dato nur gute feedbacks... und gestern hat sich bei mir ein fenster geöffnet (hab win7) wegen nem automatischen update. konnte auch kein screen machen... musste es abfotografieren. und denn bin ich immer auf nein gegangen, weil mir der speicherort dafür schon komisch vorkam... und immer direkt als ich nein geklickt hab, hat sich das selbe direkt nochmal neu geöffnet. konnte also kaum was anderes machen... denn wollte ich den mit meinem virenscanner scannen, und bin denn ausversehen auf ja gegangen weil sich das zu schnell geöffnet hat -.- denn hat die abfrage aufgehört -.- denn hab ich DIE DATEI auf virustotal hoch geladen, und der hat genau den selben trojaner angezeigt wie der, der von tix´ crypter gecrypteten dateien. hab den crypter schon länger, aber erst seit gestern zeigt er mir die meldung. und erst seit gestern, immer wenn ich meinen gecrypteten server öffnen will, öffnet sich die meldung ob ich DIESEN server zusätzlich öffnen will. im hintergrund hat sich aber mein server bereits geöffnet.

hab den hijack logfile auch auf hijack hochgeladen. das einzige das für mich auffällig war, is die server.exe bei mir unter H:\Users\Playa\AppData\Roaming\install\server.exe. der server läuft auch unter prozesse, und kann den weder löschen, noch beenden. wenn ich den löschen will, sagt er is in use, wenn ich den prozess schließe und denn quarantäne, denn gehts aber erstellt sich selber -.- und jetzt kein plan wie ich den löschen soll...

unter netstat -a is nix auffälliges...

hier das logfile:

Running processes:
H:\Windows\system32\taskhost.exe
H:\Windows\system32\Dwm.exe
H:\Windows\Explorer.EXE
H:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
H:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
H:\Program Files\Tandem\Anti-Virus Profi-Paket\AVKTray\AVKTray.exe
H:\Windows\V0220Mon.exe
H:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
H:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
H:\Program Files\iTunes\iTunesHelper.exe
H:\Program Files\Windows Sidebar\sidebar.exe
H:\Program Files\DAEMON Tools Lite\DTLite.exe
H:\Program Files\Siber Systems\AI RoboForm\robotaskbaricon.exe
H:\Windows\System32\spool\drivers\w32x86\3\E_FATIF CE.EXE
H:\Program Files\ICQ7.0\ICQ.exe
H:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
H:\Users\Playa\AppData\Roaming\install\server.exe
H:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Users\Admin\Desktop\Damian\Carsten\Cyber gate\CyberGate v1.05.1\DUC20.exe
C:\Users\Admin\Desktop\Damian\Carsten\Cyber gate\CyberGate v1.05.1\CyberGate v1.05.1.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Windows\system32\wuauclt.exe
H:\Users\Playa\Desktop\Terminkalender\EssentialPIM .exe
H:\Users\Playa\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:5577
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - H:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - H:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - H:\Program Files\Softonic_Deutsch\tbSoft.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - H:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - H:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - H:\Users\Playa\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - H:\Program Files\Yahoo!\Companion\Installs\cpn1\YTSingleInsta nce.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Program Files\ICQ6Toolbar\1001271522\ICQToolBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - H:\Program Files\Softonic_Deutsch\tbSoft.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - H:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - H:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [HDAudDeck] H:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [GrooveMonitor] "H:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] H:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] H:\Program Files\Tandem\Anti-Virus Profi-Paket\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [V0220Mon.exe] H:\Windows\V0220Mon.exe
O4 - HKLM\..\Run: [Corel Photo Downloader] "H:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel PhotoDownloader.exe" -startup
O4 - HKLM\..\Run: [Corel File Shell Monitor] H:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [Ocs_SM] H:\Users\Playa\AppData\Roaming\OCS\SM\SearchAnonym izer.exe
O4 - HKLM\..\Run: [YSearchProtection] "H:\Program Files\Yahoo!\Search Protection\SearchProtection.exe"
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "H:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] H:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [NBJ] "H:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "H:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [RoboForm] "H:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [EPSON SX410 Series] H:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIF CE.EXE /FU "H:\Windows\TEMP\E_SD202.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "H:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.ex e" -quiet
O4 - HKCU\..\Run: [Search Protection] H:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
O4 - HKCU\..\Run: [ICQ] "H:\Program Files\ICQ7.0\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [Google Update] "H:\Users\Playa\AppData\Local\Google\Update\Google Update.exe" /c
O4 - HKCU\..\Run: [HKCU] H:\Users\Playa\AppData\Roaming\install\server.exe
O4 - HKCU\..\Run: [Betriebssystem] H:\Users\Playa\AppData\Roaming\System32\Automatisc hes Update.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = H:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~2\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Free YouTube to Mp3 Converter - H:\Users\Playa\AppData\Roaming\DVDVideoSoftIEHelpe rs\youtubetomp3.htm
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - H:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - H:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://H:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://H:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://H:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://H:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://H:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://H:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - H:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - H:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - H:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - H:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Anti-Virus Profi-Paket Proxy (AVKProxy) - G Data Software AG - H:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: Anti-Virus Profi-Paket Scheduler (AVKService) - G Data Software AG - H:\Program Files\Tandem\Anti-Virus Profi-Paket\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - H:\Program Files\Tandem\Anti-Virus Profi-Paket\AVK\AVKWCtl.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - H:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: EPSON V5 Service4(01) (EPSON_EB_RPCV4_01) - SEIKO EPSON CORPORATION - H:\ProgramData\EPSON\EPW!3 SSRP\E_S40ST7.EXE
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - H:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - H:\Program Files\Common Files\G DATA\GDScan\GDScan.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - H:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: ICQ Service - Unknown owner - H:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - H:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - H:\Windows\system32\nvvsvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - H:\Windows\system32\PSIService.exe
O23 - Service: SearchAnonymizer - Unknown owner - H:\Users\Playa\AppData\Roaming\OCS\SM\SearchAnonym izerHelper.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - H:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - H:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: @H:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - H:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - H:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - H:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

