Keylogger eingefangen - einfach loszuwerden?

Achim V. · 21.08.2007, 15:29

hallo,
ich habe in einem forum auf ein link zu einem bild geklickt. alles sah so aus wie erwartet. als ich dann auf das eigentliche topic zurück wollte, wurde mir angezeigt ich hätte nicht die berechtigung die seite anzuzeigen - der beitrag ist also gesperrt worden.
das kam mir komisch vor, also hab ich mich erkundigt warum er gesperrt worden ist: verdacht auf keylogger.

hab mir daraufhin spyware doctor runtergeladen, der dann auch schnell einen "keylogger-sters" gefunden hat. mit der free version von spyware doctor kann man allerdings viren usw. finden aber nicht entfernen. da sich die datei im bei den temp. internetfiles verstecken sollte, hab ich einfach cookies und temp internetfiles gelöscht.

beim anschließenden scann ist spyware doctor nichts mehr aufgefallen.

nun meine frage: bin ich das ding so einfach losgeworden oder muss ich noch mehr befürchten?

für antworten wär ich dankbar - kenn mich damit überhaupt nicht aus - danke

cosinus · 21.08.2007, 18:18

Hallo Achim,

Spyware Doctor ist ein dubioses Programm.
Ich würde erstmal vorschlagen du postest ein Hijackthis-Logfile (siehe Signatur).

Achim V. · 21.08.2007, 18:33

oha, dachte das wär recht gut. da sieht man das ich keine ahnung habe

hier das logfile - hoffe es hilft weiter:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:28:15, on 21.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
D:\PROGRA~1\AVG7\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\AVG7\avgupsvc.exe
D:\PROGRA~1\AVG7\avgemc.exe
D:\Programme\BlueSoleil\BTNtService.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Spyware Doctor\svcntaux.exe
C:\WINDOWS\system32\RunDll32.exe
D:\PROGRA~1\AVG7\avgcc.exe
C:\WINDOWS\AGRSMMSG.exe
D:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32\alg.exe
D:\Programme\Winamp\winamp.exe
D:\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SDTray] "D:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] D:\PROGRA~1\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {3DF6983D-D415-4AE5-8106-43987731DAA5} (AldiActiveFormX Element) - https://shop.aldi-fotoservice-druck.de/shop/activex/aldi_nord_express_upload.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\AVG7\avgemc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programme\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware Sandra Lite XI.SP1a\RpcSandraSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7199 bytes

cosinus · 21.08.2007, 19:20

Also Spyware Doctor ist in sofern dubios als dass es anscheinend absichtlich Fehlalarme erzeugt, selber genutzt hatte ich es aber noch nicht.

Dein Logfile sieht übrigens sauber aus, aber diese einträge

Zitat:

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

kannst du wohl fixen

Ob du noch ein Keylogger im System hast kann ich nicht sagen. Ist das denn bisher schonmnal aufgetreten das Problem oder nur in diesem einen Forum?

Achim V. · 21.08.2007, 19:25

danke erstmal für die schnelle antwort. also wenn das logfile sauber ist und das dubiose spy doctor auch nix mehr findet sieht das doch ganz gut aus, oder?

das ist trotz häufiger nutzung noch nie aufgetreten, und die seite war auch nur von den foren admins gesperrt worden, damit nicht mehr leute auf den link gehen. der ersteller hat absichtlich versucht anderen forenbenutzern ein keylogger unterzujubeln.

gibts denn noch ne möglich fest zu stellen ob da noch nen logger drauf ist?

ach ja, zu dem fixem - keine ahnung was ich da machen muss

bin ahnungslos auf diesem gebiet

cosinus · 21.08.2007, 19:31

Zitat:

ach ja, zu dem fixem - keine ahnung was ich da machen muss

1. Beende ALLE Programme, starte HijackThis und klick auf "do a system scan only".
2. Markiere die zu fixenden Einträge, indem du ein Häkchen in der checkbox vor ihnen machst.
3. Klick unten auf "fix checked".

Zitat:

gibts denn noch ne möglich fest zu stellen ob da noch nen logger drauf ist?

Du könntest mit escan (Link in meiner Signatur) oder alternativ dem Kaspersky-Onlinescanner versuchen dem Keylogger auf die Schliche zu kommen.
Falls sich das Ding verstecken sollte, könnte die Chance bestehen, mit Blacklight versteckte Dateien und Prozesse zu sichten.

