Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Vermutlich Trojaner oder Keylogger eingefangen (https://www.trojaner-board.de/104047-vermutlich-trojaner-keylogger-eingefangen.html)

DasKnuffel 11.10.2011 09:10

Vermutlich Trojaner oder Keylogger eingefangen
 
Hallo,

Ich suche eure Hilfe weil ich nichtmehr weiter weiß.
Ich bin einer von denen die so dämlich (Ja ich bezeichne mich mittlerweile selbst so ;) ) waren und einige sachen von bekannten Warez seiten geladen hat.

Vor 3 Tagen habe ich dann gemerkt das irgendetwas nicht stimmte. Bei Facebook zum Beispiel kamen selbstgeschriebene Statusmeldungen, die ich nie verfasst habe, und auch meine Freunde wurden über den textchat übelst beleidigt. In meinem Steamaccount versuchte immer jemand sich einzuloggen, was ich dank der Steamaccountsecurity erfuhr, denn ich bekam jedesmal beim fehlgeschlagenen Loginversuch eine E-Mail.

Ich denke das ich mir durch den Mist etwas eingefangen habe. Ich habe über meinen Laptop mittlerweile alle zugangsdaten geändert.

Bei dem betroffenen PC habe ich alles deinstalliert und gelöscht was auch nur annähernd damit zutun hat. Natürlich weiß ich jetzt nicht ob noch etwas zu finden ist und habe natürlich ein wenig Angst diesen PC wieder vollzunutzen, daher brauche ich euren Rat.

Ich benutze Kaspersky Security Suite CBE in der aktuelsten Version, Keine Funde beim kompletten Systemscan.

Im Anhang poste ich logs: Defogger_disable, Extras, Gmer und die OTL auch, wenn ich diese direkt im Thread posten will bekomme ich eine Fehlermeldung.

Ich hoffe darauf das ihr mir helfen könnt, den eine neuinstallation ist die letzte Lösung für mich, da das eine OEM-Version ist und ich die Recoverydisk von meinem PC leider nicht wiederfinde. Falls es darauf hinauslaufen sollte müsste ich mir Windows 7 neuzulegen.

Ich danke euch im Vorraus.

Lg DasKnuffel

Hallo nochmal,

Ich habe nun zwischenzeitlich mal einen Malwarebytes Suchlauf gemacht, es wurden 31 infizierungen gemeldet, aber es scheinen alle vom selben Programm auszugehen, schon heftig. Allerdings war das ein Programm was ich ergooglet habe um versteckte Prozesse zu sehen, war das wirklich der Grund des Spuks?

Hier die Logfile:

Code:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
 
Datenbank Version: 7922
 
Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421
 
11.10.2011 15:51:31
mbam-log-2011-10-11 (15-51-26).txt
 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 294911
Laufzeit: 14 Minute(n), 48 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 7
Infizierte Dateien: 31
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spd3ssl (Rogue.SpywareProcessDetector) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Process Detector_is1 (Rogue.SpywareProcessDetector) -> No action taken.
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
c:\program files (x86)\spyware process detector (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Base (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Help (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Plugin (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Save (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\uninstall (Rogue.SpywareProcessDetector) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\spyware process detector (Rogue.SpywareProcessDetector) -> No action taken.
 
Infizierte Dateien:
c:\program files (x86)\spyware process detector\register.url (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\spd322.cfg (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\spd322.dll (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\spd322.exe (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\spd322.sys (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\spydetector.url (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Base\good.spd (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Base\process.spd (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Base\safe.spd (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Base\startup.spd (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Base\system.spd (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Help\english.chm (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Help\english.mnl (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Plugin\belarusian.lng (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Plugin\bulgarian.lng (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Plugin\czech.lng (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Plugin\deutsch.lng (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Plugin\english.lng (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Plugin\francais.lng (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Plugin\hungarian.lng (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Plugin\italian.lng (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Plugin\romanian.lng (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\Plugin\russian.lng (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\uninstall\isssurvey.dll (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\uninstall\isssurvey.ini (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\uninstall\unins000.dat (Rogue.SpywareProcessDetector) -> No action taken.
c:\program files (x86)\spyware process detector\uninstall\unins000.exe (Rogue.SpywareProcessDetector) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\spyware process detector\online registration.lnk (Rogue.SpywareProcessDetector) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\spyware process detector\spyware process detector v3.22.lnk (Rogue.SpywareProcessDetector) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\spyware process detector\user manual.lnk (Rogue.SpywareProcessDetector) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\spyware process detector\visit our site.lnk (Rogue.SpywareProcessDetector) -> No action taken.


cosinus 11.10.2011 16:22

Zitat:

waren und einige sachen von bekannten Warez seiten geladen hat.
Das tut uns allen schrecklich Leid aber :pfui:

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

DasKnuffel 11.10.2011 16:30

Ich habe diese benutzt ja, aber ich versuche meinen PC davon zu säubern...ich weiß auch das dies illegal ist, und nein, ich wusste vorher nicht das die meisten Cracks Viren usw. sind. Gibt es keine andere Möglichkeit als die Neuinstallation? Mein Windows ist Original. Allerdings ne OEM-Version, und ohne meine Recovery DVD ist format C: momentan unmöglich :daumenrunter:

cosinus 11.10.2011 16:37

Zitat:

Mein Windows ist Original.
Was hat das mit deinem Windows zu tun? :confused:

Zitat:

und ohne meine Recovery DVD ist format C: momentan unmöglich
Musst dir eben Installationsmedien kaufen. Oder du recoverst über die Recoverypartition.