wär sehr sehr nice wenn ihr mir da weiterhelfen könntet

[Shadowgamer]

Formatier die Kiste und spiel Windows neu drauf. Dann biste auf der sicheren Seite.

[XxXx_Playa_xXxX]

2. Regeln für diejenigen, die helfen wollen:
2.2 Unnötige Kommentare wie "Dann formatier doch" sind zu unterlassen

^^

[meckl]

Versuch die Dateien im Abgesicherten Modus oder mit einer (AV)-LiveCD zu löschen.

Überprüfen/Fix mal diese Dateien:

Code:

H:\Windows\System32\spool\drivers\w32x86\3\E_FATIF CE.EXE
O4 - HKLM\..\Run: [Ocs_SM] H:\Users\Playa\AppData\Roaming\OCS\SM\SearchAnonym izer.exe
O4 - HKCU\..\Run: [HKCU] H:\Users\Playa\AppData\Roaming\install\server.exe
O4 - HKCU\..\Run: [Betriebssystem] H:\Users\Playa\AppData\Roaming\System32\Automatisc hes Update.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')
O23 - Service: SearchAnonymizer - Unknown owner - H:\Users\Playa\AppData\Roaming\OCS\SM\SearchAnonym izerHelper.exe

-> http://www.microsoft.com/security/po...2%2FFignotok.A

[XxXx_Playa_xXxX]

Code:

H:\Windows\System32\spool\drivers\w32x86\3\E_FATIF CE.EXE

das ist glaub ich ein treiber von meinem drucker ^^

O4 - HKLM\..\Run: [Ocs_SM] H:\Users\Playa\AppData\Roaming\OCS\SM\SearchAnonym izer.exe
O23 - Service: SearchAnonymizer - Unknown owner - H:\Users\Playa\AppData\Roaming\OCS\SM\SearchAnonym izerHelper.exe
O4 - HKCU\..\Run: [HKCU] H:\Users\Playa\AppData\Roaming\install\server.exe

nice die konnte ich endlich im abgesichertem modus löschen

O4 - HKCU\..\Run: [Betriebssystem] H:\Users\Playa\AppData\Roaming\System32\Automatisc hes Update.exe

hab ich schon nach dem ersten neustart überhaupt löschen können als ich den entdeckt hab. war genau so instabil wie mein server den ich mit dem crypter gecrypted hab.

O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')

hm das ging nich im abgesichertem modus zu löschen -.-

besten dank im voraus scheint voran zu gehen

[meckl]

Code:

O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')

Versuch die Einträge mit HiJackThis zu Fixen.
Lass mal noch CCleaner drüber laufen, das die ganzen Temp-Ordner geleert werden.

Danach nochmal mit dem Online Scanner OneCare Safety Scanner einen kompletten Service-Scan starten. (Internet Explorer / Popup-Blocker ausschalten)