Evtl. lassen sich auch krumme Dateien mit Filelist aufspüren:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Achim V. · 21.08.2007, 19:49

danke

- also, gefixt ist es schonmal
- lade gerade kaspersky
- und hier ist der filelist log der letzten 30 tage:

Verzeichnis von C:\

21.08.2007 20:34 2.145.386.496 pagefile.sys

Verzeichnis von C:\WINDOWS\system32

21.08.2007 20:34 2.206 wpa.dbl
21.08.2007 20:34 88.566 nvapps.xml
21.08.2007 15:17 39.992 perfc009.dat
21.08.2007 15:17 311.604 perfh009.dat
21.08.2007 15:17 316.594 perfh007.dat
21.08.2007 15:17 48.156 perfc007.dat
21.08.2007 15:17 723.744 PerfStringBackup.INI
21.08.2007 14:57 43.520 CmdLineExt03.dll
03.08.2007 06:34 16.789.464 MRT.exe
19.07.2007 08:56 3.583.488 mshtml.dll

Verzeichnis von C:\WINDOWS\Prefetch

21.08.2007 20:40 14.122 FIND.EXE-0EC32F1E.pf
21.08.2007 20:40 14.444 CMD.EXE-087B4001.pf
21.08.2007 20:39 31.870 WINRAR.EXE-1F2395DA.pf
21.08.2007 20:36 110.818 IEXPLORE.EXE-2CA9778D.pf
21.08.2007 20:35 23.258 HIJACKTHIS.EXE-16BE1076.pf
21.08.2007 20:35 23.482 WUAUCLT.EXE-399A8E72.pf
21.08.2007 20:35 23.576 TASKMGR.EXE-20256C55.pf
21.08.2007 20:35 38.654 WMIPRVSE.EXE-28F301A9.pf
21.08.2007 20:35 1.055.230 NTOSBOOT-B00DFAAD.pf
21.08.2007 19:33 89.682 UPDATE.EXE-09551B75.pf
21.08.2007 19:30 14.774 RUNDLL32.EXE-268BFF96.pf
21.08.2007 19:28 16.872 NOTEPAD.EXE-336351A9.pf
21.08.2007 19:14 104.434 WINAMP.EXE-0DA1BB35.pf
21.08.2007 19:14 14.726 RUNDLL32.EXE-451FC2C0.pf
21.08.2007 19:12 19.852 REGCLEANR.EXE-26B0983B.pf
21.08.2007 19:12 42.362 WGATRAY.EXE-0ED38BED.pf
21.08.2007 19:09 76.870 DWWIN.EXE-30875ADC.pf
21.08.2007 19:09 17.560 ALG.EXE-0F138680.pf
21.08.2007 19:09 39.544 SDTRAYAPP.EXE-2502B671.pf
21.08.2007 17:58 17.350 REGEDIT.EXE-1B606482.pf
21.08.2007 17:49 151.076 LOGON.SCR-151EFAEA.pf
21.08.2007 17:10 520.282 Layout.ini
21.08.2007 16:55 83.684 MIRANDA32.EXE-23B16049.pf
21.08.2007 15:59 52.496 SWDOCTOR.EXE-2A83CC8B.pf
21.08.2007 15:49 62.688 RUNDLL32.EXE-214D1467.pf
21.08.2007 15:49 70.242 RUNDLL32.EXE-248A0596.pf
21.08.2007 15:49 60.322 RUNDLL32.EXE-21C38000.pf
21.08.2007 15:38 36.528 AVGWB.DAT-322D3827.pf
21.08.2007 15:17 32.946 WMIADAP.EXE-2DF425B2.pf
21.08.2007 15:17 47.078 SWDSVC.EXE-2015539E.pf
21.08.2007 15:17 50.558 DRWTSN32.EXE-2B4B52AC.pf
21.08.2007 15:16 24.454 SVCNTAUX.EXE-038AF3D5.pf
21.08.2007 15:16 14.502 NET.EXE-01A53C2F.pf
21.08.2007 15:16 16.572 NET1.EXE-029B9DB4.pf
21.08.2007 15:16 24.666 RUNDLL32.EXE-1687FC74.pf
21.08.2007 15:16 48.724 IS-USPFR.TMP-1F0A5F76.pf
