|
Plagegeister aller Art und deren Bekämpfung: keylogger/trojaner durch exeklick?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.09.2008, 18:45 | #1 |
| keylogger/trojaner durch exeklick? Nabend, um es kurz zu halten, ich habe vorhin auf eine EXE geklickt, die ich von einem Freund geschickt bekam. Keine verdächtige Exe, bloß eine kleine Hilfe für ein Spiel, welche auch funktionierte. Aber nach einiger Zeit stellte MSN fest, dass sich jmd. mit dieser Adresse auf einem anderen PC anmeldete & bekam sofort Panik. Ich hab grad 'ne Systemwiederherstellung gemacht, aber bin mir nicht sicher, ob der vermeitliche Keylogger weg ist. Mein Viren Programm hatte aber auch vorher nichts gefunden gehabt. Ich habe das mal mit der filelist gemacht, aber poste nur den heutigen Tag? Da ich mir sehr sicher bin, dass wenn ich mir was eingefangen haben sollte, es von dem Exeklick ausging. ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 704A-D1C9 Verzeichnis von C:\ 10.09.2008 19:09 2.145.386.496 pagefile.sys ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 704A-D1C9 Verzeichnis von C:\WINDOWS\system32 10.09.2008 19:09 13.646 wpa.dbl 10.09.2008 19:08 11.564 DVCState-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx 10.09.2008 19:08 1.080 settingsbkup.sfm 10.09.2008 19:08 1.080 settings.sfm 10.09.2008 19:08 31.056 BMXState-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx 10.09.2008 19:08 31.056 BMXStateBkp-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx 10.09.2008 19:08 30.528 BMXCtrlState-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx 10.09.2008 19:08 30.528 BMXBkpCtrlState-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 704A-D1C9 Verzeichnis von C:\WINDOWS\Prefetch 10.09.2008 19:32 11.032 FIND.EXE-0EC32F1E.pf 10.09.2008 19:32 10.950 CMD.EXE-087B4001.pf 10.09.2008 19:32 93.968 WINRAR.EXE-3588DFE8.pf 10.09.2008 19:32 16.254 VERCLSID.EXE-3667BD89.pf 10.09.2008 19:31 30.014 AVWSC.EXE-3AC95876.pf 10.09.2008 19:31 28.748 WINZIP32.EXE-335422C1.pf 10.09.2008 19:29 15.878 NOTEPAD.EXE-336351A9.pf 10.09.2008 19:29 28.538 WMIPRVSE.EXE-28F301A9.pf 10.09.2008 19:28 19.862 HIJACKTHIS.EXE-2F1AF7AD.pf 10.09.2008 19:22 73.360 FIREFOX.EXE-1D57670A.pf 10.09.2008 19:17 12.514 RUNDLL32.EXE-2B626000.pf 10.09.2008 19:17 15.026 CTXFISPI.EXE-13A6C573.pf 10.09.2008 19:17 10.958 READER_SL.EXE-2FAFE67A.pf 10.09.2008 19:17 19.936 CTHELPER.EXE-0D7EC0DB.pf 10.09.2008 19:17 15.808 DAEMON.EXE-28AD7272.pf 10.09.2008 19:17 12.848 SIMPLESCREENSHOT.EXE-29E55D3E.pf 