Keylogger.Hotkeys.Hook.A

Archie Alert · 17.02.2005, 16:21

Hi,
ich habe mir nen Trojaner eingefangen(Keylogger.Hotkeys.Hook.A),der mir einige Tasten auf der Tastatur blockiert
Sämtliche Versuche, ihn zu löschen sind fehlgeschlagen(AntiVir, Ad-Aware, Spybot...)
Wie kann ich ihn loswerden? Ich hoffe,mir kann jemand helfen
Danke schonmal.

cacatoa · 17.02.2005, 17:02

Poste ein HiJackThis Logfile rein.
Dann werden sie geholfen...
cacatoa

Archie Alert · 17.02.2005, 17:20

Logfile of HijackThis v1.99.1
Scan saved at 17:14:18, on 17.02.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HANSENET\HANSENET-PRODUKTE\APP\TANGOMANAGER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\BASES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\PROGRAMME\XI\NETTRANSPORT 2\NTIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE

Gigamail · 17.02.2005, 17:37

Hi,

Dein Logfile sieht eigentlich ganz gut aus, bis auf den veralteten IE. Du solltest Dein System schnellstens updaten.
Scanne mal das System mit eScan, Beschreibung siehe unten

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Archie Alert · 17.02.2005, 18:58

Thu Feb 17 18:43:19 2005 => ***** Scanning complete. *****

Thu Feb 17 18:43:19 2005 => Total Files Scanned: 16125
Thu Feb 17 18:43:19 2005 => Total Virus(es) Found: 1
Thu Feb 17 18:43:19 2005 => Total Disinfected Files: 0
Thu Feb 17 18:43:19 2005 => Total Files Renamed: 0
Thu Feb 17 18:43:19 2005 => Total Deleted Files: 0
Thu Feb 17 18:43:19 2005 => Total Errors: 0

[msvLclnt.dll] [0xfffc3211] 17/02/2005 17:49:10:610 :[00000001] File C:\_RESTORE\TEMP\A0001202.CPY infected by not-a-virus:Cracker.Game.HotHook

HerrKautz · 17.02.2005, 19:01

Thu Feb 17 18:43:19 2005 => Total Files Scanned: 16125
Thu Feb 17 18:43:19 2005 => Total Virus(es) Found: 1

Mach den Scan nochmal,du musst alle Laufwerke anklicken,es werden mindestens 30.000 Dateien gescannt!

Archie Alert · 17.02.2005, 21:06

Hab jetzt bei Drive "all local drives" ausgewählt, kam aber das gleiche raus

Total Files Scanned: 16125
Total Virus(es) Found: 1

cacatoa · 17.02.2005, 21:13

Mußt auch wählen: scan all files.

Archie Alert · 17.02.2005, 21:46

Hatte ich auch aktiviert
Das sind meine Einstellungen

cacatoa · 17.02.2005, 21:56

Dann ist anscheinend alles o.k.
Wieviele Dateien hat denn AdAware gescannt? Genausowenig?

Archie Alert · 17.02.2005, 22:16

Ne, da warns komischerweise schon mehr als 30.000

cacatoa · 17.02.2005, 22:18

Im abgesicherten Modus gescannt?

Archie Alert · 17.02.2005, 22:21

ja, offline im abgesicherten Modus

Archie Alert · 18.02.2005, 16:30

Mal nach oben schieb

Das Problem ist, dass ich nicht Formatieren kann, da dafr einige Tasten benötigt werden, die blockiert werden
Ich bin kein PC-Profi, gibt es noch andere Mögichkeiten, außer Format C?

Haui45 · 18.02.2005, 16:41

Nochmal zum Anfang: Wo wurde der Keylogger gefunden?
Welche Tasten funktionieren nicht?
Ist ein Hardwareproblem vollkommen auszuschließen?

Zitat:

[msvLclnt.dll] [0xfffc3211] 17/02/2005 17:49:10:610 :[00000001] File C:\_RESTORE\TEMP\A0001202.CPY infected by not-a-virus:Cracker.Game.HotHook

Was genau das ist, weiß ich nicht, falls du es löschen willst: Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung aktivieren (Vorsicht, dabei gehen alle Systemwiederherstellungspunkte verloren!)

Keylogger.Hotkeys.Hook.A

Plagegeister aller Art und deren Bekämpfung: Keylogger.Hotkeys.Hook.A