21.08.2007 15:16 15.040 SDASETUP.EXE-0C9D8788.pf
21.08.2007 15:14 29.388 AD-AWARE.EXE-32F04E15.pf
21.08.2007 14:57 17.662 RUNDLL32.EXE-2E5AF1D7.pf
21.08.2007 14:57 19.498 GAME.EXE-30A9123B.pf
21.08.2007 14:57 17.470 RUNDLL32.EXE-2A94BB85.pf
21.08.2007 14:57 8.840 DIABLO II.EXE-3957FFAF.pf
21.08.2007 14:49 72.530 ICQLITE.EXE-27EB5A87.pf
21.08.2007 12:34 17.090 D2L_INSTALL.EXE-17CF0C42.pf
21.08.2007 12:34 27.450 SETUP.EXE-0F40F254.pf
21.08.2007 11:33 13.150 CALC.EXE-02CD573A.pf
20.08.2007 21:46 47.984 HL.EXE-3B2DD332.pf
20.08.2007 21:46 50.928 STEAM.EXE-299D6570.pf
20.08.2007 21:29 50.520 HELPSVC.EXE-2878DDA2.pf
20.08.2007 19:06 15.220 HPZENG05.EXE-00C9A3B8.pf
20.08.2007 19:06 7.700 HPZSTW05.EXE-085AE7BF.pf
20.08.2007 19:06 11.476 HPZSTC05.EXE-29C9AEF3.pf
20.08.2007 10:34 55.904 SACRED.EXE-360617EF.pf
20.08.2007 10:33 123.034 DUMPREP.EXE-1B46F901.pf
20.08.2007 10:33 32.302 PROJECT64.EXE-00B2E807.pf
20.08.2007 10:01 81.522 AVGINET.EXE-3757C557.pf
20.08.2007 00:00 34.164 WKSCAL.EXE-28DC9075.pf
19.08.2007 21:47 21.080 ADOBELM_CLEANUP.0001-01534425.pf
19.08.2007 21:47 23.084 ADOBELMSVC.EXE-0665217B.pf
19.08.2007 21:47 75.908 PHOTOSHOP.EXE-261082B3.pf
19.08.2007 21:47 16.410 RUNDLL32.EXE-31F92FAA.pf
19.08.2007 21:28 51.714 BRIDGE.EXE-0DEFECDB.pf
19.08.2007 21:24 19.020 SVCHOST.EXE-3530F672.pf
19.08.2007 21:04 66.872 NEROSTARTSMART.EXE-1999FC84.pf
19.08.2007 21:03 17.508 IMAPI.EXE-0BF740A4.pf
19.08.2007 21:02 54.482 NERO.EXE-03BE1693.pf
19.08.2007 21:02 8.000 WKCALREM.EXE-21E976E2.pf
19.08.2007 21:02 16.762 WKDSTORE.EXE-31475208.pf
19.08.2007 21:02 57.894 MSWORKS.EXE-118DC2B4.pf
19.08.2007 21:01 67.032 SETUP.EXE-03F6D09C.pf
19.08.2007 21:01 6.482 NEROCHECK.EXE-092C6DFA.pf
19.08.2007 21:00 75.216 SETUP.EXE-1AD7A69E.pf
19.08.2007 20:59 29.336 NEROVISION.EXE-37CCC503.pf
19.08.2007 20:59 19.580 WMFDIST.EXE-3574423A.pf
19.08.2007 20:59 20.648 SETUP_WM.EXE-27C661AD.pf
19.08.2007 20:59 29.896 SETUP.EXE-19EB23C6.pf
19.08.2007 20:58 20.658 SETUP.EXE-241BEB28.pf
19.08.2007 20:53 40.906 RUNDLL32.EXE-13404D23.pf
19.08.2007 20:52 45.550 IEDW.EXE-2D047874.pf
19.08.2007 19:11 70.668 GOOGLEEARTH.EXE-0978F2AD.pf
19.08.2007 18:41 67.686 DFRGNTFS.EXE-269967DF.pf
19.08.2007 18:41 16.058 DEFRAG.EXE-273F131E.pf
19.08.2007 18:18 149.350 MSIEXEC.EXE-2F8A8CAE.pf
19.08.2007 13:29 19.650 AUTORUN.EXE-08A9DED1.pf
19.08.2007 13:20 38.058 AVGW.EXE-0F5DE1BD.pf
16.08.2007 21:30 8.868 ~E5.0001-1D54A458.pf
16.08.2007 21:30 57.312 VT3.EXE-2A818400.pf

