Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Kleines Problem mit einem hartnäckigen Kollegen (https://www.trojaner-board.de/96951-kleines-problem-hartnaeckigen-kollegen.html)

Doppelherz 29.03.2011 15:14
Kleines Problem mit einem hartnäckigen Kollegen
 
Hi,
ich habe langsam keine Ahnung mehr wie ich weitermachen soll. Heute morgen ist mir aufgefallen, dass ich anstelle des tippens von '^' dann '^^' tippe, was darauf deutet, dass sich jemand gerne meine Daten abschauen will. Das hat auch beim hochfahren die Warnmeldung meiner Firewall erklärt.
Eine Exe namens: Systray .exe stub
Sie versucht unter wechselndem Namen aus dem ordner c:\users\ich\appdata\local\temp ins internet zu schmuggeln. Wenn ich den prozess beende, dann entsteht ein neuer umgenannter Prozess. Beispiel:
ukz9408.exe Im Ordner selbst sehe ich dann noch eine tmp mit dem selben Namen. Ich habe nun gerade Ad Aware drüber laufen, hatte vorhin schon spybot und Spyware Terminator drüber laufen lassen, aber die finden nichts. Ich habe den PC neugestartet und dann fuhr mein Antivir und auch meine Firewall nicht mehr mit dem Start hoch. Also hat es nun eine dieser "Systray .exe stub (5)" geschafft ins Internet zu kommen. Nun hoffe ich, dass ihr mir sagen könnte dass es nur ein windows dienst ist. Aber was kann ich nun tun damit der PC wieder frei wird? Ein weiteres Programm drüber laufen lassen?

Ich weiß nicht einmal woher der keylogger kommt. Ich habe nichts installiert in den letzten Tagen :(
Ich weiß nicht weiter. Hilfe

EDIT:
Habe HijackThis drüber laufen lassen, im Internet auswerten lassen und alle Beiträge mit Fragezeichen und Namen, die mir nichts sagen, gefixt. Nach einem Neustart ist alles wieder so wie ich es kenne, doch frage ich mich immernoch woher der Keylogger kam und warum ich trotz meiner Sicherheitsprogramme infiziert wurde.

cosinus 29.03.2011 19:37
Zitat:
alle Beiträge mit Fragezeichen und Namen, die mir nichts sagen, gefixt.
Mach das nicht :balla:
Das ist blindes kopfloses vorgehen, die automatische Auswertung ist in mancherlei Hinsicht mangelhaft und stuft legitime und mitunter auch wichtige Einträge als unbekannt oder bösartig ein!
Obendrei ist Hijackhis für heutige Analysen nicht mehr zu gebrauchen!

http://www.trojaner-board.de/images/icons/icon4.gif Bitte beachten http://www.trojaner-board.de/images/icons/icon4.gif => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html

Doppelherz 29.03.2011 21:06
Es war ja nicht ganz Kopflos, aber anscheinend hat auch alles geklappt. Nunja, ich habe jetzt aber den Rat befolgt und bleibe bei OTL.exe hängen.

Die OTL.exe bricht bei "Scanning FireFox settings" ab und es kommt "keine Rückmeldung". Das gleiche Problem habe ich aus dem Forum hier gefunden:
hxxp://www.hijackthis-forum.de/hijackthis-logfiles/48281-malware-trojaner-hilfe.html#post347416

Im folgenden habe ich den Schritt 1 befolgt.
Zitat:
Schritt 1
Fixen mit OTL

Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt der folgenden CODE-Box in die Benutzerdefinierte Scans/Fixes Textbox.

Code:

:files
C:\Users\Admin\AppData\Local\Temp\Pzi.exe
:Commands
[purity]
[emptytemp]
[resethosts]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Run Fix Button.
Klick auf .
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread
Ergebnis meiner Text Log ist das hier:
Code:
All processes killed
========== FILES ==========
File\Folder C:\Users\Admin\AppData\Local\Temp\Pzi.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Marcel
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9727 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.22.3 log created on 03292011_215129

Files\Folders moved on Reboot...
C:\Users\Marcel\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-2076.log scheduled to be moved on reboot.

Registry entries deleted on Reboot...
Malware Bytes werde ich nun auch installieren und mein System damit checken.

cosinus 30.03.2011 09:28
Poste bitte die Logs von OTL vor dem Fixen und auch alle Logs von Malwarebytes.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19