10.09.2008 19:17 27.206 RUNDLL32.EXE-1340EF7F.pf 10.09.2008 19:17 35.102 AVGNT.EXE-18356F59.pf 10.09.2008 19:17 27.554 NWIZ.EXE-2D0F9FBC.pf 10.09.2008 19:17 23.832 RUNDLL32.EXE-415F88EC.pf 10.09.2008 19:17 70.228 WUAUCLT.EXE-399A8E72.pf 10.09.2008 19:17 16.640 RTHDCPL.EXE-06918CFA.pf 10.09.2008 19:17 14.342 SKYTEL.EXE-12751D3A.pf 10.09.2008 19:16 10.516 ALCMTR.EXE-235F9538.pf 10.09.2008 19:16 82.184 EXPLORER.EXE-082F38A9.pf 10.09.2008 19:16 39.522 USERINIT.EXE-30B18140.pf 10.09.2008 19:16 37.768 LOGONUI.EXE-0AF22957.pf 10.09.2008 19:16 15.676 SHELLSWP.EXE-0521BCD9.pf 10.09.2008 19:16 74.684 THWIZARD.EXE-2BFE5184.pf 10.09.2008 19:16 34.564 WLLOGINPROXY.EXE-33926225.pf 10.09.2008 19:15 46.568 CTFMON.EXE-0E17969B.pf 10.09.2008 19:15 53.876 STEAM.EXE-040EA66F.pf 10.09.2008 19:11 1.103.566 NTOSBOOT-B00DFAAD.pf 10.09.2008 19:06 30.442 HELPHOST.EXE-247D2792.pf 10.09.2008 19:06 61.328 RSTRUI.EXE-03C49A96.pf 10.09.2008 19:06 48.830 HELPSVC.EXE-2878DDA2.pf 10.09.2008 19:06 10.244 JUSCHED.EXE-07D7A15E.pf 10.09.2008 19:06 21.648 APDPROXY.EXE-0BCD8D9C.pf 10.09.2008 19:06 15.824 HELPCTR.EXE-3862B6F5.pf 10.09.2008 19:06 65.864 MSNMSGR.EXE-3ACF7E89.pf 10.09.2008 19:06 12.020 CTXFIHLP.EXE-1CFA348E.pf 10.09.2008 19:06 62.964 RUNDLL32.EXE-1BC69D2D.pf 10.09.2008 19:05 64.712 THWIZARD.EXE-3736D913.pf 10.09.2008 19:05 15.784 SHELLSWP.EXE-3583FF51.pf 10.09.2008 19:04 58.614 RUNDLL32.EXE-132B2031.pf 10.09.2008 19:02 33.990 SET1ED.TMP-0AED4ABC.pf 10.09.2008 19:02 15.884 RUNDLL32.EXE-43A1B8AA.pf 10.09.2008 19:01 13.074 UNINSTALL_CSS.EXE-1743AF93.pf 10.09.2008 19:01 20.604 UNINSTALL_STEAM.EXE-30954A66.pf 10.09.2008 19:01 18.350 MSIEXEC.EXE-2F8A8CAE.pf 10.09.2008 18:53 18.706 TASKMGR.EXE-20256C55.pf 10.09.2008 18:39 21.098 RUNDLL32.EXE-188DF14E.pf 10.09.2008 18:21 96.348 ICQ.EXE-3425F561.pf 10.09.2008 18:16 49.614 AVSCAN.EXE-0D0CD933.pf 10.09.2008 17:59 13.166 RUNDLL32.EXE-451FC2C0.pf 10.09.2008 17:57 27.314 RUNDLL32.EXE-44A0B4BC.pf 10.09.2008 17:49 51.774 TEAMSPEAK.EXE-1C1FA5B1.pf 10.09.2008 17:42 21.660 TCPVIEW.EXE-1C436AAC.pf 10.09.2008 17:40 54.530 GAMEOVERLAYUI.EXE-36D60E7B.pf 10.09.2008 17:40 47.730 HL2.EXE-363D718D.pf 10.09.2008 17:39 9.050 HLSW.EXE-1E346DFD.pf 10.09.2008 17:38 19.792 RUNDLL32.EXE-2E5AF1D7.pf 10.09.2008 16:31 15.852 HLSW_1_2_1_2_SETUP.EXE-023C937E.pf 10.09.2008 16:31 18.720 IS-L2EOG.TMP-38A9A150.pf 10.09.2008 16:28 11.946 HLSW.EXE-2B684316.pf 10.09.2008 16:28 12.598 HLSWEXE_KEYGENERATOR_INI.EXE-3063BE1B.pf 10.09.2008 16:24 19.032 IS-97G1E.TMP-173C84F1.pf 