|
Plagegeister aller Art und deren Bekämpfung: Kleines Problem mit einem hartnäckigen KollegenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.03.2011, 15:14 | #1 |
| Kleines Problem mit einem hartnäckigen Kollegen Hi, ich habe langsam keine Ahnung mehr wie ich weitermachen soll. Heute morgen ist mir aufgefallen, dass ich anstelle des tippens von '^' dann '^^' tippe, was darauf deutet, dass sich jemand gerne meine Daten abschauen will. Das hat auch beim hochfahren die Warnmeldung meiner Firewall erklärt. Eine Exe namens: Systray .exe stub Sie versucht unter wechselndem Namen aus dem ordner c:\users\ich\appdata\local\temp ins internet zu schmuggeln. Wenn ich den prozess beende, dann entsteht ein neuer umgenannter Prozess. Beispiel: ukz9408.exe Im Ordner selbst sehe ich dann noch eine tmp mit dem selben Namen. Ich habe nun gerade Ad Aware drüber laufen, hatte vorhin schon spybot und Spyware Terminator drüber laufen lassen, aber die finden nichts. Ich habe den PC neugestartet und dann fuhr mein Antivir und auch meine Firewall nicht mehr mit dem Start hoch. Also hat es nun eine dieser "Systray .exe stub (5)" geschafft ins Internet zu kommen. Nun hoffe ich, dass ihr mir sagen könnte dass es nur ein windows dienst ist. Aber was kann ich nun tun damit der PC wieder frei wird? Ein weiteres Programm drüber laufen lassen? Ich weiß nicht einmal woher der keylogger kommt. Ich habe nichts installiert in den letzten Tagen Ich weiß nicht weiter. Hilfe EDIT: Habe HijackThis drüber laufen lassen, im Internet auswerten lassen und alle Beiträge mit Fragezeichen und Namen, die mir nichts sagen, gefixt. Nach einem Neustart ist alles wieder so wie ich es kenne, doch frage ich mich immernoch woher der Keylogger kam und warum ich trotz meiner Sicherheitsprogramme infiziert wurde. |
29.03.2011, 19:37 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Kleines Problem mit einem hartnäckigen KollegenZitat:
Das ist blindes kopfloses vorgehen, die automatische Auswertung ist in mancherlei Hinsicht mangelhaft und stuft legitime und mitunter auch wichtige Einträge als unbekannt oder bösartig ein! Obendrei ist Hijackhis für heutige Analysen nicht mehr zu gebrauchen! Bitte beachten => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html
__________________ |
29.03.2011, 21:06 | #3 | |
| Kleines Problem mit einem hartnäckigen Kollegen Es war ja nicht ganz Kopflos, aber anscheinend hat auch alles geklappt. Nunja, ich habe jetzt aber den Rat befolgt und bleibe bei OTL.exe hängen.
__________________Die OTL.exe bricht bei "Scanning FireFox settings" ab und es kommt "keine Rückmeldung". Das gleiche Problem habe ich aus dem Forum hier gefunden: hxxp://www.hijackthis-forum.de/hijackthis-logfiles/48281-malware-trojaner-hilfe.html#post347416 Im folgenden habe ich den Schritt 1 befolgt. Zitat:
Code:
ATTFilter All processes killed ========== FILES ========== File\Folder C:\Users\Admin\AppData\Local\Temp\Pzi.exe not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Marcel ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Google Chrome cache emptied: 0 bytes ->Apple Safari cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 9727 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 0,00 mb C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.22.3 log created on 03292011_215129 Files\Folders moved on Reboot... C:\Users\Marcel\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. File move failed. C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-2076.log scheduled to be moved on reboot. Registry entries deleted on Reboot... |
30.03.2011, 09:28 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Kleines Problem mit einem hartnäckigen Kollegen Poste bitte die Logs von OTL vor dem Fixen und auch alle Logs von Malwarebytes.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Kleines Problem mit einem hartnäckigen Kollegen |
ad aware, antivir, appdata, aware, dienst, exe, firewall, hochfahren, internet, keylogger, kleines, langsam, meldung, neuer, neustart, nicht mehr, ordner, problem, programm, prozess, spybot, spyware, spyware terminator, systray, temp, tmp, trojaner, warnmeldung, warum, windows, windows dienst |