| |
| |||||||
Log-Analyse und Auswertung: Keylogger-Log in System32Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
15.07.2007, 15:33
| #1 |
| |  Keylogger-Log in System32 Mir ist in der letzten Zeit aufgefallen, das immer bein Start meines Windows folgendes auftaucht: Persönliche Einstellungen ------------------------------- Persönliche Einstellungen werden vorgenommen: C:\WINDOWS\System32\enter.exe Das hat mich ziemlich misstrauisch gemacht und ich habe mal geschaut, was das denn für eine Exe-Anwendung das denn sei. Es hat sich herausgestellt, das es eine Datei ohne Zuordnung ist. Mit dem Editor geöffnet, hatte ich ein Keylogger-Protokoll in dieser Datei. Jetzt hab ich geschaut, ob ich diesem Keylogger von meinem PC herunter bekomme. Ich habe Kaspersky Antivirus 7 alles durchscannen lassen und habe auch Spybot S&D und Adware SE scannen lassen. Bis jetzt waren es nur Cookies, die entdeckt wurden. Hier habe ich mal ein Hijack-Log eingefügt: Logfile of HijackThis v1.99.1 Scan saved at 15:58:35, on 15.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe G:\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\Explorer.EXE G:\DC\DCPP2Svc.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe G:\MOZILL~1\FIREFOX.EXE C:\WINDOWS\system32\sistray.EXE G:\Java\jre1.6.0_01\bin\jusched.exe G:\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\system32\keyhook.exe G:\Unlocker\UnlockerAssistant.exe G:\TOR\Vidalia\vidalia.exe G:\Eraser\eraser.exe G:\TOR\Privoxy\privoxy.exe G:\TOR\Tor\tor.exe C:\WINDOWS\System32\svchost.exe G:\Grisoft\AVG Anti-Spyware 7.5\guard.exe G:\Mozilla Firefox\firefox.exe J:\DC\DC.exe C:\WINDOWS\system32\taskmgr.exe F:\Master\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://fritz.box/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - F:\All Users\Anwendungsdaten\Prevx\pxbho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [AVP] "G:\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [UnlockerAssistant] "G:\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "G:\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [PrevxOne] "G:\Prevx2\PXConsole.exe" O4 - HKLM\..\Run: [Outpost Firewall] "G:\Agnitum\Outpost Firewall\outpost.exe" /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] G:\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKCU\..\Run: [Vidalia] "G:\TOR\Vidalia\vidalia.exe" O4 - HKCU\..\Run: [Eraser] G:\Eraser\eraser.exe -hide O4 - Global Startup: Privoxy.lnk = G:\TOR\Privoxy\privoxy.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - G:\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183553104062] O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - G:\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - G:\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing) O23 - Service: SecurStar DCPP 3.81+ Service (DCPP2Svc) - Unknown owner - G:\DC\DCPP2Svc.exe O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - G:\Prevx2\PXAgent.exe" -f (file missing) Ich hoffe hier kann mir jemand helfen, da ich nicht ständig mit solchen Sachen zu tun habe. VG E-Jay |
|
15.07.2007, 16:15
| #2 |
  | Keylogger-Log in System32 Dein Misstrauen kann berechtigt sein zumal unter diesem Pfad C:\WINDOWS\System32\enter.exe rein gar nichts im Internet zu finden ist. Unter der "enter.exe" sind aber jede Menge Beiträge zu finden. Da man aus Deinem Log nichts erkennen kann und keine überschnellten Entschlüsse ziehen sollte, rate ich Dir zu einem e-scan nach folgender Anleitung:
__________________http://www.trojaner-board.de/38066-e...ightymarc.html Das Ergebnis dieses scans (Kann ein Weilchen dauern, nur um dich vorzuwarnen) postest Du mit der sog. "find bat". Steht aber alles in der guten Anleitung beschrieben. |
|
15.07.2007, 16:21
| #3 |
| /// TB-Ausbilder    | Keylogger-Log in System32 Hast du die Datei noch? Dann lass sie bitte bei virustotal auswerten.
