unbekannter Trojaner: "TR/SPY.KEYLOGG.AP.2"
 

Hallo !

Antivir Personal Edition hat diesen Trojaner

TR/SPY.KEYLOGG.AP.2

auf meiner Festplatte gefunden !

Seltsam ist, daß er in einer exe-Datei (kleines Proggi von einer Shareware CD zu einer PC-Zeitschrift aus Russland [bin russischstämmig]) war und bereits seit bestimmt 3 Monaten auf meiner Platte sitzt ! Das Programm hatte ich auf meiner Platte "geparkt" !

Jetzt auf einmal hat Antivir (nach neuestem Update) den Fiesling gefunden !

Habe es mit Antivir gelöscht und danach AntiVir und EScan mehrmals über die Platte lazfen lassen (keine Meldung mehr) !

Kann es ein Fehlalarm gewesen sein oder habe ich mir da irgendwas eingefangen ?

Was macht eigentlich so ein Trojaner ?
(habe erstmal alle meine Passwörter im WWW geändert) !

Poste hir mal mein HijackThis Log (falls es hilft):

Scon mal Gruß und vielen Dank an Euch !

hier der LoFile:
---------------------------------------------------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 21:48:19, on 11.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\mmc.exe
C:\DOKUME~1\Root\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Reminder-hpc40415.lnk = C:\Programme\HP PhotoSmart\C200-Kamera\Registration\Remind32.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F54C7F8-43EE-479C-A3E1-5BD892727716}: NameServer = 213.148.130.10 213.148.129.10

--------------------------------------------------------------------

Dein Logfile ist sauber :daumenhoc , Hast Du gut gemacht.
Such Dir hier im Forum ein paar Trojaner aus und gib die Namen bei google oder bei sophos ein und lies die Beschreibungen!
cacatoa

hi iich hab auch so ein freund

er nistet sich in der regstery ein

Logfile of HijackThis v1.98.2
Scan saved at 00:26:24, on 12.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\neopard1\Desktop\HijackThis.exe
C:\WINNT\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE

der eintrag ist auch ganz neu :

O1 - Hosts file is located at: C:\WINNT\System32\drivers\etc\hosts


O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe

hier wäre zubeachten das /min an avgent.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O17 -

der eintrag kann ich entfernen aber er kommt wieder:

HKLM\System\CCS\Services\Tcpip\..\{8A8C1741-7D6B-4A54-94BB-624A83FB97E4}: NameServer = 217.237.150.33 217.237.151.161

mfg

Wenn schon, dann ganzes Logfile hier rein stellen. Und bitte in Zukunft einen neuen thread aufmachen, damit man sich auch weiterhin auskennt.