also wie schon gesagt denke ich das ich einen keylogger auf meinen rechner habe da mirt auch vor wenigen tagen bei knuddels mein pw geklaut wurde habe es natürlich geändert =) währ cool wenn ihr mir helfen könntet !

Hier das log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:32, on 09.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

--
End of file - 5035 bytes

Zitat:

Zitat von scoopi

also wie schon gesagt denke ich das ich einen keylogger auf meinen rechner habe da mirt auch vor wenigen tagen bei knuddels mein pw geklaut wurde habe es natürlich geändert =) währ cool wenn ihr mir helfen könntet !

Hallo.

Aus deinem Hijacklog kann ich keinen Keylogger entnehmen, muss auch nicht unbedingt, hab mal irgendwann was gelesen das die Passwörter auf Knddels (nicht das ich auf solchen Seiten unterwegs wäre ) anders geknackt wurde.

Mach mal folgendes:

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.


Gruß
Sunny

ja ok danke dir erst mal ich versuche es aber da ich mich auf diesen gebiet nicht so gut auskenne werde ich mich anstrengen müssen =)

also sunny hier der text:

"Administrator" - 2007-07-09 19:37:53 - ComboFix 07-07-09.3 - Service Pack 2


((((((((((((((((((((((((( Files Created from 2007-06-09 to 2007-07-09 )))))))))))))))))))))))))))))))