__________________Ergebnis bitte erst abkopieren, wenn "status:finished" erscheint und dann sicherstellen, dass sowohl der Dateiname der analysierten Datei, sowie Größe, Hash und MD5 drauf sind. lg myrtille |
|
15.07.2007, 16:27
| #4 |
| | Keylogger-Log in System32 Hoffe ich täusche mich, aber Trendmicro gibt folgendes zu dieser Exe heraus: Trend Micro - Sicherheitsinformationen: TROJ_AGOBOT.HO Hi myrtille |
|
16.07.2007, 08:08
| #5 |
| | Keylogger-Log in System32 So ich hab den PC mal die Nacht durchscannen lassen. Hier mal das Ergebnis: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.3.1 Sprache: German F:\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei F:\Master\Eigene Dateien\Downloads\Ultimate Hacker Tools\Script_Kiddie 2.1.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei F:\Master\Eigene Dateien\Downloads\Ultimate Hacker Tools\win_pwCrack 1.8 FINAL.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei F:\Master\Eigene Dateien\Downloads\Ultimate Hacker Tools\Script_Kiddie 2.1.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei F:\Master\Eigene Dateien\Downloads\Ultimate Hacker Tools\win_pwCrack 1.8 FINAL.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File D:\Dokumente und Einstellungen\ X Y.PRIVAT-809B326C\Eigene Dateien\Gedichte\Arbeitsf\hbtools.exe//data0018//data0002 markiert als "not-a-virus:AdWare.Win32.180Solutions.ay". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File G:\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File D:\Dokumente und Einstellungen\X Y.PRIVAT-809B326C\Eigene Dateien\Gedichte\Arbeitsf\hbtools.exe//data0018//data0002 markiert als "not-a-virus:AdWare.Win32.180Solutions.ay". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File G:\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCU\\magnet !!! Offending Key found: HKCU\\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ D:\Dokumente und Einstellungen\Administrator.PRIVAT-809B326C\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4LFJ3O8R\Thunderbird%20Setup%202.0.0.0[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Dokumente und Einstellungen\X Y.PRIVAT-809B326C\Anwendungsdaten\Miranda IM\Erhaltene Dateien\blabla@yahoo.de\Install_Messenger.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Dokumente und Einstellungen\X Y.PRIVAT-809B326C\Lokale Einstellungen\Temp\7mig3220.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... G:\Prevx2\modules\stub_dll_native.bin nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Dokumente und Einstellungen\Administrator.PRIVAT-809B326C\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4LFJ3O8R\Thunderbird%20Setup%202.0.0.0[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Dokumente und Einstellungen\X Y.PRIVAT-809B326C\Anwendungsdaten\Miranda IM\Erhaltene Dateien\blabla@yahoo.de\Install_Messenger.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Dokumente und Einstellungen\X Y.PRIVAT-809B326C\Lokale Einstellungen\Temp\7mig3220.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... G:\Prevx2\modules\stub_dll_native.bin nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 94742 Gescannte Dateien: 94742 Gefundene Viren: 5 Gefundene Viren: 5 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 93 Anzahl Fehler: 93 Dauer des Scans bisher: 02:09:28 Dauer des Scans bisher: 02:09:28 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 8:52:30,05 Batchende: 8:53:03,52 PS: Die Ultimate Hacker Tools sind schon entfernt  |
|
| Themen zu Keylogger-Log in System32 |
| adware, agent, antivirus, antivirus 7, avg, bho, button, datei, desktop, eraser, exe-anwendung, explorer, feedback, firewall, folge, helfen, hijackthis, ics, internet, internet explorer, kaspersky, locker, microsoft, mozilla, mozilla firefox, software, start, system, system32, unlocker, windows, windows xp |
Linear-Darstellung
