Hi Leute,
Irgendwie hab ich das Gefühl, dass irgendetwas mit dem Computer nicht stimmt. Beim aufstarten kommt sehr selten (1x 1/2 Jahr) ein Bluescreen, seitdem ich aber PPJoy und GlovePIE installiert habe immer öfters.
Ich habe die Programme sofort deinstalliert + noch mit TuneUp und CCleaner gelöscht. Nach der Deinstallation, hab ich mein PC neugestartet und 2 Objekte (GuildWars Visions und Age of Empires III) auf dem Desktop hatten aufeinmal einen anderen ICON. ... achja bevor ich was vergesse... und nen Trojaner hab ich auch eingefangen Trojan-PSW.Win32.Staem.an ... zum Glück hat es Kaspersky sofort desinfiziert
Ich würde mich sehr freuen, dass ihr mir helfen könnt und keine schlechte Nachrichten höre + keine Sorgen zu machen.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:17:52, on 01.08.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe
C:\Program Files\ROCCAT\Kone Mouse\KoneHID.EXE
C:\Program Files\USB Safely Remove\USBSafelyRemove.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\MagicTune Premium\GammaTray.exe
C:\Program Files\SEC\Natural Color Pro\NCProTray.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ROCCAT\Kone Mouse\osd.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.stegcomputer.ch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.stegcomputer.ch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\Windows\System32\dvmurl.dll
O1 - Hosts: ::1 localhost
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Kone] "C:\Program Files\ROCCAT\Kone Mouse\KoneHID.EXE"
O4 - HKCU\..\Run: [USB Safely Remove] C:\Program Files\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: GammaTray.lnk = ?
O4 - Global Startup: NCProTray.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O13 - Gopher Prefix: 
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - h**p://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: USB Safely Remove Assistant (USBSafelyRemoveService) - Unknown owner - C:\Program Files\USB Safely Remove\USBSRService.exe

--
End of file - 6540 bytes
         

Hey ho

Dein Log scheint ok zu sein, da Du aber von einem Fund berichtest, empfehle ich Dir zumindest noch diese Anleitung abzuarbeiten.

Meine Suche ergab außerdem: Dein Trojaner war ein Keylogger mit der Fähigkeit, alle Tastatureingaben aufzuzeichnen, mit einer Vorliebe für Passwörter. Die gesammelten Daten hat er an einen Server in Russland geschickt. In diesem Sinne wäre es für Dich nicht verkehrt, von einem sauberen System aus alle Passwörter auszutauschen.

Und zum Schluss:

Zitat:

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - h**p://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab

Dieser Eintrag ist an sich keine Malware, aber ein Sicherheitsrisiko. Siehe dazu dieses Bericht (in Englisch). Die Lösung wäre, den Akamai Download Manager zu deinstallieren.

Gruß

Vielen Dank für Deine Antwort :aplaus:

Bin jetzt ein bisschen beruhigt und erleichtert

Naja das mit dem Keylogger finde ich echt krass aber zum Glück wurde es sofort beim Download überprüft und gelöscht. Kann der Trojaner trotzdem Daten (Passwörter) klauen, indem ich nichts schreibe oder kann es nur aufzeichnen?

Was zum Teufel ist Akamai Download Manager??? Das hab ich ja nie installiert und achja Kaspersky Internet Security 2009 hat 6 Schwachstellen gefunden.

• Viruslist.com - Adobe Flash Player Multiple Vulnerabilities

• Viruslist.com - Microsoft XML Core Services Multiple Vulnerabilities

• Viruslist.com - 7-zip Unspecified Vulnerability

• Viruslist.com - 7-zip Unspecified Vulnerability

• Viruslist.com - Akamai Download Manager HTTP Header Buffer Overflow

• Viruslist.com - Akamai Download Manager HTTP Header Buffer Overflow

Das Problem ist nur, dass ich damit nicht weiter komme???

Hier noch der Logfile von Malwarebytes

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2546
Windows 6.0.6002 Service Pack 2

02.08.2009 14:28:34
mbam-log-2009-08-02 (14-28-34).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 87936
Laufzeit: 2 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Scheint gut zu sein

Hey ho

Zitat:

Kann der Trojaner trotzdem Daten (Passwörter) klauen, indem ich nichts schreibe oder kann es nur aufzeichnen?

Es zeichnet wohl nur auf, obwohl ich das mit absoluter Sicherheit natürlich nicht sagen kann. Meide in der Zukunft die Programme von NirSoft und ähnliche Software.

Zitat:

Was zum Teufel ist Akamai Download Manager??? Das hab ich ja nie installiert

Das das hat vllt. damit zu tun:

Zitat:

"Zahlreiche Anwender dürften sich das fragliche ActiveX-Control etwa beim Herunterladen des Release Candidate 1 oder der Beta 2 von Windows Vista installiert haben, die Microsoft damals bevorzugt über diesen Weg zur Verfügung stellte."

QUELLE: www.heise.de

Diese Meldung ist allerdings schon etwas älter.

Kaspersky meldet da zwei veraltete Programme, ein fehlendes Windows-Update und den ollen Akamai.

Deinstalliere (z. B. mit Hilfe von CCleaner) den Adobe Flash Player, den 7-zip und den Akamai. Falls der Akamai nicht auffindbar ist, fixe mit HJT diesen Eintrag:

Zitat:

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - h**p://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab

Danach: Neustart --> Überprüfen, ob der Eintrag noch vorhanden ist .

Installiere bei Bedarf die aktuellen Versionen von Adobe Flash Player und 7-zip.

Adobe
7-zip

Achte in Zukunft allgemein darauf, alle Programme auf dem neuesten Stand zu halten.

Wegen dem Windows-Update: Besuche mit dem IE-Browser http://update.microsoft.com/.

Und schließlich:

Zitat:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2546
Windows 6.0.6002 Service Pack 2

02.08.2009 14:28:34
mbam-log-2009-08-02 (14-28-34).txt

Scan-Methode: Quick-Scan

Ein vollständiger Scan wäre besser gewesen.

Gruß