| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hilfe, Keylogger!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.06.2004, 09:22
| #1 |
| |  Hilfe, Keylogger! Guten Tag Zusammen... [img]smile.gif[/img] Ich habe hier ein Problem mit meinem Rechner, und zwar verschickt das Dingen in unregelmäßigen Abständen von alleine eMails. Ich bekomme das nur mit weil mein Norton mir andauernd ausgehende eMails auf Viren überprüft, und das obwohl ich garkeine verschicke in dem Moment. Leider weiss ich nicht wie ich mich infiziert haben könnte.... Weiss jemand Rat wie ich das Teil wieder loswerde? |
|
08.06.2004, 09:56
| #2 |
 |  Hilfe, Keylogger! Am besten benutze doch mal das Tool HijackThis und poste uns ein Logfile hier rein.
__________________Bitte hier das Tool HijackThis runterladen... http://www.chip.de/downloads/c_downloads_11353576.html Dieser Anleitung folgen http://www.trojaner-board.de/51130-a...ijackthis.html und Log unter HijackThis reinsetzen.
__________________ |
|
08.06.2004, 12:08
| #3 |
| | Hilfe, Keylogger! Alles klar... [img]smile.gif[/img]
__________________Logfile of HijackThis v1.97.7 Scan saved at 13:10:13, on 08.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\System32\svchost.exe C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe C:\WINNT\System32\rundll32.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\DeTeWe\OpenCom 20\Capictrl.exe C:\Programme\mIRC\mirc.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\winzip32.exe E:\eigene Dateien\hjthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxyconf.telebel.de/ns-proxyconf R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=www.proxy.wuppertal.mediaways.net:8080;http=www.proxy.wuppertal.mediaways.net:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.telebel R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\OpenCom 20\routcnf.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe" O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PowerProf] PowerProf.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: CAPIControl.lnk = ? O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://213.159.117.150:80/iex/ofile....80/dexDE10.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...142.5131828704 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BC0B9782-EA72-4835-8FE4-91894DB8F85D}: NameServer = 193.189.244.197 193.189.231.205 |
|
08.06.2004, 15:10
| #4 |
| |  Hilfe, Keylogger! Folgendes mit HijackThis fixen: (Am besten ueber abgesicherten Modus F8 beim booten) O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [PowerProf] PowerProf.exe O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://213.159.117.150:80/iex/ofile....80/dexDE10.exe Sowie die O10 Hijacked New.net Eintraege C:\WINDOWS\SYSTEM32\PowerProf.exe infected mit PWSteal.Trojan virus.O4 Da es sich dabei wirklich auch um einen Keylogger handelt, wuerde ich dir empfehlen saemtliche Passwoerter zu aenderen und gegebenfalls Kreditkarten zu sperren, falls du sie ueber die Tastatur eingeben hast. Nebenbei bemerkt wuerde ich dir DRINGEND anraten, dein Win XP und IE mit dem jeweiligen Service Pack zu updaten bzw. upgraden!!! Dies ist zwingend notwendig....sonst faengst du dir das schnell wieder erneut ein. Hoffe ich konnte dir helfen,.... [ 08. Juni 2004, 16:22: Beitrag editiert von: Remover ]
__________________ Gruss Remover |
|
08.06.2004, 21:29
| #5 |
| | Hilfe, Keylogger! weiterhin würde ich alle r0 und r1 einträge bis auf den ersten fixen bzw löschen..
__________________ follow me and do exactly what i say |
|
| Themen zu Hilfe, Keylogger! |
| abständen, andauernd, ausgehende, dauernd, dinge, garkeine, gen, guten, infiziert, meinem, nicht, norton, problem, rechner, regelmäßigen, unregelmäßige, verschicke, verschickt, viren, überprüft |
Linear-Darstellung
