Trojaner,keylogger und andere gesellen.....
 

Hi.
ich weiss echt nicht mehr weiter :(
hatte Antivir aufm pc der hat mir ne menge trojaner meldungen angezeigt und in die quarantine geschickt aber sie waren immer noch da.also hab ich anderes antivirusprogramm installiert (kasperspy) und das alte deinstalliert.
kasperspy hat auch alles gelöscht doch irgendetwas scheint immer noch dazusein meine CPU auslastung geht immer mal wieder auf 100,seltsamme prozesse tauchen auf im Windows task-manager und verschwinden wieder,und ich hab im icq nen keylogger am laufen wenn ich icq starte und das zeigt kasperspy auch an aber ich kann mit kasperspy den prozess nicht löschen nur schliessen :(
hab auch schon mit Escan gescannt hat auch nix gebracht genauso wie
spybot search & destroy
tuneup utilities 2007
Purgatio Pro
Ad-aware SE personal
hab mal hier nen hijackthis log file gemacht.

Logfile of HijackThis v1.99.1
Scan saved at 18:49:31, on 21.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - (no file)
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


ich hoffe ihr könnt mir helfen und sagen wie ich den keylogger und andere sachen loswerde von meinen pc bin mir nämlich nicht sicher ob noch andere gesellen auf meinen pc sind....:(

Bis auf diesen merkwürdigen Eintrag sehe ich nichts Auffälliges im HJT-Logfile, aber HJT erlaubt nur eine grobe Analyse des Systems. Nenn doch mal ein paar Schädlingsnamen, schau notfalls in die Berichtsdateien des Virenscanners.
Sei dir bewusst, dass du nicht sicher ein verseuchtes System nur mit einem Virenscanner bereinigen kannst. Ein wirklich vertrauenswüdiges System bekommt man nur durchs Neuaufsetzen.

aber was ist mit diesen keylogger?
ich hatte das hijackthis logfile gemacht als icq aus war und kasperspy meldet mir dann immer das wenn ich icq anmache:

ACHTUNG:
Verdächtige Aktion:
Keylogger

Prozess (PID: 2312):
C:\Programme\ICQLite.exe

Aktion

Ein Tastatuspion wurde gefunden.
Der Prozess versucht,über die Tastatur
eingegebene Daten abzufangen.

dann kann ich nur icq schliessen oder den keylogger erlauben.
aber der prozess verändert sich wieder nach der zeit wenn ich wieder schliesse und öffne.
wisst ihr da vielleicht was?
danke

Dazu müsste die icqlite.exe erstmal manipuliert worden sein. Die originale Datei wird wohl kaum ein Keylogger sein, ist mir jedenfalls nicht bekannt ;)

Werte daher mal die Datei C:\Programme\ICQLite.exe bei Virustotal aus. Poste sätmliche Ergebnisse auch Infos zu Dateigröße und Prüfsummen (md5 sha1). Sei geduldig, die Auswertung kann etwas dauern.

Du hast immer noch keine Schädlingsnamen genannt. Also die Namen der Schädlinge, die angeblich entfernt wurden.

ok.
also kein scanner scheint was zu finden auf virus total aber ich kann so oft wie ich will den keylogger erlauben.....die nachicht kommt ununterbrochen wieder aber der name wird nicht genannt immer nur der pfad zu der IcqLite.exe und ob ich erlauben oder schliessen will.
vielleicht hilft dies ja....

Complete scanning result of "ICQLite.exe", received in VirusTotal at 01.21.2007, 23:21:33 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.26 01.21.2007 no virus found
Authentium 4.93.8 01.21.2007 no virus found
Avast 4.7.936.0 01.18.2007 no virus found
AVG 386 01.21.2007 no virus found
BitDefender 7.2 01.21.2007 no virus found
CAT-QuickHeal 9.00 01.20.2007 no virus found
ClamAV devel-20060426 01.21.2007 no virus found
DrWeb 4.33 01.21.2007 no virus found
eSafe 7.0.14.0 01.21.2007 no virus found
eTrust-InoculateIT 23.73.118 01.20.2007 no virus found
eTrust-Vet 30.3.3336 01.19.2007 no virus found
Ewido 4.0 01.21.2007 no virus found
Fortinet 2.82.0.0 01.21.2007 no virus found
F-Prot 3.16f 01.21.2007 no virus found
F-Prot4 4.2.1.29 01.21.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.21.2007 no virus found
McAfee 4943 01.19.2007 no virus found
Microsoft 1.1904 01.21.2007 no virus found
NOD32v2 1995 01.21.2007 no virus found
Norman 5.80.02 01.21.2007 no virus found
Panda 9.0.0.4 01.21.2007 no virus found
Prevx1 V2 01.21.2007 no virus found
Sophos 4.13.0 01.20.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.153 01.21.2007 no virus found
UNA 1.83 01.19.2007 no virus found
VBA32 3.11.2 01.20.2007 no virus found
VirusBuster 4.3.19:9 01.21.2007 no virus found

Aditional Information
File size: 3144800 bytes
MD5: c0f38029c013894b668aeca496f6db50
SHA1: fde4daaf1b949f9ba7bad5938f1d1ed7c9c8dc38

Die icqlite.exe dürfte i.O. sein => icqlite.exe
Die md5 Prüfsumme stimmt überein.

Zum letzten Mal: Welche Schädlinge (Namen!!) wurden vorher gefunden?

Zitat:

hatte Antivir aufm pc der hat mir ne menge trojaner meldungen angezeigt und in die quarantine geschickt

also antivir hatte ich ja gelöscht die sachen werde ich wohl nicht mehr sehen können.
und kasperspy hat den hier gefunden:
gelöscht: trojanisches Programm Trojan-Clicker.Win32.Small.ja Datei: C:\System Volume Information\_restore{2F5C4D0A-EA83-4DEF-9571-1B862DB402EB}\RP43\A0026128.dll//PE_Patch.UPX//UPX

wenn man seinen "Status" automatisch ändern läßt, wird dafür die Nutzung der Tastatur überwacht, genauo wie es ein Keylogger auch machen würde.
Der Hisweis ist also eigentlich ganz normal und logisch zu erklären.

viele Grüße,
Heike :teufel3:

Stimmt Heike, daran hab ich noch nicht so wirklich dran gedacht... :rolleyes:
Ist mir aver trotzdem schleierhaft warum diese Datei angemeckert wird. Vllt. die Heuristik zu sensibel eingestellt? :confused:

@Koyote: Objekte aus den System-Volume-Information-Ordnern bekommst du am einfachsten durch das Deaktivieren der Systemwiederherstellung raus.

ich hatte übrigens dasselbe Problem mal mit Trillian.
Grundsätzlich denke ich, dass ein Programmablauf/*.dll Aufruf Ursache sein könnte. Egal, solange man keinen Keylogger laufen hat. :)

Den bekommst Du über das Abschalten der Systemwiederherstellung weg.