Hallo,

ich hab mir gestern einen trainer fuer ein online-game heruntergeladen was versprochen hat einige "cheats" freizuschalten, war mir aber bewusst das es ein keylogger sein koennte.

als ich es dann zum ersten mal ausfuerte hat er irgendeine datei angelegt, und gesagt "succesful". dann popte auf einmal norton auf und sagte mir das eine email versendet wird, also "outgoing email" halt. dann wusste ich das isn keylogger. norton ist/war bei mir immer auf den neusten stand und hat selber nichts gefunden. Habe dann Ad-Aware runtergeladen und der zeigte mir einige dateien an, keylogger, cydoors. ich so, super..das isser...alles entfernt neugestartet...peng...wieder outgoing email. er macht des beim start von windows (xp in meinem fall) und so ca. alle 30 min in regelmäigen abständen.
ich war dann am verzweifeln, und hab eifrig nach anderen anti-spy tool gegooglet und auch enigei, bei denen die meinungen recht gut waren gesaugt. die haben alle nix gefunden, ausser Spybot - Search and Destroy. da hat er auch nochmal n keylogger gefunden, und man konnte alle dateien dort in der datenbank mit dem windows sys blocken. ich dachte jetzt hab ichs, startete neu aber PENG...wieder outgoing email. kapersky antivirus und mc affee hab ich ebenfalls versucht. fehlanzeige nichts...bin echt voll am rДtseln wie ich den mist wieder wegbekomm...bin mit meinem latein am ende, ich hoffe sehr das ich hier hilfe finden werde

im taskmanager ist auch nichts weiter ungewöhnliches, ausser eine datei namens "controlrandom.exe"
diese ist auch im autostart drin, aber aktivieren oder deaktivieren macht keinen unterschied.....kennt einer diese datei? vllt gehört die da mit zu.....

hier gibts die besagte datei: h**p://www.angelfire.com/rpg/alienpage/5hcknightdragon3.zip


Update:
hab das norton email-überwachungssystem nun mal deaktiviert und jetz zeigt meine firewall mir aktivität der controlrandom.exe an, diese will eine email per smtp verschicken an einen hotmail account.
sieht wohl so aus als wär das der keylogger...

naja die datei war auch vollkommen versteckt aber mittlerweile hab ich sie gefunden...zwar auf ne etwas komische art und weise, aber ich hab sie..mit Nero O.o..da im dateibroswer wird sie angezeigt

naja...hab halt versucht sie zu löschen...fehlanzeige. ich kann sie nicht löschen, sie sagt sie wird bereits verwendet...im taskmanager isse aber nich mehr drin....jedenfalls....auch wenn ich sie, nach jedem windows-start per taskmanager beende, schick die gleiche! datei laut firewall ne email..bzw will...

HijackThis hab ich auch schon ausprobiert und in einem anderen forum wurd mir empfohlen was ich wegmachen sollte, tat ich...keine änderung.


ich hab kA was hier abgeht Bitte um Hilfe

[ 18. November 2003, 18:29: Beitrag editiert von: Paranoia ]

Kapersky und Co melden zwar nix, aber das ist eine Variante des SCKeylog Trojaners.
Ohne jetzt genauer nachzusehen das Teil registriert sich mit "RegisterServiceProcess" - und laeuft quasi als Dienst - ist damit also auch nicht im Taskmanager sichtbar.
Die Eintraege Run und RunServices entfernen.
Der SCKeylog droppt meines Wissens nach auch in den meisten Versionen eine DLL (das ist der eigentliche Keylogger der dann als DLL laeuft deswegen siehst du den auch nicht) - diese auch loeschen.
Bei kurzer Durchsicht der Datei und ohne diese erst zu starten ist mir der vemeindliche DLL Name "mnsvcpr" aufgefallen. Der Disassembler zeigt auch das dort noch zufaellig Werte angehangen werden koennen - suche deshalb mal deine Registry nach genau dem mnsvcpr ab. Dort laedt er die DLL - vermutlich mit RUNDLL32.EXE - wenn Du den Eintrag hier findest dann nochmal melden.

Godzilla

hm ich kann dir nicht ganz folgen, wo genau in der regestry finde ich ihn ? und wie wird er heissen ?

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\ <Trojanername> = %System%\<trojanername>.exe

thx...sieht so aus als haette es geklappt

Jetzt musst Du nur noch die Files auf der Platte loeschen