Keylogger / Trojaner eingefangen -wie entfernen?

Page 1 of 2 1 2
08/16/2011 22:20 Nonilol#1
Hallo Leute,

ich habe mir scheinbar einen harten Keylogger oder Trojaner eingefangen.

([Only registered and activated users can see links. Click Here To Register...])

Ich wollte mal fragen was ich nun dagegen unternehem kann um den zu entfernen.
(avast findet nichts)

Hab mal mit Hijackthis gescannt:
[Only registered and activated users can see links. Click Here To Register...]
(Das waren die einzigen Warnungen)

Heißt das ich soll einfach system32.exe löschen und dann bin ich den Trojaner / Keylogger los?
08/16/2011 22:26 Diablo_#2
Hi,

HiJackThis.de ist nicht gerade die beste Auswertung. Poste bitte mal das Logfile.

Dann machst du bitte auch mal damit einen Scan:

[Only registered and activated users can see links. Click Here To Register...]

Vollständigen Scan und keine Funde löschen. Bitte vorher updaten.

Das Ergebnis bitte hier posten, dazu am Ende des Scans auf "Speichere Logdatei" klicken und dieses Log dann öffnen. Den Inhalt kopieren und hier posten.

Grüße
08/16/2011 22:29 Mental Wreck#3
Lösch lieber mal die Exe: EEwjsPXeG1t8.exe^^
08/16/2011 22:31 Diablo_#4
Quote:
Originally Posted by NιGHT View Post
Lösch lieber mal die Exe: EEwjsPXeG1t8.exe^^
Wird nicht viel bringen.
08/16/2011 22:33 Børøx#5
Hol dir Antivirus.. Das ist gut ;)
Oder Formatiere deinen PC.. dann würden die Viren weg sein.
08/16/2011 22:38 Nonilol#6
Hier ist das Hijackthis ergebnis:
(Ich hoffe ihr könnt damit was anfangen)
Malwarebytes kommt gleich auch.

Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:06:56, on 16.08.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16671)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
C:\Program Files (x86)\Launch Manager\HotkeyApp.exe
C:\Program Files (x86)\Launch Manager\OSD.exe
C:\Program Files (x86)\Launch Manager\WButton.exe
C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe
C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Noni\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files (x86)\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrVolOSD] "C:\Program Files (x86)\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files (x86)\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe"
O4 - HKLM\..\Run: [YouCam Mirage] "C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [HPLJ Config] C:\Program Files (x86)\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe -c Network -p hpLaserJet1300n -pn "" -n 0 -l  -sl 120000
O4 - HKLM\..\Run: [Graphic Driver] C:\Users\Noni\AppData\Roaming\EEwjsPXeG1t8.exe
O4 - HKLM\..\Run: [AdobeReader] C:\Users\Noni\AppData\Roaming\system32\system32.exe
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [Audio Device] C:\Users\Noni\AppData\Roaming\EEwjsPXeG1t8.exe
O4 - HKCU\..\Run: [Java] C:\Users\Noni\AppData\Roaming\system32\system32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Users\Noni\AppData\Roaming\system32\system32.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Users\Noni\AppData\Roaming\system32\system32.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1884226984-3674324375-3913711059-1001\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-1884226984-3674324375-3913711059-1001\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O4 - Global Startup: watchmi tray.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_70C5B381380DB17F.dll/cmsidewiki.html
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing)
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O20 - AppInit_DLLs: C:\Windows\SysWOW64\nvinit.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\Windows\SysWOW64\HPZipm12.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: watchmi service (watchmi) - Unknown owner - C:\Program Files (x86)\watchmi\TvdService.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files (x86)\Launch Manager\WisLMSvc.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 11761 bytes
08/16/2011 22:51 Diablo_#7
Freunde dich aber schonmal mit der Neuinstallation an.
08/16/2011 22:51 Nonilol#8
Quote:
Originally Posted by Diablo_ View Post
Freunde dich aber schonmal mit der Neuinstallation an.
das hört sich aber garnicht gut an :(
08/16/2011 23:02 Diablo_#9
Quote:
Originally Posted by Nonilol View Post
das hört sich aber garnicht gut an :(
Es ist nie gut mit Malware infiziert zu sein und ist immer Grund für eine Neuinstallation. Ich will auch nicht auf dir rumhacken aber wer sich Hacks/Bots lädt, muss früher oder später mit soetwas rechnen.