Verzeichnis von C:\WINDOWS

21.08.2007 20:38 478.548 setupapi.log
21.08.2007 20:35 1.594.185 WindowsUpdate.log
21.08.2007 20:34 0 0.log
21.08.2007 20:34 2.048 bootstat.dat
21.08.2007 19:56 32.638 SchedLgU.Txt
21.08.2007 15:16 217 SpywareDoctor505Installation.log
20.08.2007 10:34 69 NeroDigital.ini
20.08.2007 00:34 600 wiadebug.log
19.08.2007 21:24 50 wiaservc.log
19.08.2007 20:59 55.389 wmsetup.log
19.08.2007 13:33 52.224 ipuninst.exe
15.08.2007 12:37 56.457 spupdsvc.log
15.08.2007 11:34 239.399 comsetup.log
15.08.2007 11:34 1.374 imsins.log
15.08.2007 11:34 269.400 tsoc.log
15.08.2007 11:34 144.316 ntdtcsetup.log
15.08.2007 11:34 109.349 iis6.log
15.08.2007 11:34 38.364 ocmsn.log
15.08.2007 11:34 20.083 KB936021.log
15.08.2007 11:34 343.904 ocgen.log
15.08.2007 11:34 35.120 msgsocm.log
15.08.2007 11:34 690.341 FaxSetup.log
15.08.2007 11:34 75.711 updspapi.log
15.08.2007 11:34 1.374 imsins.BAK
15.08.2007 11:34 19.596 KB938828.log
15.08.2007 11:34 18.966 KB921503.log
15.08.2007 11:34 18.765 KB938829.log
15.08.2007 11:34 23.373 KB937143-IE7.log
15.08.2007 11:33 12.037 KB938127-IE7.log
15.08.2007 11:33 285.122 msxml4-KB936181-enu.LOG
15.08.2007 11:33 9.282 KB936782.log
02.08.2007 19:03 204.708 setupact.log

Verzeichnis von C:\WINDOWS\tasks

21.08.2007 20:34 6 SA.DAT
04.08.2004 14:00 65 desktop.ini

Verzeichnis von C:\WINDOWS\temp

21.08.2007 20:34 409 WGANotify.settings
21.08.2007 20:34 255 WGAErrLog.txt
15.08.2007 05:54 113 DFC5A2B2.TMP
17.07.2007 17:10 0 ~SWV0517.TMP