10.09.2008 16:22 19.466 RUNDLL32.EXE-2A94BB85.pf 10.09.2008 15:53 26.540 VLC.EXE-29851A71.pf 10.09.2008 15:36 33.246 DRWTSN32.EXE-2B4B52AC.pf 10.09.2008 15:36 74.980 DWWIN.EXE-30875ADC.pf 10.09.2008 15:10 3.292 WINAMP.EXE-044E7F69.pf 10.09.2008 15:02 21.736 VENTRILO.EXE-3B628C21.pf 10.09.2008 14:56 56.648 IMAPI.EXE-0BF740A4.pf 10.09.2008 14:56 98.616 WINAMP.EXE-08C38ED9.pf 10.09.2008 14:54 23.268 SVCHOST.EXE-3530F672.pf 10.09.2008 14:54 24.074 DUMPREP.EXE-1B46F901.pf 10.09.2008 14:54 11.592 INTERNAT.EXE-360A4AE8.pf 10.09.2008 14:54 95.642 ASTON.EXE-01B88C5D.pf ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 704A-D1C9 Verzeichnis von C:\WINDOWS 10.09.2008 19:19 1.049.339 WindowsUpdate.log 10.09.2008 19:16 4.958.588 {00000000-00000000-0000000B-00001102-00000004-20021102}.BAK 10.09.2008 19:16 4.958.588 {00000000-00000000-0000000B-00001102-00000004-20021102}.CDF 10.09.2008 19:10 157 wiadebug.log 10.09.2008 19:10 50 wiaservc.log 10.09.2008 19:09 0 0.log 10.09.2008 19:09 2.048 bootstat.dat 10.09.2008 19:07 32.568 SchedLgU.Txt ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 704A-D1C9 Verzeichnis von C:\DOKUME~1\Mike\LOKALE~1\Temp 10.09.2008 19:32 124.814 filelist.txt 10.09.2008 19:22 80.916 jusched.log 10.09.2008 19:18 195.440 java_install_reg.log 10.09.2008 19:18 0 etilqs_TuP9mq4r6iWj2PXfkoBH 10.09.2008 19:06 16.384 ~DFFE9B.tmp 10.09.2008 17:39 94.209 red1A7.tmp 10.09.2008 17:14 94.209 fkg199.tmp 10.09.2008 17:04 94.209 bgi18F.tmp 10.09.2008 16:48 94.209 lqs185.tmp 10.09.2008 16:46 94.209 ull17B.tmp 10.09.2008 16:35 94.209 pvx16E.tmp 10.09.2008 16:33 94.209 mfb169.tmp 10.09.2008 16:28 94.209 mqx161.tmp 10.09.2008 16:18 94.209 xwd152.tmp 10.09.2008 16:15 94.209 ksj14B.tmp 10.09.2008 16:12 94.209 uje13F.tmp 10.09.2008 15:58 94.209 pmr134.tmp da ich mich nicht auskenne, weiß ich nicht, ob da was "schlimmes" bei ist oder ob euch das irgendwie weiterhilft :x wollts nur schonmal gepostet haben. Und ich würde jetzt gerne wissen, ob ich den keylogger o.ä. los bin oder nicht.. und ob es nicht ein programm gibt, worauf ich mich 100%ig verlassen kann, womit ich die exe auf einen virus prüfen könnte.. |
10.09.2008, 19:55 | #2 |
| keylogger/trojaner durch exeklick? da ich entweder blind oder einfach nur total blöd bin und die edit funktion nicht finde, schreibe ich einen weiteren comment:x
__________________hab gerade ein "rootkit.agent" entdeckt, kann mir jemand sagen was genau das ist und wie ich ihn beseitigen kann? hab bei google nicht allzu viel gefunden.. |
