FamilyKeyLogger legitimer Prozeß?
 

Hallo,

der TuneUp 2006 Prozeßmanager meldet immer einen Prozeß "FamilyKeyLogger" ist der legitim? Oder kritisch? Und wenn ja, wie werde ich das los?

Danke

@bat-man
Ich gehe nicht davon aus. Allerdings es gibt zig Dutzend verschiedenen Keyloggers. Was für Betriebssystem/Antivirus hast du?
Allgemeine Infos zum Keylogger.

XP SP 2, Antivir von H&BDEV

@bat-man
Du gehst extrem sparsam mit den Wörtern um ;). Bit. m. HJT-Log & eScan-Log, Anl. in m. Sig.

Well, nix für ungut. System gepacht, Stand Nov. 05. Antivir Stand heute.

hier der HTJlog (wobei ich z. Zt. der Erstellung der Prozeß bereits manuell beendet hatte)

Logfile of HijackThis v1.99.1
Scan saved at 09:46:42, on 14.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\Additive\Acronis True Image 8.0\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Additive\ObjectDock 1.02\ObjectDock.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\DOKUME~1\B10125~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Additive\Acronis True Image 8.0\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Additive\ObjectDock 1.02\ObjectDock.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Additive\TuneUp 2006\WinStylerThemeSvc.exe

Die escan-log hat 3 MB (??), krieg ich hier nicht rauf:

aber angeblich wurden dreimal was gefunden

hier die entscheidenden passi:

Wed Dec 14 16:26:48 2005 => Offending file found: C:\DOKUME~1\B10125~1\LOKALE~1\Temp\insthelp.dll
Wed Dec 14 16:26:48 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Wed Dec 14 16:26:54 2005 => Offending file found: C:\Dokumente und Einstellungen\B 1\Lokale Einstellungen\temp\insthelp.dll
Wed Dec 14 16:26:54 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Wed Dec 14 16:26:55 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Dokumente\discountsurfer\uninstaller.exe
Wed Dec 14 16:26:55 2005 => System found infected with midaddle Spyware/Adware (uninstaller.exe)! Action taken: No Action Taken.


Danke

@bat-man
HJT-Log sieht sauber aus.
Wer lesen kann, hat bestimmt Vorteile ;).
Lade bitte Clearprog herunter und leere alle Temp-Ordner. Was die Datei C:\Dokumente und Einstellungen\All Users\Dokumente\discountsurfer\uninstaller.exe betrifft - vermute Fehlalarm. Bitte bei www.virustotal.com überprüfen.

[QUOTE=Rene-gad]@bat-man

Wer lesen kann, hat bestimmt Vorteile ;).

Öh, da könnte natürlich was dran sein (wobei die Fußnotentechnik für ein Forum meines Wissens auch sehr ungewöhnlich (akademisch?) ist);
:-) sorry und danke .
Entspricht aber doch der unter "Alternative" dargelegten Vorgehensweise.
Es waren nur diese 3 Meldungen, die wie unten wiedergegeben lauten.

Der Witz ist, daß ich nach Anwendung von kill.exe und einem neuerlichen Scan mit escan im abgesicherten Modus (wie auf diesen Seiten beschrieben) nichts mehr finden kann. Nach einem erneuten Start im regulären Modus, ist jedenfalls aber dieser nervige FamilyKeyLogger wieder da!=> ???

@bat-man
Hast du die Temp-Ordner mit ClearProg bereinigt?
Hast du die Datei bei VIRUSTOTAL überprüft?
Sorry, ich kenne mich mit TuneUp nicht wirklich aus. Gibt es auch 'ne Info, wo die verdachtige Datei od. Registry-Eintrag ist?

Servus @all!
Da Fledermaus-Mann hier ebenfalls umtriebig ist, kann ich wohl davon ausgehen, das der thread http://www.trojaner-board.de/showthread.php?t=24515 in die Tonne wandert?!
stupormundi

Hallo,

ja habe die WindowsTemp-Ordner gelöscht (oder muß ich alle? Sind dann auch meine Lesezeichen weg?).
Prüfung bei virustotal scheitert, erhalte immer den Hinweis, ich solle 30s warten und dann kommt nichts mehr.

Als Pfad wird angegeben: C:\WINDOWS\system32\cisvc.exe
Nehme mal an, ich sollte das nicht einfach löschen?

Danke und Gruß

@bat-man
Seit wann sind die Lesezeichen in einem Temp-Ordner angelegt? ;)
Am Besten leerst du alle Temp-Ordner samt Temporary Internet File Ordner vom Internet Explorer.
Versuche dann bei http://virusscan.jotti.org/ oder kopiere die Datei nach Desktop oder Eingene Dateien und versuche nochmal.
Kommt mir komisch vor, könnte auch ein Fehlalarm vermuten. Kopiere die Datei nach Desktop oder Eingene Dateien und versuche sie online zu scannen.
Alternative Adresse: http://www.kaspersky.com/de/virusscanner