Verzeichnis von C:\DOKUME~1\Name\LOKALE~1\Temp

21.08.2007 20:40 121.520 filelist.txt
21.08.2007 15:47 96.597 $71690828.t$m
21.08.2007 14:57 4.592 SIntfIcn.ani
21.08.2007 14:57 12.305 SIntf16.dll
21.08.2007 14:57 24.744 SIntfNT.dll
21.08.2007 14:57 20.016 SIntf32.dll
20.08.2007 10:29 18.792 BNe5.tmp
19.08.2007 21:47 59.964 Adobelm_Cleanup.0001
19.08.2007 21:47 899 TWAIN.LOG
19.08.2007 21:47 4 Twain001.Mtx
19.08.2007 21:47 156 Twunk001.MTX
19.08.2007 21:03 0 CacheInfo.dnl
19.08.2007 19:47 16.384 ~DF313D.tmp
17.08.2007 17:48 72.192 ~e5.0001
17.08.2007 03:14 119 DFC5A2B2.TMP
15.08.2007 11:33 596 hpzcoi31.log
15.08.2007 11:33 596 hpzcoi30.log
14.08.2007 20:43 0 5E98BC.dmp
14.08.2007 20:31 16.384 ~DFE6F7.tmp
14.08.2007 13:05 5.056 RXC26T6A.htm
14.08.2007 13:05 12.997 3PS9YLPS.htm
14.08.2007 12:57 12.997 EVUSYIWM.htm
14.08.2007 12:57 5.056 F7RVCIGX.htm
13.08.2007 11:33 2.812 B50CF70D.txt
11.08.2007 19:15 16.384 ~DFA8AC.tmp
11.08.2007 19:15 512 ~DFA8B8.tmp
11.08.2007 19:15 16.384 ~DFA8C8.tmp
11.08.2007 19:15 512 ~DFA8D4.tmp
11.08.2007 19:15 16.384 ~DFA8E4.tmp
11.08.2007 19:15 512 ~DFA8F0.tmp
11.08.2007 19:15 16.384 ~DFA890.tmp
11.08.2007 19:15 512 ~DFA89C.tmp
11.08.2007 19:14 16.384 ~DFE2DE.tmp
11.08.2007 19:14 16.384 ~DFD2FB.tmp
11.08.2007 19:14 512 ~DFD307.tmp
11.08.2007 13:28 23.552 BNe18.tmp
10.08.2007 20:40 16.384 ~DF3190.tmp
10.08.2007 20:40 512 ~DF319C.tmp
10.08.2007 20:40 16.384 ~DF31AC.tmp
10.08.2007 20:40 512 ~DF31B8.tmp
10.08.2007 20:40 16.384 ~DF31C8.tmp
10.08.2007 20:40 512 ~DF31D4.tmp
10.08.2007 20:40 512 ~DF31F0.tmp
10.08.2007 20:40 16.384 ~DF31E4.tmp
10.08.2007 20:21 16.384 ~DF411A.tmp
10.08.2007 20:21 512 ~DF3994.tmp
10.08.2007 20:21 16.384 ~DF3988.tmp
08.08.2007 20:27 319.180.546 ~DF1F65.tmp
08.08.2007 20:27 2.392.064 ~DF57BB.tmp
08.08.2007 20:27 181.690 ~WK54.tmp
08.08.2007 20:27 196.608 ~DF5786.tmp
08.08.2007 20:27 168.400 ~WK53.tmp
08.08.2007 20:27 180.224 ~DF5699.tmp
08.08.2007 20:27 290.569 ~WK52.tmp
08.08.2007 20:27 294.912 ~DF52E8.tmp
08.08.2007 20:27 424.284 ~WK51.tmp
08.08.2007 20:27 442.368 ~DF4C5B.tmp
08.08.2007 20:27 284.229 ~WK50.tmp
08.08.2007 20:27 294.912 ~DF4BA6.tmp
08.08.2007 20:26 293.461 ~WK4F.tmp
08.08.2007 20:26 311.296 ~DF4AEC.tmp
08.08.2007 20:26 531.789 ~WK4E.tmp
08.08.2007 20:26 540.672 ~DF4440.tmp
08.08.2007 20:26 14.031 ~WK4D.tmp
08.08.2007 20:26 16.384 ~DF43FF.tmp
08.08.2007 20:26 8.740 ~WK4C.tmp
08.08.2007 20:26 16.384 ~DF43BC.tmp
08.08.2007 20:26 19.773 ~WK4B.tmp
08.08.2007 20:26 32.768 ~DF437B.tmp
08.08.2007 20:26 16.384 ~DF4334.tmp
08.08.2007 20:26 9.076 ~WK4A.tmp
08.08.2007 20:26 82.450 ~WK49.tmp
08.08.2007 20:26 98.304 ~DF42F3.tmp
08.08.2007 20:26 445.916 ~WK48.tmp
08.08.2007 20:26 458.752 ~DF3A2F.tmp
08.08.2007 20:26 329.874 ~WK47.tmp
08.08.2007 20:26 344.064 ~DF3950.tmp
08.08.2007 20:26 30.595 ~WK46.tmp
08.08.2007 20:26 32.768 ~DF376F.tmp
08.08.2007 20:26 297.818 ~WK45.tmp
08.08.2007 20:26 311.296 ~DF36A4.tmp
08.08.2007 20:26 10.165 ~WK44.tmp
08.08.2007 20:26 16.384 ~DF3661.tmp