10.09.2008, 20:31 | #3 |
keylogger/trojaner durch exeklick? Hi,
__________________erstell bitte ein regelkonformes HijackThis Logfile.
__________________ |
10.09.2008, 22:06 | #4 |
| keylogger/trojaner durch exeklick? ehm, sry, hier ist das richtige :x Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:03:33, on 10.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\CTHELPER.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\spiele\steam\steam.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Mike\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\Mike\OctoshapeClient.exe" -inv:bootrun O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe -- End of file - 7414 bytes |
10.09.2008, 22:13 | #5 |
keylogger/trojaner durch exeklick? Geh die folgenden Schritte der Reihe nach durch: 1.) MalwareBytes Anti-Malware :
2.) ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
11.09.2008, 17:23 | #6 |
| keylogger/trojaner durch exeklick? okay, danke soweit. hab jetzt erstmal mbam durchlaufen lassen.. Malwarebytes' Anti-Malware 1.27 Datenbank Version: 1127 Windows 5.1.2600 Service Pack 2 11.09.2008 18:25:14 mbam-log-2008-09-11 (18-25-14).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 230641 Laufzeit: 2 hour(s), 28 minute(s), 7 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 10 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Mike\Desktop\Crack__Key__Serial_Pack_2\Ahead Nero 8.3.2.1 Keygen\keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Mike\Desktop\Crack__Key__Serial_Pack_2\Flash Speed 200% 3.7 Patch\Flash Speed 200% v3.7-Patch.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Mike\Desktop\Crack__Key__Serial_Pack_2\MetaProducts LightPad 4.4.136 Keygen\keYgeN.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Mike\Desktop\Crack__Key__Serial_Pack_2\MetaProducts LightPad 4.4.136 Keygen\metaproducts.lightpad.4.4.136.sr1-patch.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Mike\Desktop\Crack__Key__Serial_Pack_2\MetaProducts WebStudio 4.4.271 Keygen\keYgeN.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Mike\Desktop\Crack__Key__Serial_Pack_2\MetaProducts WebStudio 4.4.271 Keygen\metaproducts.webstudio.4.4.271.sr1-patch.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Mike\Desktop\Crack__Key__Serial_Pack_2\Process Control Master 5.0.0.2 Patch\process.control.master.5.0.0.2-patch.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Mike\Desktop\Crack__Key__Serial_Pack_2\RAM Boost Master 5.0.0.2 Patch\ram.boost.master.5.0.0.2-patch.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Mike\Desktop\Crack__Key__Serial_Pack_2\Sony DVD Architect 4.0 Keygen\Sony DVD Architect v4.0 Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully. edit: ach und ich hab total vergessen zu erwähnen, dass mein internet total abkackt, dh. einfache seiten brauchen etwa 3-4 sekunden zum starten.. hab grad erfahren, dass das bei meinem bruder und meinen eltern auch so ist und nicht nur bei mir.. Geändert von mikaeyy (11.09.2008 um 18:04 Uhr) |
11.09.2008, 18:04 | #7 |
| keylogger/trojaner durch exeklick? ComboFix 08-09-10.04 - Mike 2008-09-11 18:41:36.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1596 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Mike\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_6TO4 -------\Service_6to4 ((((((((((((((((((((((( Dateien erstellt von 2008-08-11 bis 2008-09-11 )))))))))))))))))))))))))))))) . 2008-09-11 17:19 . 2008-09-11 17:19 <DIR> d-------- C:\Programme\CCleaner 2008-09-11 16:05 . 2008-09-11 16:05 <DIR> d-------- C:\Programme\ring0x_08082008julianAM 2008-09-11 15:59 . 2008-09-11 16:06 <DIR> d---s---- C:\Programme\HLSW 2008-09-11 15:52 . 2008-09-11 18:22 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-11 15:52 . 2008-09-11 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\Mike\Anwendungsdaten\Malwarebytes 2008-09-11 15:52 . 