DasKnuffel 11.10.2011 16:42

Zitat:

Zitat von cosinus (Beitrag 708504)
Was hat das mit deinem Windows zu tun? :confused:



Musst dir eben Installationsmedien kaufen. Oder du recoverst über die Recoverypartition.

Ich schaue mal ob ich es hinbekomme, würdest du mir bei Problemen dabei behilflich sein?

Mein Hinweis das WIn7 Prof Original ist, habe ich gegeben, weil es ja hätte sein können das man meinte das auch dieses nicht original ist.

TreiberCD's usw. habe ich nun alles hierliegen. Ich habe auch die Recoverydisk von Acer gefunden, gerade eben per zufall wo ich den ganzen warez mist was ich auf CD hatte weggeschmissen habe und lese soeben die Recovery Anleitung.

Ich habe leider wenig Ahnung von dem technischen. Ich habe aber mein Lappy hier stehen und kann somit den Kontakt zu dir halten^^

BTW.: Kann ich mein Kaspersky CBE weiterbenutzen? Dank Computerbild verlängert sich die Lizenz ja jedesmal, allerdings schockt es mich das KAspersky das nicht gefunden hat, was MBAM sofort entdeckte! Oder empfiehlst du für das frische system was anderes?

cosinus 11.10.2011 16:45

ja Fragen rund um die Neuinstallation werden immer beantwortet :)

DasKnuffel 11.10.2011 17:44

Sooo,

Ich habe nun ein frisches Windows 7 vor mir, komplett neu, es installiert grade 52 Updates.

Was empfiehlst du mir für Sicherheitssoftware zu installieren? (Antivir? Firewall)

Wieder Kaspersky CBE oder doch lieber etwas anderes? :)

Ich habe nur ein paar Bilder und Privatvideos gesichert.

cosinus 11.10.2011 17:46

Zitat:

Was empfiehlst du mir für Sicherheitssoftware zu installieren? (Antivir? Firewall)
Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Und nochweniger kann der Scanner das System vor DICH beschützen also schön Finger weg was Keygen, Cracks oder Warez heißt :pfeiff:

Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:
  1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
  2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
  3. Führe regelmäßig Backups auf externe Medien durch
  4. Arbeite mit eingeschränkten Rechten
  5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
  6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
  7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
  8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File


Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

DasKnuffel 11.10.2011 17:49

Ok, eine Frage noch, will ja nicht nerven^^

Sollte ich mir für den Alltag ein Benutzerkonto ohne Adminrechte zulegen oder kann ich ruhig mit dem Adminkonto surfen?

Habe schon desöfteren gelesen das es sicherer sein soll mit eingeschränktem Konto unterwegs zu sein.

cosinus 11.10.2011 18:24

Zitat:

Sollte ich mir für den Alltag ein Benutzerkonto ohne Adminrechte zulegen oder kann ich ruhig mit dem Adminkonto surfen?
Siehe Regel 4. ;)
Natürlich nur mit eingeschränkten Rechten
Ins Adminkonto gehst du nur wenn du administrative Sachen machen musst
Du musst dafür nichtmal dich abmelden, per Rechtsklick => ausführen als bzw. als Administrator ausführen gehts es auch.
Das Adminkonto sollte aber unbedingt kennwortgeschützt sein. Mit einem anderen Passwort als das des "einfachen" Benutzers.

Zitat:

Habe schon desöfteren gelesen das es sicherer sein soll mit eingeschränktem Konto unterwegs zu sein.
So ist es, das ist eigentlich die vielfach empfohlene Sicherheitspraxis, aber leider kaum jmd setzt es in der Praxis auch um :(

DasKnuffel 11.10.2011 18:53

Wie führe ich denn Punkt 6 deiner Liste aus? Hab dazu leider nirgends eine Einstellung gefunden :(

cosinus 11.10.2011 20:02

Du glaubst also nicht, solche Infos lassen sich ergoogeln? :confused:

DasKnuffel 15.10.2011 13:00

Mal als Rückmeldung.

Hab nun alles Neuinstalliert (Nichtmal ne Datensicherung mitgenommen) und funktioniert Problemlos. Danke dir cosinus für die Hilfestellung. Ich habe meine Lektion mit den Warezmist gelernt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131