Hallo,

ich habe seit kurzem ein kleines Problem und zwar findet Kaspersky 7.xx immer wieder diese beiden Trojaner auf meiner HDD.
Ich kann die zwar dann löschen aber beim nächsten mal sind diese wieder da.

Woher kommen die beiden Dateien, ich bin immer vorsichtig bei öffnen von irgendwelchen Files aus dem Internet und frage mich wie ich mir die beiden KeyLogger wohl eingefangen habe.

Aber wichtiger ist, wie krieg ich diese wieder weg?
Ist schon komisch zu wissen das man mit KeyLoggern unterwegs ist.

Dankö

Mit Deiner Aussage kann man recht wenig anfangen. Du hast keinen Pfad des Fundes von Kaspersky angegeben geschweige ein sog. HJT gepostet. Letzteres hole bitte nach, Anleitung hier:
http://www.trojaner-board.de/17493-a...ijackthis.html

Danke für die schnelle Antwort, ich habe Schritt 1 gemacht und das kam dabei raus, vlt. kannst du damit was anfangen:

Logfile of HijackThis v1.99.1
Scan saved at 16:35:13, on 14.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Creative\Sound Blaster Audigy 2\Surround Mixer\CTSysVol.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\QIP\qip.exe
E:\Steam\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\apuz\Desktop\hi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ***
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Sound Blaster Audigy 2\Surround Mixer\CTSysVol.exe /r
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll,wbsys.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

In Deinem Log ist nicht auffälliges zu sehen-aber wie so oft hat das keinerlei Bedeutung.Ich überlege gerade ob die Meldung von Kaspersky eventuell in Zusammenhang mit Macros stehen könnte. Gute Frage, nächste Frage:
Benutzt Du eigentl. einen Proxy?

Da man aus dem Stehgreif nichts genaues sagen kann was die Ursache für die Meldung sein könnte, mache bitte einen e-scan nach folgender Anleitung und poste das Ergebnis der sog. "find-bat". Bring Dir nur ein wenig Zeit mit, kann bis zu zwei Stunden daueren.
http://www.trojaner-board.de/38066-e...ightymarc.html

Nein einen Proxy benutze ich nicht.
Ich bin grade dabei mit eScan zu Scannen und das Programm hat schon 14! Viren gefunden

Hoffentlich kannst du nachher mit der Datei was anfangen, du bist meine letzte Hoffnung

So der Scan ist fertig ( schon was länger bin nur nicht zum Posten gekommen ) und das Ergebnis hat mich doch sehr überrascht.. 26? Viren..hier das LogFile:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.1
Sprache: German
C:\DOKUME~1\NAME\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: Keine Aktion vorgenommen.
System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{966864C1-2F9B-4482-88F8-AD9063DF5DAF}\RP95\A0008358.exe infiziert von "Trojan-Spy.Win32.KeyLogger.cc" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{966864C1-2F9B-4482-88F8-AD9063DF5DAF}\RP95\A0008359.dll infiziert von "Trojan-Spy.Win32.KeyLogger.bp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{966864C1-2F9B-4482-88F8-AD9063DF5DAF}\RP95\A0008360.exe infiziert von "Trojan-Spy.Win32.KeyLogger.cc" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\drivers\atapi2k.sys markiert als not-a-virus:Monitor.Win32.EliteKeylogger.21. Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\drivers\ipnatnt.sys markiert als not-a-virus:Monitor.Win32.EliteKeylogger.30. Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\drivers\mfex.sys markiert als not-a-virus:Monitor.Win32.EliteKeylogger.30. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\MSNADD@hotmail.de\Sharing Folders\MSNADD@web.de\RealVNC 4.2.9 Enterprise Edition\vnc-E4_2_9-x86_win32.exe//file3 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
File C:\Programme\QIP\Users\ICQNR\RcvdFiles\ICQNR_NAME\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{966864C1-2F9B-4482-88F8-AD9063DF5DAF}\RP72\A0004941.exe//file4 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{966864C1-2F9B-4482-88F8-AD9063DF5DAF}\RP72\A0004943.exe//file3 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{966864C1-2F9B-4482-88F8-AD9063DF5DAF}\RP72\A0004946.exe//file3 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{966864C1-2F9B-4482-88F8-AD9063DF5DAF}\RP73\A0005256.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{966864C1-2F9B-4482-88F8-AD9063DF5DAF}\RP87\A0007193.exe//data0007//UPX markiert als not-a-virus:Monitor.Win32.EliteKeylogger.21. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{966864C1-2F9B-4482-88F8-AD9063DF5DAF}\RP95\A0007756.exe markiert als not-a-virus:PSWTool.Win32.Rainbow.12.a. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{966864C1-2F9B-4482-88F8-AD9063DF5DAF}\RP95\A0007757.exe markiert als not-a-virus:PSWTool.Win32.Rainbow.12.a. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{966864C1-2F9B-4482-88F8-AD9063DF5DAF}\RP95\A0007758.exe markiert als not-a-virus:PSWTool.Win32.Rainbow.12.a. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{966864C1-2F9B-4482-88F8-AD9063DF5DAF}\RP95\A0007759.exe markiert als not-a-virus:PSWTool.Win32.Rainbow.12.a. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{966864C1-2F9B-4482-88F8-AD9063DF5DAF}\RP95\A0007762.exe//PE_Patch.UPX//UPX markiert als not-a-virus:PSWTool.Win32.PassView.b. Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\drivers\atapi2k.sys markiert als not-a-virus:Monitor.Win32.EliteKeylogger.21. Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\drivers\ipnatnt.sys markiert als not-a-virus:Monitor.Win32.EliteKeylogger.30. Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\drivers\mfex.sys markiert als not-a-virus:Monitor.Win32.EliteKeylogger.30. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{69ec34c2-22cd-11dc-bbd7-806d6172696f} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\NAME\LOKALE~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\SoftwareDistribution\Download\7e82b5e553bfede56528ca9d3e35ba9bef31b0ce nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 103351
Gefundene Viren: 26
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 21
Dauer des Scans bisher: 00:48:11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:04:53,87
Batchende: 21:04:56,46