2008-09-11 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-11 15:52 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-11 15:52 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-10 20:46 . 2008-09-10 20:47 <DIR> d-------- C:\Programme\Spyware Doctor 2008-09-10 20:46 . 2008-09-10 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\Mike\Anwendungsdaten\PC Tools 2008-09-10 20:46 . 2008-08-25 11:36 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-09-10 20:46 . 2008-08-25 11:36 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-09-10 20:46 . 2008-08-25 11:36 40,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-09-10 20:46 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-09-10 16:24 . 2008-09-11 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\Mike\Anwendungsdaten\HLSW 2008-09-04 20:46 . 1996-11-08 02:48 368,912 --a------ C:\WINDOWS\system32\vbar332.dll 2008-09-03 20:37 . 2008-09-03 20:37 73,216 --a------ C:\WINDOWS\cadkasdeinst01.exe 2008-09-01 14:07 . 2007-04-09 13:23 28,040 --a------ C:\WINDOWS\system32\mdimon.dll 2008-09-01 14:07 . 2008-09-01 14:07 400 --a------ C:\WINDOWS\ODBC.INI 2008-09-01 14:05 . 2008-09-01 14:06 <DIR> d-------- C:\WINDOWS\SHELLNEW 2008-09-01 14:05 . 2008-09-01 14:05 <DIR> d-------- C:\Programme\Microsoft.NET 2008-09-01 14:03 . 2008-09-01 14:03 <DIR> dr-h----- C:\MSOCache 2008-08-30 13:12 . 2008-08-30 13:12 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2008-08-30 11:47 . 2008-08-30 11:47 <DIR> d-------- C:\Programme\Aspyr Media, Inc 2008-08-29 21:40 . 2008-09-11 17:43 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak 2008-08-27 19:45 . 2008-08-28 15:26 <DIR> d-------- C:\Programme\ICQLite 2008-08-23 23:32 . 2008-08-23 23:32 <DIR> d-------- C:\Programme\Sun 2008-08-14 16:32 . 2008-08-14 16:32 <DIR> d-------- C:\Dokumente und Einstellungen\Mike\Anwendungsdaten\ICQ Toolbar 2008-08-13 16:21 . 2008-09-11 18:25 <DIR> d-------- C:\Programme\ICQToolbar 2008-08-13 16:20 . 2008-08-27 20:06 <DIR> d-------- C:\Programme\ICQ6 2008-08-12 20:51 . 2008-08-12 20:51 <DIR> d-------- C:\Logs 2008-08-11 22:04 . 2008-08-11 22:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-10 20:02 --------- d-----w C:\Programme\Cheats 2008-09-10 19:49 --------- d-----w C:\Programme\ACE-HIGH MP3 WAV WMA OGG Converter5555555 2008-09-10 18:58 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-09-10 17:16 --------- d-----w C:\Dokumente und Einstellungen\Mike\Anwendungsdaten\Aston 2008-09-10 16:21 --------- d-----w C:\Dokumente und Einstellungen\Mike\Anwendungsdaten\ICQ 2008-09-07 10:37 --------- d-----w C:\Programme\PokerStars.NET 2008-09-06 11:40 --------- d-----w C:\Dokumente und Einstellungen\Mike\Anwendungsdaten\teamspeak2 2008-09-03 18:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-09-02 18:07 --------- d-----w C:\Programme\Winamp 2008-08-31 10:19 --------- d-----w C:\Programme\aequitas_0_9f 2008-08-23 21:32 --------- d-----w C:\Programme\Java 2008-08-04 15:40 --------- d-----w C:\Programme\Microsoft DirectX SDK (March 2008) 2008-07-11 14:53 33,824 ----a-w C:\WINDOWS\system32\drivers\oreans32.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "Steam"="c:\spiele\steam\steam.exe" [2008-08-27 1271032] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-24 68856] "Octoshape Streaming Services"="C:\Programme\Octoshape Streaming Services\Mike\OctoshapeClient.exe" [2006-02-13 214648] "Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-05-15 3644464] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 81920] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712] "SimpleScreenshot"="C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE" [2002-09-26 308736] "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-11-09 128920] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "RTHDCPL"="RTHDCPL.EXE" [2007-01-30 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe] "nwiz"="nwiz.exe" [2007-12-05 C:\WINDOWS\system32\nwiz.exe] "CTHelper"="CTHELPER.EXE" [2006-08-11 C:\WINDOWS\CTHELPER.EXE] "CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 C:\WINDOWS\system32\CTXFIHLP.