Hallo,

der TuneUp 2006 Prozeßmanager meldet immer einen Prozeß "FamilyKeyLogger" ist der legitim? Oder kritisch? Und wenn ja, wie werde ich das los?

Danke

@bat-man

Zitat:

ist der legitim?

Ich gehe nicht davon aus. Allerdings es gibt zig Dutzend verschiedenen Keyloggers. Was für Betriebssystem/Antivirus hast du?
Allgemeine Infos zum Keylogger.

XP SP 2, Antivir von H&BDEV

@bat-man

Zitat:

XP SP 2, Antivir von H&BDEV

Du gehst extrem sparsam mit den Wörtern um . Bit. m. HJT-Log & eScan-Log, Anl. in m. Sig.

Well, nix für ungut. System gepacht, Stand Nov. 05. Antivir Stand heute.

hier der HTJlog (wobei ich z. Zt. der Erstellung der Prozeß bereits manuell beendet hatte)

Logfile of HijackThis v1.99.1
Scan saved at 09:46:42, on 14.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\Additive\Acronis True Image 8.0\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Additive\ObjectDock 1.02\ObjectDock.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\DOKUME~1\B10125~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Additive\Acronis True Image 8.0\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dumps_startup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Additive\ObjectDock 1.02\ObjectDock.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Additive\TuneUp 2006\WinStylerThemeSvc.exe

Die escan-log hat 3 MB (??), krieg ich hier nicht rauf:

aber angeblich wurden dreimal was gefunden

hier die entscheidenden passi:

Wed Dec 14 16:26:48 2005 => Offending file found: C:\DOKUME~1\B10125~1\LOKALE~1\Temp\insthelp.dll
Wed Dec 14 16:26:48 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Wed Dec 14 16:26:54 2005 => Offending file found: C:\Dokumente und Einstellungen\B 1\Lokale Einstellungen\temp\insthelp.dll
Wed Dec 14 16:26:54 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Wed Dec 14 16:26:55 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Dokumente\discountsurfer\uninstaller.exe
Wed Dec 14 16:26:55 2005 => System found infected with midaddle Spyware/Adware (uninstaller.exe)! Action taken: No Action Taken.


Danke

@bat-man
HJT-Log sieht sauber aus.

Zitat:

Die escan-log hat 3 MB (??), krieg ich hier nicht rauf

Wer lesen kann, hat bestimmt Vorteile .

Zitat:

....[5] Rechtsklick auf die Find.rar -> Ziel speichern unter… z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.
An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.
Sollten Probleme beim Ausführen der Find.bat auftreten, dann lies bitte folgenden Thread von Haui durch.

Lade bitte Clearprog herunter und leere alle Temp-Ordner. Was die Datei C:\Dokumente und Einstellungen\All Users\Dokumente\discountsurfer\uninstaller.exe betrifft - vermute Fehlalarm. Bitte bei www.virustotal.com überprüfen.

[QUOTE=Rene-gad]@bat-man

Wer lesen kann, hat bestimmt Vorteile .

Öh, da könnte natürlich was dran sein (wobei die Fußnotentechnik für ein Forum meines Wissens auch sehr ungewöhnlich (akademisch?) ist);
:-) sorry und danke .
Entspricht aber doch der unter "Alternative" dargelegten Vorgehensweise.
Es waren nur diese 3 Meldungen, die wie unten wiedergegeben lauten.

Der Witz ist, daß ich nach Anwendung von kill.exe und einem neuerlichen Scan mit escan im abgesicherten Modus (wie auf diesen Seiten beschrieben) nichts mehr finden kann. Nach einem erneuten Start im regulären Modus, ist jedenfalls aber dieser nervige FamilyKeyLogger wieder da!=> ???

@bat-man
Hast du die Temp-Ordner mit ClearProg bereinigt?
Hast du die Datei bei VIRUSTOTAL überprüft?
Sorry, ich kenne mich mit TuneUp nicht wirklich aus. Gibt es auch 'ne Info, wo die verdachtige Datei od. Registry-Eintrag ist?

Servus @all!
Da Fledermaus-Mann hier ebenfalls umtriebig ist, kann ich wohl davon ausgehen, das der thread http://www.trojaner-board.de/showthread.php?t=24515 in die Tonne wandert?!
stupormundi

Hallo,

ja habe die WindowsTemp-Ordner gelöscht (oder muß ich alle? Sind dann auch meine Lesezeichen weg?).
Prüfung bei virustotal scheitert, erhalte immer den Hinweis, ich solle 30s warten und dann kommt nichts mehr.

Als Pfad wird angegeben: C:\WINDOWS\system32\cisvc.exe
Nehme mal an, ich sollte das nicht einfach löschen?

Danke und Gruß

@bat-man

Zitat:

ja habe die WindowsTemp-Ordner gelöscht (oder muß ich alle? Sind dann auch meine Lesezeichen weg?).

Seit wann sind die Lesezeichen in einem Temp-Ordner angelegt?
Am Besten leerst du alle Temp-Ordner samt Temporary Internet File Ordner vom Internet Explorer.

Zitat:

Prüfung bei virustotal scheitert, erhalte immer den Hinweis, ich solle 30s warten und dann kommt nichts mehr.

Versuche dann bei http://virusscan.jotti.org/ oder kopiere die Datei nach Desktop oder Eingene Dateien und versuche nochmal.

Zitat:

Als Pfad wird angegeben: C:\WINDOWS\system32\cisvc.exe
Nehme mal an, ich sollte das nicht einfach löschen?

Kommt mir komisch vor, könnte auch ein Fehlalarm vermuten. Kopiere die Datei nach Desktop oder Eingene Dateien und versuche sie online zu scannen.
Alternative Adresse: http://www.kaspersky.com/de/virusscanner