Keylogger-Log in System32
 

Mir ist in der letzten Zeit aufgefallen, das immer bein Start meines Windows folgendes auftaucht:

Persönliche Einstellungen
-------------------------------
Persönliche Einstellungen werden vorgenommen:
C:\WINDOWS\System32\enter.exe

Das hat mich ziemlich misstrauisch gemacht und ich habe mal geschaut, was das denn für eine Exe-Anwendung das denn sei. Es hat sich herausgestellt, das es eine Datei ohne Zuordnung ist. Mit dem Editor geöffnet, hatte ich ein Keylogger-Protokoll in dieser Datei.

Jetzt hab ich geschaut, ob ich diesem Keylogger von meinem PC herunter bekomme. Ich habe Kaspersky Antivirus 7 alles durchscannen lassen und habe auch Spybot S&D und Adware SE scannen lassen. Bis jetzt waren es nur Cookies, die entdeckt wurden.

Hier habe ich mal ein Hijack-Log eingefügt:


Logfile of HijackThis v1.99.1
Scan saved at 15:58:35, on 15.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\Explorer.EXE
G:\DC\DCPP2Svc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
G:\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\sistray.EXE
G:\Java\jre1.6.0_01\bin\jusched.exe
G:\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\keyhook.exe
G:\Unlocker\UnlockerAssistant.exe
G:\TOR\Vidalia\vidalia.exe
G:\Eraser\eraser.exe
G:\TOR\Privoxy\privoxy.exe
G:\TOR\Tor\tor.exe
C:\WINDOWS\System32\svchost.exe
G:\Grisoft\AVG Anti-Spyware 7.5\guard.exe
G:\Mozilla Firefox\firefox.exe
J:\DC\DC.exe
C:\WINDOWS\system32\taskmgr.exe
F:\Master\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://fritz.box/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - F:\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "G:\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "G:\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "G:\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [PrevxOne] "G:\Prevx2\PXConsole.exe"
O4 - HKLM\..\Run: [Outpost Firewall] "G:\Agnitum\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] G:\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [Vidalia] "G:\TOR\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [Eraser] G:\Eraser\eraser.exe -hide
O4 - Global Startup: Privoxy.lnk = G:\TOR\Privoxy\privoxy.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - G:\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183553104062]
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - G:\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - G:\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: SecurStar DCPP 3.81+ Service (DCPP2Svc) - Unknown owner - G:\DC\DCPP2Svc.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - G:\Prevx2\PXAgent.exe" -f (file missing)

Ich hoffe hier kann mir jemand helfen, da ich nicht ständig mit solchen Sachen zu tun habe.

VG E-Jay

Dein Misstrauen kann berechtigt sein zumal unter diesem Pfad C:\WINDOWS\System32\enter.exe rein gar nichts im Internet zu finden ist. Unter der "enter.exe" sind aber jede Menge Beiträge zu finden. Da man aus Deinem Log nichts erkennen kann und keine überschnellten Entschlüsse ziehen sollte, rate ich Dir zu einem e-scan nach folgender Anleitung:
http://www.trojaner-board.de/38066-e...ightymarc.html

Das Ergebnis dieses scans (Kann ein Weilchen dauern, nur um dich vorzuwarnen) postest Du mit der sog. "find bat". Steht aber alles in der guten Anleitung beschrieben.

Hast du die Datei noch? Dann lass sie bitte bei virustotal auswerten.
Ergebnis bitte erst abkopieren, wenn "status:finished" erscheint und dann sicherstellen, dass sowohl der Dateiname der analysierten Datei, sowie Größe, Hash und MD5 drauf sind.

lg myrtille

Hoffe ich täusche mich, aber Trendmicro gibt folgendes zu dieser Exe heraus:
Trend Micro - Sicherheitsinformationen: TROJ_AGOBOT.HO

Hi myrtille

So ich hab den PC mal die Nacht durchscannen lassen.

Hier mal das Ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.1
Sprache: German
F:\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei F:\Master\Eigene Dateien\Downloads\Ultimate Hacker Tools\Script_Kiddie 2.1.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei F:\Master\Eigene Dateien\Downloads\Ultimate Hacker Tools\win_pwCrack 1.8 FINAL.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei F:\Master\Eigene Dateien\Downloads\Ultimate Hacker Tools\Script_Kiddie 2.1.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei F:\Master\Eigene Dateien\Downloads\Ultimate Hacker Tools\win_pwCrack 1.8 FINAL.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File D:\Dokumente und Einstellungen\ X Y.PRIVAT-809B326C\Eigene Dateien\Gedichte\Arbeitsf\hbtools.exe//data0018//data0002 markiert als "not-a-virus:AdWare.Win32.180Solutions.ay". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File G:\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Dokumente und Einstellungen\X Y.PRIVAT-809B326C\Eigene Dateien\Gedichte\Arbeitsf\hbtools.exe//data0018//data0002 markiert als "not-a-virus:AdWare.Win32.180Solutions.ay". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File G:\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKCU\\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
D:\Dokumente und Einstellungen\Administrator.PRIVAT-809B326C\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4LFJ3O8R\Thunderbird%20Setup%202.0.0.0[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\Dokumente und Einstellungen\X Y.PRIVAT-809B326C\Anwendungsdaten\Miranda IM\Erhaltene Dateien\blabla@yahoo.de\Install_Messenger.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\Dokumente und Einstellungen\X Y.PRIVAT-809B326C\Lokale Einstellungen\Temp\7mig3220.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\Prevx2\modules\stub_dll_native.bin nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\Dokumente und Einstellungen\Administrator.PRIVAT-809B326C\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4LFJ3O8R\Thunderbird%20Setup%202.0.0.0[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\Dokumente und Einstellungen\X Y.PRIVAT-809B326C\Anwendungsdaten\Miranda IM\Erhaltene Dateien\blabla@yahoo.de\Install_Messenger.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\Dokumente und Einstellungen\X Y.PRIVAT-809B326C\Lokale Einstellungen\Temp\7mig3220.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\Prevx2\modules\stub_dll_native.bin nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 94742
Gescannte Dateien: 94742
Gefundene Viren: 5
Gefundene Viren: 5
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 93
Anzahl Fehler: 93
Dauer des Scans bisher: 02:09:28
Dauer des Scans bisher: 02:09:28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 8:52:30,05
Batchende: 8:53:03,52


PS: Die Ultimate Hacker Tools sind schon entfernt :heilig: