|
family keylogger Commercial KeyLogger Hallo, ich glaube jetzt hat es mich richtig erwischt System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken. habe es versucht mit reagseeker zu löschen, aber die dateien sind immer wieder da System/ControSet001/Enum/ACPI/AthenticAMD__x86family_6Model_8 HardwareID gleich 6 mal in RegSeeker eingetragen, kommt immer wieder. habe mal unter google nachgeschaut, soll irgendwie eine Konrolle über die Tastatur sein alles wird abgespeichert. Muss ich eine neue Systemaufsetzung machen O gott! Kasperski habe ich durchlaufen gelassen Trojaner gefunden und gelöscht! Was kann ich noch machen um das wieder wegzubekommen. lg para |
C:\WINDOWS\system32\ctfmon.exe Diese Datei habe ich auch, aber laut Taskmanager von TuneUp-Utilities ist die Datei von Microsoft, also von deinem BS. Schaue doch mal unter den Eigenschaften der Datei nach, was da alles steht, bei mir steht da das drin: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Wenn die Datei immer wieder kommt, wird da noch eine weitere Datei sein, welche sie immer wieder erzeugt. Gefunden habe ich diese Seite hier: ctfmon.exe |
Hallo, mit sicherereit weis ich ich das sie nicht zu Microsoft gehört, siehe oben. lg para |
|
hallo.... ctfmon.exe OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden ich versteh überhaubt nichts mehr also laut internet kann man mit diesem Progam auf anderen leuten PC die Tastatur aufzeichnungen verschlüsselt aufnehmen...ich trau dem Progam nicht, aber jotti findet keine viren....(anmerk habe die datei bei jotti reinkopiert und nicht durchsucht weil ich die nicht finde) kann es vieleicht daran liegen. lg para |
hallo kann man mir vieleicht mal einer ne Antwort geben, ich habe jetzt auch noch den beitrag von schrulli gelesen und der Keylooger macht mich echt nervös....:balla: |
|
Hallo paranoid, das macht dir Sorge ? System/ControSet001/Enum/ACPI/AthenticAMD__x86family_6Model_8 Das hört sich nach dem Namen deines Prozessors an,also das Herz deiner Kiste. Das hier ist eine Meldung von EScan ? System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Riecht nach einem Fehlalarm und der indirekten "Kauf mich"-Aufforderung. Besonders da du die Problemexe hast bei Jotti scannen lassen. Hast du mehr als diese eine "ctfmon.exe" auf deinem Rechner laufen ? Irrlicht |
Bei mir hat eScan auch diese Datei gefunden. Kann es möglich sein, dass so etwas einen hohen Traffic verursacht? Ich lade eine beliebige Internetseite (mit ein paar Bildchen) und es schnalzt mir in Nullkommanix ca. 500 kB runter. Ist doch nicht normal. |
Hallo, @ caligulaminus: Bitte eröffne einen eigenen Thread. Gruß Schrulli |
|
hallo Irrlicht, großer:D mmh da muss ich erst mal schauen, ich weis nur das ich das nicht absichtlich auf meinem Rechner habe:balla: ich habe bei regseeker jede menge dieser dateien, 3 mal hardware, und vier mal system immer das gleiche hier mal mein log vieleicht kannst du da was erkennen... Logfile of HijackThis v1.99.1 Scan saved at 17:18:56, on 24.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\keyhook.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\12014SC Wireless Combo Set\MouseDrv.exe C:\Programme\12014SC Wireless Combo Set\PS2USBKbdDrv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe C:\Dokumente und Einstellungen\***\Desktop\RegSeeker\RegSeeker\RegSeeker.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\***\Desktop\RegSeeker\RegSeeker\RegSeeker.exe C:\Dokumente und Einstellungen\Alex\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t-online.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\12014SC Wireless Combo Set\StartAutorun.exe MouseDrv.exe O4 - HKLM\..\Run: [WireLessKeyboard] C:\Programme\12014SC Wireless Combo Set\StartAutorun.exe PS2USBKbdDrv.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{75C4AE74-B45E-47F4-8BFE-4A804C853DF5}: NameServer = 217.237.150.33 217.237.151.161 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe also ich kann da mal nichts erkennen:balla: lg para |
Hallo, fixe folgende Einträge R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t-online.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing Ansonsten sieht es sauber aus. Hat der online Scan was ergeben? Gruß Schrulli |
hallo Schulli, Kasperski habe ich ja schon, es sei den das ist ne neue vision, muss ich morgen mal schauen, das erste habe ich wieder rückgängig gemacht sonst komm ich nicht auf die seiten wiso soll ich das löschen? lg para |
Hallo, ich meinte einen OnlineScan, damit können wir besser bestimmen, ob Dein System sauber ist. Zitat:
Gruß Schrulli |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board