2007-07-09 19:37 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-09 17:44 <DIR> d-------- C:\Programme\Trend Micro
2007-07-08 22:38 <DIR> d-------- C:\Programme\a-squared Free
2007-07-08 22:32 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-07-08 22:27 4 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\winam.dat
2007-07-08 22:27 329 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\awmsg.dat
2007-07-08 22:27 16 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\amguid.dat
2007-07-08 22:27 1,588 --ah----- C:\DOKUME~1\ALLUSE~1\ANWEND~1\amprm.dat
2007-07-08 22:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AM
2007-07-08 22:26 <DIR> d-------- C:\Programme\SoftActivity
2007-07-07 20:11 1,994,752 --------- C:\WINDOWS\UNNMP.exe
2007-07-07 20:09 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-07-07 20:08 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-07-07 20:08 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-07-07 20:08 38,912 --------- C:\WINDOWS\system32\picn20.dll
2007-07-07 20:08 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-07-07 20:08 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-07-07 20:08 2,023,424 --------- C:\WINDOWS\UNNeroVision.exe
2007-07-07 20:08 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-07-07 20:08 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-07-07 20:08 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
2007-07-07 20:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-07-07 20:07 <DIR> d-------- C:\Programme\Ahead
2007-07-06 22:49 <DIR> d-------- C:\Programme\FruityLoops 3.4
2007-07-06 20:20 <DIR> d-------- C:\Programme\Macrogaming
2007-07-06 03:26 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2007-07-06 02:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-07-06 02:44 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec
2007-07-06 00:11 <DIR> d-------- C:\Programme\Real
2007-07-06 00:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2007-07-06 00:10 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Real
2007-07-06 00:08 966,144 --a------ C:\WINDOWS\system32\NCTAudioInformation2.dll
2007-07-06 00:08 877,568 --a------ C:\WINDOWS\system32\NCTAudioFile2.dll
2007-07-06 00:08 634,880 --a------ C:\WINDOWS\system32\NCTAudioEditor2.dll
2007-07-06 00:08 522,752 --a------ C:\WINDOWS\system32\NCTAudioTransform2.dll
2007-07-06 00:08 467,968 --a------ C:\WINDOWS\system32\NCTAudioRecord2.dll
2007-07-06 00:08 467,456 --a------ C:\WINDOWS\system32\NCTAudioPlayer2.dll
2007-07-06 00:08 307,200 --a------ C:\WINDOWS\system32\msvcr70.dll
2007-07-06 00:08 237,568 --a------ C:\WINDOWS\system32\lame_enc.dll
2007-07-06 00:08 <DIR> d-------- C:\Programme\concept design
2007-07-06 00:08 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\concept design
2007-07-04 19:05 <DIR> d-------- C:\Programme\mresreg
2007-07-04 19:05 <DIR> d-------- C:\Programme\FotoWorks
2007-07-04 02:45 <DIR> d-------- C:\WINDOWS\system32\GET RICH OR DIE TRYIN dir
2007-07-04 01:07 <DIR> d-------- C:\Programme\Sony Ericsson
2007-07-03 16:44 <DIR> d-------- C:\Programme\Native Instruments
2007-07-03 00:22 <DIR> d-------- C:\Programme\TmSunriseDemoMag
2007-07-02 19:26 90,112 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-07-02 19:26 126,976 --a------ C:\WINDOWS\system32\UAService7.exe
2007-07-02 19:26 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\SecuROM
2007-07-02 18:45 <DIR> d-------- C:\Programme\Pyro Studios
2007-07-02 18:37 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-07-02 14:56 <DIR> d-------- C:\Program Files
2007-07-02 14:38 89,360 -ra------ C:\WINDOWS\system32\VB5DB.DLL
2007-07-02 14:38 69,632 -ra------ C:\WINDOWS\system32\xmltok.dll
2007-07-02 14:38 36,864 -ra------ C:\WINDOWS\system32\xmlparse.dll
2007-07-02 14:38 26,096 -ra------ C:\WINDOWS\system32\xmlinst.exe
2007-07-02 14:38 24,576 --------- C:\WINDOWS\system32\msxml3a.dll
2007-07-02 14:35 <DIR> d-------- C:\Programme\Ubi Soft
2007-07-01 18:14 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-07-01 16:13 <DIR> d-------- C:\Programme\Invictus Games
2007-07-01 16:11 <DIR> d-------- C:\Programme\EA GAMES
2007-07-01 16:09 <DIR> d-------- C:\Programme\Rebel Games
2007-07-01 05:48 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
2007-07-01 05:30 <DIR> d-------- C:\Programme\Google
2007-07-01 05:30 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Google
2007-07-01 04:04 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\vlc
2007-07-01 03:23 <DIR> d-------- C:\Programme\VideoLAN
2007-06-30 20:14 <DIR> d-------- C:\Programme\Monte Cristo
2007-06-30 17:20 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Contacts
2007-06-30 17:19 <DIR> d-------- C:\Programme\MSN Messenger
2007-06-30 16:25 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-06-30 02:42 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-06-30 02:42 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-06-30 02:42 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-06-30 02:42 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-06-30 02:42 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-06-30 02:42 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-06-30 02:42 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-06-30 02:42 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2007-06-30 02:41 <DIR> d-------- C:\Programme\Alwil Software
2007-06-30 02:40 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Talkback
2007-06-30 02:36 2,321,408 --a------ C:\WINDOWS\system32\TUKernel.exe
2007-06-29 23:04 <DIR> d-------- C:\Programme\LimeWire
2007-06-29 23:04 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Incomplete
2007-06-29 23:04 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\LimeWire
2007-06-29 22:01 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys
2007-06-29 22:00 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys
2007-06-29 22:00 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-06-29 22:00 53,248 --a------ C:\WINDOWS\system32\PAStiSvc.exe
2007-06-29 22:00 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys
2007-06-29 22:00 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS
2007-06-29 22:00 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys
2007-06-29 22:00 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys
2007-06-29 22:00 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys
2007-06-29 22:00 <DIR> d-------- C:\WINDOWS\PixArt
2007-06-29 22:00 <DIR> d-------- C:\Programme\Trust
2007-06-29 22:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PCCamera
2007-06-29 20:18 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\ICQ
2007-06-29 20:17 <DIR> d-------- C:\Programme\ICQ6


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-29 18:07:24 70,778 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-06-29 18:07:24 405,448 ----a-w C:\WINDOWS\system32\perfh007.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-01-12 20:38 63128 --a------ C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
2005-05-31 01:04 853672 --a------ C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
2006-08-31 20:33 322368 --a------ C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 C:\WINDOWS\SkyTel.exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
"Alcmtr"="ALCMTR.EXE" [2005-05-03 12:43 C:\WINDOWS\Alcmtr.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2006-12-27 16:53]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsMenu"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"


Contents of the 'Scheduled Tasks' folder
2007-07-06 15:15:50 C:\WINDOWS\tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-09 19:39:56
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-09 19:40:26

--- E O F ---

Und wo ist die Ausertung vom eScan, ohne diesen brauche ich garnicht erst anfangen.