Zitat:

Zitat von apuz

Hoffentlich kannst du nachher mit der Datei was anfangen, du bist meine letzte Hoffnung

Na, bin auch nur ein Mensch und deshalb nicht frei von Fehlern.
Allen Anschein nach hat da "jemand" dringendes Interesse Deine Daten auszuspionieren und diese weiterzuleiten. Dies ist schon kriminell und Du könntest sogar eine Strafanzeige gegen Unbekannt stellen.
Keylogger sind Schadprogramme, die die Eingaben des Benutzers an einem Rechner protokollieren, sie zum späteren Abruf in lokalen Dateien speichern oder an zentrale Server im Internet schicken. Dieser Eintrag tut sein übriges:
not-a-virus:RemoteAdmin.Win32.WinVNC.4
Siehe diesen thread und den Beitrag von Irrlicht.
http://www.trojaner-board.de/36224-s...im-system.html
Seit wann hast Du diese Meldung bekommen bzw. kannst Du dich da an einen Zusammenhang erinnern? Zumindest ist mir das bei Dir überhaupt nicht koscher. Online-Banking ist tabu für Dich.Sperre - sofern Du hast - den Tan-Block, Passwörter musst Du alle ändern
Rein theoretisch ist das Entfernen der gefundenen Keylogger in der Regel recht einfach und wird von den Suchprogrammen gleich mit erledigt. Hat man ein oder mehrere dieser Programme auf dem Rechner entdeckt,wie bei Dir,so halte ich es aber für sinnvoller das Betriebssystem neu zu installieren.Dies überlebt kein Keylogger und Du bist auf der sicheren Seite.
Du schriebst am Anfang, Zitat:
Ist schon komisch zu wissen das man mit KeyLoggern unterwegs ist.
Dies sehe ich genauso, bei dem Gedanken würde mir selber unwohl sein zumal man sich unklar ist, welche Passwörter schon als "bekannt" anzusehen sind. Letztendlich sind es Deine persönlichen Daten.
http://www.trojaner-board.de/12154-a...sicherung.html

Zitat:

Zitat von Mobius07

Dies ist schon kriminell und Du könntest sogar eine Strafanzeige gegen Unbekannt stellen.

Könnte ich machen ja aber was bringt mir das?

Zitat:

Zitat von Mobius07

Seit wann hast Du diese Meldung bekommen bzw. kannst Du dich da an einen Zusammenhang erinnern?

Nein, ich habe auch keine Ahnung wie sowas auf meinen PC kommt.
Ich bin der einzige der Zugang hat und ich lade weder irgendwelche exe Dateien oder ähnliches und auf Pornoseiten bin ich auch nicht unterwegs.

Zitat:

Zitat von Mobius07

Hat man ein oder mehrere dieser Programme auf dem Rechner entdeckt,wie bei Dir,so halte ich es aber für sinnvoller das Betriebssystem neu zu installieren.

Schon wieder den PC formatieren? Dabei ist das OS grade mal 2 Wochen alt, langsam nervt das neuinstallieren.
Aber anscheinend habe ich keine andere Wahl, ich werde es die Tage mal in Angriff nehmen.

Danke Dir für deine Hilfe + FAQ .

Sprach ja auch von "könnte" , bringen tuts im Regelfall nie etwas.
Wenn Du Dein System neu aufsetzt, lade Dir zusätzlich zum Kaspersky Spybot zur Sicherung Deines Rechners herunter.
Die Seite von Spybot-S&D!

Trotzdem schönen sonnigen Sonntag noch.