08.08.2007 20:26 10.454 ~WK43.tmp
08.08.2007 20:26 16.384 ~DF3620.tmp
08.08.2007 20:26 1.885.026 ~WK42.tmp
08.08.2007 20:26 1.916.928 ~DF3594.tmp
08.08.2007 20:26 298.143 ~WK41.tmp
08.08.2007 20:26 311.296 ~DF354F.tmp
08.08.2007 20:26 1.192.911 ~WK40.tmp
08.08.2007 20:26 1.212.416 ~DF34BE.tmp
08.08.2007 20:26 1.072.850 ~WK3F.tmp
08.08.2007 20:26 1.097.728 ~DF33F7.tmp
08.08.2007 20:26 549.393 ~WK3E.tmp
08.08.2007 20:26 557.056 ~DF3384.tmp
08.08.2007 20:26 474.442 ~WK3D.tmp
08.08.2007 20:26 491.520 ~DF332D.tmp
08.08.2007 20:26 31.723 ~WK3C.tmp
08.08.2007 20:26 49.152 ~DF32EC.tmp
08.08.2007 20:26 405.859 ~WK3B.tmp
08.08.2007 20:26 425.984 ~DF3292.tmp
08.08.2007 20:26 272.093 ~WK3A.tmp
08.08.2007 20:26 278.528 ~DF324B.tmp
08.08.2007 20:26 182.621 ~WK39.tmp
08.08.2007 20:26 196.608 ~DF3208.tmp
08.08.2007 20:26 110.364 ~WK38.tmp
08.08.2007 20:26 114.688 ~DF31B9.tmp
08.08.2007 20:26 19.830 ~WK37.tmp
08.08.2007 20:26 32.768 ~DF3178.tmp
08.08.2007 20:26 31.782 ~WK36.tmp
08.08.2007 20:26 49.152 ~DF312F.tmp
08.08.2007 20:26 114.543 ~WK35.tmp
08.08.2007 20:26 131.072 ~DF30E4.tmp
08.08.2007 20:26 7.320 ~WK34.tmp
08.08.2007 20:26 16.384 ~DF30A3.tmp
08.08.2007 20:26 908.877 ~WK33.tmp
08.08.2007 20:26 917.504 ~DF3042.tmp
08.08.2007 20:26 15.003 ~WK32.tmp
08.08.2007 20:26 32.768 ~DF3001.tmp
08.08.2007 20:26 14.852 ~WK31.tmp
08.08.2007 20:26 32.768 ~DF2FC0.tmp
08.08.2007 20:26 32.859 ~WK30.tmp
08.08.2007 20:26 49.152 ~DF2F7F.tmp
08.08.2007 20:26 11.282 ~WK2F.tmp
08.08.2007 20:26 16.384 ~DF2F3F.tmp
08.08.2007 20:26 3.776 ~WK2E.tmp
08.08.2007 20:26 16.384 ~DF2EF5.tmp
08.08.2007 20:26 51.683 ~WK2D.tmp
08.08.2007 20:26 65.536 ~DF2EAC.tmp
08.08.2007 20:26 16.680 ~WK2C.tmp
08.08.2007 20:26 32.768 ~DF2E6B.tmp
08.08.2007 20:26 12.596 ~WK2B.tmp
08.08.2007 20:26 16.384 ~DF2E2C.tmp
08.08.2007 20:26 16.384 ~DF2DEB.tmp
08.08.2007 20:26 14.480 ~WK2A.tmp
08.08.2007 20:26 14.009 ~WK29.tmp
08.08.2007 20:26 16.384 ~DF2DAA.tmp
08.08.2007 20:26 284.500 ~WK28.tmp
08.08.2007 20:26 294.912 ~DF2D52.tmp
08.08.2007 20:26 155.990 ~WK27.tmp
08.08.2007 20:26 163.840 ~DF2D0F.tmp
08.08.2007 20:26 36.833 ~WK26.tmp
08.08.2007 20:26 49.152 ~DF2CC6.tmp
08.08.2007 20:26 30.365 ~WK25.tmp
08.08.2007 20:26 32.768 ~DF2C85.tmp
08.08.2007 20:26 38.027 ~WK24.tmp
08.08.2007 20:26 49.152 ~DF2C42.tmp
08.08.2007 20:26 27.229 ~WK23.tmp
08.08.2007 20:26 32.768 ~DF2BFB.tmp
08.08.2007 20:26 400.335 ~WK22.tmp
08.08.2007 20:26 409.600 ~DF2B9B.tmp
08.08.2007 20:26 203.655 ~WK21.tmp
08.08.2007 20:26 212.992 ~DF2B4C.tmp
08.08.2007 20:26 16.384 ~DF2B0B.tmp
08.08.2007 20:26 8.945 ~WK20.tmp
08.08.2007 20:26 49.049 ~WK1F.tmp
08.08.2007 20:26 65.536 ~DF2AC4.tmp
08.08.2007 20:26 168.129 ~WK1E.tmp
08.08.2007 20:26 180.224 ~DF2A7D.tmp
08.08.2007 20:26 436.762 ~WK1D.tmp
08.08.2007 20:26 442.368 ~DF2A26.tmp
08.08.2007 20:26 420.294 ~WK1C.tmp
08.08.2007 20:26 425.984 ~DF29C9.tmp
08.08.2007 20:26 16.384 ~DF2986.tmp
08.08.2007 20:26 8.740 ~WK1B.tmp
08.08.2007 20:26 743.145 ~WK1A.tmp
08.08.2007 20:26 753.664 ~DF2910.tmp
