Trojaner-Board - sich selbst umbenennender keylogger in temp

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - sich selbst umbenennender keylogger in temp (https://www.trojaner-board.de/102368-selbst-umbenennender-keylogger-temp.html)

sich selbst umbenennender keylogger in temp

Moin

Habe mir wohl nen Keylogger eingefangen und versuche den wieder auszusperren. Bemerkt hab ich den Keylogger da die "^" Taste doppelt reagiert. Da ich mein System erst neu aufgesetzt habe und den "Marathon" mit den Treibern etc hinter mir habe möchte ich nicht grade nochmal von vorne Anfangen...
Im Taskmanager kommt immer wieder ne neue Datei entgegen die sich im Temp Ordner niederlässt.
Wenn ich die Exe abschiesse und im Temp Ordner lösche, entsteht kurz drauf eine neue unter einem neuen Namen.

Ich habe auch versucht via Process Monitor rauszufinden welche .dll damit zutun haben.
Dummerweise sind es ne Menge dll´s die da mit bei sind und ich weiß nicht welche wo richtig sitzt und welche das schwarze Schaaf spielt

Beide Log Datein hab ich in die Zip gepackt da es sonst zu lang wurde x_x

Ok das problem konnte ich inzwischen lösen.
Nachdem ich es eingrenzen konnte das es (warscheinlich) ne DLL is, hab ich die Systemwiederherstellung genutzt und die DLL´s auf den ursprünglichen zustand gesetzt.
Das Problem ist damit Geschichte

Trotzdem danke für eure Mühe :)

Zitat:

Wenn ich die Exe abschiesse und im Temp Ordner lösche

Welche EXE? Wir können nicht auf deinen Monitor schauen.
Außerdem wäre es schön, wenn du einen Vollscan mit Malwarebytes machen könntest und falls du das schon gemacht hast alle alten Logs posten kannst.

Wie gesagt - das Problem war mal ^^

"Ok das problem konnte ich inzwischen lösen.
Nachdem ich es eingrenzen konnte das es (warscheinlich) ne DLL is, hab ich die Systemwiederherstellung genutzt und die DLL´s auf den ursprünglichen zustand gesetzt.
Das Problem ist damit Geschichte

Trotzdem danke für eure Mühe "

Die EXE hat sich immer umbenannt. Wirre Kombination aus Zahlen und Buchstaben. Die Quelle des Keyloggers hab ich entfernen können, nur war ich mir bis zur Systemwiederherstellung nicht sicher ob die Systemwiederherstellung reicht.
Da kein Prozess mehr gestartet wird und auch keine neue EXE generiert wird, nehme ich an das das System jetzt "sauber" ist.

Leider habe ich die Logs von Malwarebytes nichtmehr. Allerdings kann ich berichten das der nichts gefunden hat.

Ich hatte mit nem Programm nachgesehen welches Programm die EXE generiert. Dabei kam raus das verschiedene Programme dafür verantwortlich waren (zb Steam.exe oder Jusched.exe).
Nen Kollege von mir hat die EXEn mit den Originalen aus dem Internet verglichen und dabei kam raus das die EXEn identisch sind (Wie er das gemacht hat kann ich nicht sagen da ich es nicht weiß ^^ - aber er hat da schon nen wenig mehr Ahnung als ich).
So kamen wir zu dem Schluss das es wohl ne DLL sein muss die mit den EXEn in Verbindung steht. Die Systemwiederherstellung hat die DLLs wohl zurückgesetzt und damit dürfte die Geschichte erledigt sein.

Nochmals danke für die Mühe :)