Sunny

sunnie wie gesagt der scan läuft noch :-)

alles klar hier ist das protokol sunnie:

find.bat~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.9
Sprache: German
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Incomplete\T-11685888-nero.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Incomplete\T-11685888-nero.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Incomplete\T-11685888-nero.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Incomplete\T-11685888-nero.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Incomplete\T-11685888-nero.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Incomplete\T-11685888-nero.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\System Volume Information\_restore{BF50F3CB-3476-45B0-ADCD-DA0942387B57}\RP35\A0007765.exe markiert als "not-a-virus:RiskTool.Win32.HideWindows". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n9ejxcld.default\Cache\D93514D0d01 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n9ejxcld.default\Cache\D93514D0d01 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n9ejxcld.default\Cache\D93514D0d01 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n9ejxcld.default\Cache\D93514D0d01 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n9ejxcld.default\Cache\D93514D0d01 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n9ejxcld.default\Cache\D93514D0d01 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 35185
Gescannte Dateien: 27
Gescannte Dateien: 35185
Gescannte Dateien: 27
Gescannte Dateien: 35185
Gescannte Dateien: 27
Gescannte Dateien: 82048
Gefundene Viren: 7
Gefundene Viren: 0
Gefundene Viren: 7
Gefundene Viren: 0
Gefundene Viren: 7
Gefundene Viren: 0
Gefundene Viren: 8
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 24
Anzahl Fehler: 0
Anzahl Fehler: 24
Anzahl Fehler: 0
Anzahl Fehler: 24
Anzahl Fehler: 0
Anzahl Fehler: 24
Dauer des Scans bisher: 00:08:51
Dauer des Scans bisher: 00:00:01
Dauer des Scans bisher: 00:08:51
Dauer des Scans bisher: 00:00:01
Dauer des Scans bisher: 00:08:51
Dauer des Scans bisher: 00:00:01
Dauer des Scans bisher: 00:40:07
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:50:25,73
Batchende: 20:50:41,50

also anscheinend will mir keiner helfen :-( aber noch eine info ich habe 6 virenprogramme scannen lassen keiner findet einen virus!ein programm namens hatte ich durchlaufen lassen (demo)womit ich viren finden aber nicht löschen kann was soll ich tun mich darauf verlassen oder auf die 6 anderen programme?
bitte gibt mirt schnellstmöglich eine antwort da ich überlegen alles neu aufzusetzen =)

Hi,

doch schon. Es gibt aber keinen Hinweis auf einen Keylogger. Die meisten der Funde des Escan beruhen offensichtlich darauf, dass Du ihn hast mehrfach laufen lassen, jedesmal, wenn man ihn neu startet, hängt er das neue Log an das alte an. Man sollte also vor einem erneuten start die mwav.log löschen oder umbenennen. Das meiste sind Fehlalarme oder Warnungen vor legalen Tools, die sich theoretisch auch für schlechte Zwecke einsetzen lassen. Z.B. die hier:

Code: Alles auswählenAufklappen

ATTFilter

Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
         

Die Tools sind Teil diverser Fixes gegen Malware und landen normalerweise durch die Benutzung eines solchen auf der Platte.

Code: Alles auswählenAufklappen

ATTFilter

Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\ba rt\1024
         

ist ein Fehlalarm der darauf beruht, dass der Ordner den Namen "1024" hat. Vor längerer Zeit ging mal eine Smitfraudvariante herum, die in system32 einen Ordner "1024" anlegt, seitdem wird jeder Ordner "1024" gemeldet, egal wo er sich befindet und Teil welcher Software er ist.

Die meisten anderen Meldungen beziehen sich auf eben die schon erwähnten Funde. Der Escan hat eine Menge unangenehme Eigenschaften, eine davon ist es, dass er wegen eines Fundes mehrere Zeilen hintereinander in das Log schreibt. Dur die Benutzung der find.bat wird der Zusammenhang zwischen diesen Zeilen zerstört, seitfem auch die am Anfang der Zeilen stehenden Datums/Zeit-Stempel zu den Zeilen gelöscht werden, kann man den auch nicht mehr durch sortieren wiederherstellen. Von meiner Seite aus daher keine weitere Auswertung möglich.

Unterdessen habe ich ein paar Erkundigungen über Passwörter bei Knuddels eingeholt. Es gibt sehr viele Berichte über geklaute Accounts. Außerdem Hinweise auf Sicherheitsmängel in der dortigen Software. Die darf ich aber in einem Securityforum nicht posten.

Alles in allem sieht es mir danach aus, dass das auf der Seite einfach als "normal" anzusehen ist. Entweder die Seite meiden oder einen neuen Account anmelden. Ist ja unkompliziert möglich.

Gruß, Karl