08.08.2007 20:26 471.037 ~WK19.tmp
08.08.2007 20:26 491.520 ~DF28AD.tmp
08.08.2007 20:26 60.126 ~WK18.tmp
08.08.2007 20:26 65.536 ~DF2864.tmp
08.08.2007 20:26 128.389 ~WK17.tmp
08.08.2007 20:26 131.072 ~DF2821.tmp
08.08.2007 20:26 32.768 ~DF27E0.tmp
08.08.2007 20:26 24.208 ~WK16.tmp
08.08.2007 20:26 738.077 ~WK15.tmp
08.08.2007 20:26 753.664 ~DF2770.tmp
08.08.2007 20:26 728.529 ~WK14.tmp
08.08.2007 20:26 737.280 ~DF270E.tmp
08.08.2007 20:26 15.262 ~WK13.tmp
08.08.2007 20:26 32.768 ~DF26CD.tmp
08.08.2007 20:26 32.768 ~DF268C.tmp
08.08.2007 20:26 18.949 ~WK12.tmp
08.08.2007 20:26 556.852 ~WK11.tmp
08.08.2007 20:26 573.440 ~DF262B.tmp
08.08.2007 20:26 18.225 ~WK10.tmp
08.08.2007 20:26 32.768 ~DF25E8.tmp
08.08.2007 20:26 27.802 ~WKF.tmp
08.08.2007 20:26 32.768 ~DF25A7.tmp
08.08.2007 20:26 34.268 ~WKE.tmp
08.08.2007 20:26 49.152 ~DF2560.tmp
08.08.2007 20:26 32.768 ~DF251F.tmp
08.08.2007 20:26 15.596 ~WKD.tmp
08.08.2007 20:26 738.077 ~WKC.tmp
08.08.2007 20:26 753.664 ~DF24BC.tmp
08.08.2007 20:26 728.529 ~WKB.tmp
08.08.2007 20:26 737.280 ~DF244F.tmp
08.08.2007 20:26 15.262 ~WKA.tmp
08.08.2007 20:26 32.768 ~DF240C.tmp
08.08.2007 20:26 32.768 ~DF23C9.tmp
08.08.2007 20:26 18.949 ~WK9.tmp
08.08.2007 20:26 556.852 ~WK8.tmp
08.08.2007 20:26 573.440 ~DF2370.tmp
08.08.2007 20:26 18.225 ~WK7.tmp
08.08.2007 20:26 32.768 ~DF2327.tmp
08.08.2007 20:26 27.802 ~WK6.tmp
08.08.2007 20:26 32.768 ~DF22E6.tmp
08.08.2007 20:26 34.268 ~WK5.tmp
08.08.2007 20:26 49.152 ~DF229D.tmp
08.08.2007 20:26 15.596 ~WK4.tmp
08.08.2007 20:26 32.768 ~DF225E.tmp
08.08.2007 20:26 25.553 ~WK3.tmp
08.08.2007 20:26 32.768 ~DF221B.tmp
08.08.2007 20:26 30.910 ~WK2.tmp
08.08.2007 20:26 32.768 ~DF21D9.tmp
08.08.2007 20:26 410.149 ~WK1.tmp
08.08.2007 20:26 425.984 ~DF212F.tmp
08.08.2007 20:26 680.520 ~qil372E.WMF
08.08.2007 20:26 16.384 ~DF1F49.tmp
08.08.2007 19:37 16.384 ~WRF0003.tmp
08.08.2007 12:21 18.196 BNe14.tmp
07.08.2007 12:29 16.384 ~DF91C6.tmp
07.08.2007 12:29 16.384 ~DF8A85.tmp
04.08.2007 18:40 16.384 ~DF34FE.tmp
04.08.2007 18:40 16.384 ~DF2EAB.tmp
04.08.2007 18:39 16.384 ~DFD203.tmp
04.08.2007 18:39 16.384 ~DFC81E.tmp
03.08.2007 17:22 16.384 ~DFCDC2.tmp
02.08.2007 18:27 16.384 ~DF2078.tmp
31.07.2007 00:57 16.384 ~DF3B22.tmp
30.07.2007 13:29 13.971 BNeE.tmp
29.07.2007 21:55 16.384 ~DFE85D.tmp
29.07.2007 21:55 16.384 ~DFE18C.tmp
29.07.2007 21:52 16.384 ~DF8B8A.tmp
29.07.2007 21:52 16.384 ~DF81E7.tmp
24.07.2007 17:54 0 Perflib_Perfdata_b58.dat
24.07.2007 17:48 16.384 ~DFDAB4.tmp
24.07.2007 16:06 16.384 ~DF9486.tmp
24.07.2007 02:33 16.384 ~DF98A3.tmp
23.07.2007 14:11 16.384 ~DF2A40.tmp
23.07.2007 14:11 16.384 ~DF2A5C.tmp
23.07.2007 14:11 16.384 ~DF2A78.tmp
23.07.2007 14:11 16.384 ~DF2A94.tmp
23.07.2007 14:11 16.384 ~DF9B5.tmp
23.07.2007 14:11 16.384 ~DF389.tmp
22.07.2007 22:32 16.384 ~DFE498.tmp
22.07.2007 22:32 16.384 ~DFD73D.tmp
22.07.2007 22:32 512 ~DFD749.tmp
20.07.2007 16:22 639.720 ~qil306A.WMF
20.07.2007 16:13 639.720 ~qil2970.WMF
20.07.2007 16:06 667.320 ~qil23E0.WMF