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Games\\Fussball Challenge 2008 (ORF)\\Game.exe"= "C:\\Spiele\\AktuellesTo\\System\\TacticalOps.exe"= "C:\\Spiele\\Steam\\SteamApps\\darkhawk\\counter-strike source\\hl2.exe"= "C:\\Programme\\Gamers.IRC\\mirc.exe"= "C:\\Programme\\Octoshape Streaming Services\\Mike\\OctoshapeClient.exe"= "C:\\Spiele\\Steam\\steam.exe"= "C:\\Spiele\\Warcraft III\\war3.exe"= "C:\\Programme\\Sony\\Vegas Pro 8.0\\VegSrv80.exe"= "C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= "C:\\Spiele\\Steam\\SteamApps\\mikaeyy\\counter-strike source\\hl2.exe"= "C:\\Spiele\\Steam\\SteamApps\\polskimen\\counter-strike\\hl.exe"= "C:\\Dokumente und Einstellungen\\Mike\\Desktop\\SRO_NEW_Full-Client_Downloader.exe"= "C:\\Spiele\\Silkroad\\SilkErrSender.exe"= "C:\\Spiele\\Silkroad\\nuConnector.exe"= "C:\\Dokumente und Einstellungen\\Mike\\Desktop\\wowdownloader.exe"= "C:\\Dokumente und Einstellungen\\Mike\\Desktop\\WoW,WoWTBC_deDE\\WoW-deDE-Installer-downloader.exe"= "C:\\Dokumente und Einstellungen\\Mike\\Desktop\\Silkroad_Manual-Patch_Downloader.exe"= R1 blubbla;blubbla;C:\WINDOWS\system32\blubbla.sys [2008-09-04 15872] R1 nutella;nutella;C:\WINDOWS\system32\nutella.sys [2008-05-17 12544] R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2008-07-11 33824] R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456] S0 NVStrap;NVStrap;C:\WINDOWS\system32\drivers\NVStrap.sys [2007-10-30 4224] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\AUTORUN.EXE . . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Mike\Anwendungsdaten\Mozilla\Firefox\Profiles\z579jll9.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.ogame.us/ FF -: plugin - C:\Dokumente und Einstellungen\Mike\Anwendungsdaten\Mozilla\plugins\npoctoshape.dll FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - C:\Programme\Octoshape Streaming Services\Mike\octoprogram-L03-NMS0806260_SUA_000\npoctoshape.dll FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-11 18:50:54 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\SSS\SimpleScreenshot.exe C:\WINDOWS\system32\msiexec.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-09-11 19:02:01 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-09-11 17:01:34 Pre-Run: 18 Verzeichnis(se), 26,074,243,072 Bytes frei Post-Run: 21 Verzeichnis(se), 27,624,538,112 Bytes frei 162 --- E O F --- 2008-09-10 21:10:33 Geändert von mikaeyy (11.09.2008 um 18:19 Uhr) |
11.09.2008, 18:49 | #8 | ||
Gast | keylogger/trojaner durch exeklick?Zitat:
Wenn du auch nur die Hälfte von deinem tollen "Crack und Keygen" Pack ausgeführt hast, dann gute Nacht! Schaue dir außerdem die oreans32.sys die von SpywareDoctor gemeldet wurde: Zitat:
Anleitung: http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html Lass am besten die Finger von Cracks & Serials lg, Sky |
11.09.2008, 18:56 | #9 |
| keylogger/trojaner durch exeklick? soweit ich mich erinnern kann, habe ich gar nichts davon ausgeführt.. und ehm, ja werde ich wohl machen müssen, wenns keine andere möglichkeit gibt? eine frage noch bevor ich den pc neuaufsetze.. kann ich die passwörter von einem anderen pc im netzwerk ändern oder sind die auch infiziert? |
11.09.2008, 19:05 | #10 |
keylogger/trojaner durch exeklick? Support eingestellt.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
Themen zu keylogger/trojaner durch exeklick? |
adresse, avg, c:\windows, dll, ellung, exe, hijack, install, java, keylogger, kleine, laufwerk, laufwerk c, msn, nicht sicher, nichts, prefetch, programm, prüfen, rundll, system32, systemwiederherstellung, systemwiederherstellung gemacht, temp, verdächtige, viren, virus, windows |