Das ist genauso wie mit Pornos. Das was viele Leute wollen und wo viele Leute sind, wird zur Angriffsfläche für böse Jungs. Und das ist nicht nur im Internet so.

Grüße
08/16/2011 23:13 Nonilol#10
Quote:
Originally Posted by Diablo_ View Post
Es ist nie gut mit Malware infiziert zu sein und ist immer Grund für eine Neuinstallation. Ich will auch nicht auf dir rumhacken aber wer sich Hacks/Bots lädt, muss früher oder später mit soetwas rechnen.

Das ist genauso wie mit Pornos. Das was viele Leute wollen und wo viele Leute sind, wird zur Angriffsfläche für böse Jungs. Und das ist nicht nur im Internet so.

Grüße
Naja aber eigentlich habe ich garnichts "unseriöses" geladen:
Hab meine Downloadliste noch die geleert (Firefox):

Angelbot.zip (.Erpel Angelbot, bekanntester in M2 section)
Mafia II Moblock.rar (enthielt nur zwei .epk / .eix dateien)
Easymetin2_de_1.0.13.1933 (bekanntester Levelbot)

Das waren alle Downloads die mit Metin2 zu tun hatten.
Da der Keylogger auf Metin2 ausgerichtet ist müsste er ja eigentlich bei einem dieser dabeigewesen sein oder?

Jedoch sind die eig alle vertrauenswürdig die Quellen.
Oder min. 10.000 Leute haben den gleichen Trojaner wie ich ;D
08/16/2011 23:23 Diablo_#11
Quote:
Originally Posted by Nonilol View Post
Naja aber eigentlich habe ich garnichts "unseriöses" geladen:
Hab meine Downloadliste noch die geleert (Firefox):

Angelbot.zip (.Erpel Angelbot, bekanntester in M2 section)
Mafia II Moblock.rar (enthielt nur zwei .epk / .eix dateien)
Easymetin2_de_1.0.13.1933 (bekanntester Levelbot)

Das waren alle Downloads die mit Metin2 zu tun hatten.
Da der Keylogger auf Metin2 ausgerichtet ist müsste er ja eigentlich bei einem dieser dabeigewesen sein oder?

Jedoch sind die eig alle vertrauenswürdig die Quellen.
Oder min. 10.000 Leute haben den gleichen Trojaner wie ich ;D
Das kann überall herkommen. Wir warten den Scan ab, dann sehen wir weiter.

Grüße
08/16/2011 23:25 Nonilol#12
Hier der Malwarebytes Log:


Malwarebytes Screen:

[Only registered and activated users can see links. Click Here To Register...]



Bitte helft mir :(
08/16/2011 23:32 Diablo_#13
Hi,

um eine Neuinstallation kommste da nicht rum. Das kommt mit hoher Wahrscheinlichkeit von einem Metin 2 Kidyy Bzw. aus dieser Richtung.

Mit der Instandhaltung deines Systems, hast du es aber auch nicht so.

Grüße
08/16/2011 23:39 Nonilol#14
und was wenn ich die ganzen schädlinge einfach mal entferne lasse?
08/16/2011 23:46 Diablo_#15
Quote:
Originally Posted by Nonilol View Post
und was wenn ich die ganzen schädlinge einfach mal entferne lasse?
Dann hast du keine 100%ige Gewissheit, dass auch alles weg ist, zumal es nicht 100%ig sicher ist, dass Mbam alles gefunden hat und sich die Dateien nicht später neu generieren.
Page 1 of 2 1 2