|
Vermutlich Keylogger im System Hallo! Vor einigen Tagen habe ich bemerkt, dass jedes Mal, wenn ich die Akzent Taste ´ oder ^ drücke gleich zwei der Akzente (´´ und ^^) erscheinen. Durch Recherche im Netzt bin ich nun zu der Vermutung gekommen dass sich auf meinem PC ein keylogger befindet. Ich habe bereits Scans mit foldenden Programmen (normal und im abgesicherten Modus) durchgeführt: Antivir, Spybo S&D, Dr. Cure und Stinger. Leider konnte keines davon das Problem beheben, weshalb ich mich nun, der Verzweiflung nahe, an dieses Forum wende. Wäre super wenn mir hier jemand hilfreich zur Seite stehen könnte! Beste GRüße, Leia Ach ja: Im abgesicherten Modus tritt das Problem nicht auf!! |
Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten |
So, habe ich gemacht. Da die Otl.txt zu groß war musste ich die beiden in eine Zip-Archiv packen. Vielen Dank schon mal für die Hilfe! Ich hoffe Du findest den Übeltäter! |
deinstaliere spybot es stört die reinigung. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Alles klar, erledigt! |
Nach dem Durchlauf mit Combofix tritt das Problem mit den doppelten Zeichen auch nicht mehr auf!! Trotzdem wäre ich dankbar wenn du nochmal drüberschauen könntest, ob alles in Ordnung ist. |
Der Erfolg war leider nur vorrübergehend. Jetzt ist der doppel-Akzent wieder da :( |
ja, ich war gestern abend unterwegs :-) bitte öffne mal computer, c: dort qoobox, packe den quarantaine ordner und lad ihn hoch: http://www.trojaner-board.de/54791-a...ner-board.html machst du onlinebanking /einkäufe? |
Habe die Datei über den Upload Channel hochgeladen. Ja, ich nutze Onlinebanking / Einkäufe. Habe das Passwort fürs Onlinebanking schon von einem anderen PC aus geändert. |
das problem ist, dieser pc ist nicht mehr zu gebrauchen um onlinebanking zu machen. da weitreichende, nicht nachvollziebare enderungen durch den trojaner gemacht worden sein können. du solltest deine daten sichern, und das system neu aufsetzen. ich werde dir erklären, wie du das system richtig absicherst, damit es diesmal sauber bleibt. du hast zb deine updates vernachlässigt, wodurch eine infektion begünstigt wird. |
Verstehe. Vielen Dank schon mal! Ist es denn möglich das Problem mit den Akzenten erstmal zu lösen damit ich den Computer vorübergehend weiter nutzen kann (ohne Onlinebanking)? Ich muss demnächst ein Essay einreichen und befürchte dass mich eine Systemneuaufsetzung einiges an Zeit kosten wird. Was für einen Schutz empfiehlst du denn? Hatte bisher Antivir drauf und habe dort eigentlich regelmäßig gesehen dass es sich upgedatet hat. Oder was für Updates meinst du? |
windows updates sind zb nicht gemacht worden, ich sehe das kein servicepack 2 instaliert ist. hatte ich dich auf seite 1 missverstanden, ich dachte das problem hätte sich gelöst? naja es würde dich einen nachmittag kosten neu aufzusetzen. |
Direkt nachdem ich Combofix laufen hatte trat das Problem nicht mehr auf, ein paar Stunden später aber wieder. Habe heute morgen nochmals Combofix laufen lassen, diesmal war aber auch direkt danach das Problem noch da. Wahrscheinlich hast du aber Recht und ich sollte mich heute Mittag mal hinsetzen und das System neu aufspielen. Gibt es dabei irgendwas zu beachten, habe das bei Vista noch nie gemacht... Danach werde ich alle Servicepacks installieren und wieder Antivir. Sonst noch etwas das mich in Zukunft besser schützt? |
hast du nen original vista oder ne recovery cd? |
Ich hab zweierlei: Einmal eine "DVD zur erneuten Installation Windows Vista Home Basic 32BIT" von Dell und eine die heißt "Windows Anytime Upgrade" von Microsoft. |
die erst genannte ist die richtige. starte den laptop, nach dem du die dvd eingelegt hast neu. gehe ins boot menü, meist f12 bei start, falls nicht mal auf dem bildschirm mitlesen da sollte es angezeigt werden. folge den schritten der dvd. zuerst formatieren dann vista neu aufspielen. danach gehts weiter hiermit, in reihenfolge bitte: servicepack2 für vista: http://www.microsoft.com/downloads/d...displaylang=DE internet explorer 8: http://www.microsoft.com/germany/win...onfidence.aspx windows update: Microsoft Windows Update hier instalierst du so lange updates, bis es keine neuen mehr gibt. windows updates automatisch laden/instalieren: Aktivieren oder Deaktivieren von automatischen Updates damit dein system ab sofort immer aktuell bleibt. du solltest nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht. klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen. wähle "neues konto erstellen" Wähle standard benutzer. die konten sollten mit einem passwort geschützt werden. dazu auf konto endern klicken und passwörter vergeben. die folgenden konfigurationen als administrator durchführen dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. SEHOP aktivieren: Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen klicke auf "Feature automatisch aktivieren" und folge den anweisungen avira genauestens nach anleitung instalieren: http://www.trojaner-board.de/54192-a...tellungen.html achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig. unter avira, konfiguration, guard, autostart, haken raus lassen. als browser solltest du den opera nutzen, er ist sicherer und schneller. wenn er dir nicht gefällt passe ich meine anleitung für den ff an. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen mit diesem tool lässt sich ein werbeblocker laden Opera URLFilter Downloader ? OperaWiki dieses tool 1x pro woche manuell ausführen. zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: Computerbase - Werbung blockieren auch diese tutorial seite mal ansehen. Opera Tutorial- Übersicht hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html bitte die erweiterte ansicht auswählen und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. achtung: bei einigen programmen werden englische setups angeboten. das sollte man ersehen können, die setupdateien sollten ein .en oder .us enthalten. wenn dem so ist, sollte man beim hersteller schauen, dort gibts die deutschen setups zu laden. Falls du die hersteller seite nicht kennst, google wird bestimmt behilflich sein :-) regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Paragon Backup & Recovery Free Edition - Das Produkt tutorial, pdf: http://download.paragon-software.com...me_evo_ger.pdf außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. allgemeines. - verzichte auf tuning programme, sie bringen nichts. - keine illegalen downloads. 90 % bringen malware mit sich! - keine streaming seiten wie kino.to sie verbreiten malware. - wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen. - programme patches etc immer nur vom hersteller direkt laden. - über start ausführen (vista/ win 7 suchen) bei msconfig, systemstart, die menge der gestarteten programme prüfen, so wenig wie möglich automatisch starten. antivirus, sandboxie, secunia und file hippo. bei laptops noch das touchpad, mehr braucht man eigendlich nicht. online banking: ich würde zu online banking mit chipcard raten, dazu benötigst du, ein lesegerät, lasse dich von deiner bank beraten, es sollte aber mindestens ein klasse2 lesegerät sein, besser sogar ein klasse3 leser, das sind die besten für den privat kunden. Kartenlesegerät ? Wikipedia instaliere jetzt die von dir benötigten programme. endere alle passwörter. danach, bitte nur noch im standard nutzer konto einloggen, und dort in der sandbox surfen, mit klick auf "sandboxed web browser". |
So, habe mein System jetzt neu aufgesetzt! Vielen herzlichen Dank für deinen Support :daumenhoc |
Hi, setze alles um, damit dein system in zukunft besser geschützt ist. meld dich bei problemen, oder erfolg. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board