cosinus · 21.08.2007, 19:53

Verdächtige Dateien hab ich dadrin nicht gesehen.
Aber du könntest mal deine temp. Dateien löschen, helfen kann dir dabei der CCleaner.

Achim V. · 21.08.2007, 19:56

so schnell hast du das ganze durcheinander gelesen? respekt

also kaspersky ist gerade am laufen - wenn der auch nix findet wir wohl alles sauber sein,oder?

cosinus · 21.08.2007, 20:00

Zitat:

also kaspersky ist gerade am laufen - wenn der auch nix findet wir wohl alles sauber sein,oder?

Mit hoher Wahrscheinlichkeit ja.

Haste Blacklight mal durchlaufen lassen?

Achim V. · 21.08.2007, 20:06

also der kaspersky critical areas check hat nix gefunden

lasse nun nochmal blacklight laufen. gibt blacklight mir direkt auskunft oder muss ich auch noch wieder nen log posten?

edit: also ich habs laufen lassen, dann stand da scanning for hidden items, und dann kamen nach ner zeit "." (Punkte). und dann nach 1,5 reihen mit punkten hat sich das program beendet. ist das nun gut oder schlecht?

das ist der inhalt der datei, die blacklight erstellt hat:

08/21/07 21:03:44 [Info]: BlackLight Engine 1.0.64 initialized
08/21/07 21:03:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/21/07 21:03:44 [Note]: 7019 4
08/21/07 21:03:44 [Note]: 7005 0
08/21/07 21:03:45 [Note]: 7006 0
08/21/07 21:03:45 [Note]: 7011 1652
08/21/07 21:03:46 [Note]: 7026 0
08/21/07 21:03:46 [Note]: 7026 0
08/21/07 21:03:49 [Note]: FSRAW library version 1.7.1022
08/21/07 21:08:44 [Note]: 7007 0

cosinus · 21.08.2007, 20:29

Zitat:

und dann nach 1,5 reihen mit punkten hat sich das program beendet. ist das nun gut oder schlecht?

Öhm

Das ist eher ein schlechtes Zeichen.

Achim V. · 21.08.2007, 20:31

was soll denn eigentlich passieren?
hattest du schon mein edit gelesen mit dem dateiinhalt?

edit: hatte nicht gesehen dass es auch eine "graphical user interface version" gibt - hatte die command line version.
hab nun die anderen laufen lassen. ergebniss: nichts gefunden

cosinus · 21.08.2007, 20:44

Zitat:

edit: hatte nicht gesehen dass es auch eine "graphical user interface version" gibt - hatte die command line version.
hab nun die anderen laufen lassen. ergebniss: nichts gefunden

Ah okay - hab mich schon gewundert, was für GUI-Version du da hast

So dürfte das Ergebnis i.O. gehen, auch das Logfile sieht ok aus.

Achim V. · 21.08.2007, 20:45

dann seh ich dich sache mal als erledigt an - danke für alles

21.08.2007, 18:18	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Keylogger eingefangen - einfach loszuwerden? Hallo Achim, Spyware Doctor ist ein dubioses Programm. Ich würde erstmal vorschlagen du postest ein Hijackthis-Logfile (siehe Signatur). __________________ __________________

21.08.2007, 19:53	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Keylogger eingefangen - einfach loszuwerden? Verdächtige Dateien hab ich dadrin nicht gesehen. Aber du könntest mal deine temp. Dateien löschen, helfen kann dir dabei der CCleaner. __________________ Logfiles bitte immer in CODE-Tags posten

Keylogger eingefangen - einfach loszuwerden?

Plagegeister aller Art und deren Bekämpfung: Keylogger eingefangen - einfach loszuwerden?