Keylogger der Adminstrator Rechte hat

xNexus99 · 10/05/2010, 16:10

Also habe mit ein Tool zu Metin2 von e*pvp geholt und jetze blockt mein adminstrator den task manager und registy und glaube noch mehr
und hatte mir noch Net. framework 4 dazu geholt
kenn mich nur halb mit PC aus ,wenn ihr was findet mir bitte erklärt wie ich den weg bekomme kann noch was dazu editieren wenn es vielleicht helft
PS: habe was rausgefunden es ist ein extrem hartnäckiger keylogger der regedit cmd.exe und so auch noch blockt

Spoiler

ich hatte schon in der SuFu geschaut und gegoogled und zurzeit keien Lösung gefunden
PLS sagt mir mal was will endlich meine Spiele wieder mit Sicherheit spielen
Soll ich etwa System neu aufsetzen oder gibt es noch ne rettung
ACHJA habe nach den Keylogger per Suche gesucht im PC und davon eine .pf datei gefunden und gelöscht und mein Antivir Kostenlos sagt nur noch das 3 Objekte versteckt währen

warte auch schon zurzeit auf ne antwort von nem anderen Forum die sich auf sowas eigentlich sich beschäftigen und schon mal geholfen haben

Diablo_ · 10/05/2010, 18:34

Hallo,

du hast sehr warscheinlich Backdoor Programme auf deinem PC.

O4 - HKLM\..\Run: [HKLM] C:\Dokumente und Einstellungen\***\Anwendungsdaten\install\system.e xe

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Policies\Explorer\Run: [Audio HD Driver] C:\Dokumente und Einstellungen\***\Anwendungsdaten\QeeXqvtSCoxy.exe

O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe

Diese Dateien unbedingt bei Virustotal hochladen. Und das Ergebnis hier posten desweiteren postest du bitte einen Mbam Vollscan und nichts löschen lassen.

Du hast massig Toolbars auf deinem PC was es den Viren leichter macht.

Das war's erstmal.

iZver · 10/05/2010, 19:55

O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

Although both mwssvc.exe and mwsoemon.exe belong to MyWebToolbar, and are installed by the user, it is largely considered malware. You should definitely attempt to uninstall it, even if virustotal finds nothing. But it most probably will.

And, I agree completely with diablo: toolbars are unnecessary. Unless you really use them, you should uninstall it. They suck away your PCU, can slow down your internet browsing experience, and present a thread.

SynT@x_ · 10/05/2010, 20:01

Du kannst deine Logfile auch selbst analysieren auf

Starte dann deinen Computer im 'Abgesichertem Modus' und fixxe die Einträge die als schädlich gekennzeichnet sind!

Mit freundlichen Grüßen

SynT@x_

xNexus99 · 10/05/2010, 20:32

ma so ne frage meinste du mit MBam das malwarebites ding scanner davon habe ich glaube ma gehört
Habe hier ma die VTs scans villt etwas un übersichtlich hat aber eine menge funde
(mutter nervte weil sie viel privaten kram drauf hat :X :S die kann nerven)

Spoiler

achja das mit selbst analysieren mache ich auch noch bis jeztze bin ich schon beschäftig mit den scans

Achja das mit MBam ding sende ich nacher wenn es fertig ist (in 5min schon über 100 funde)

PS+edit: wann muss ich F8 drücken damit abgesicherter modus kommt wenn ich pc hochfahre oder auf dem desktop ?

Diablo_ · 10/05/2010, 21:14

Quote:

Originally Posted by xNexus99

ma so ne frage meinste du mit MBam das malwarebites ding scanner davon habe ich glaube ma gehört
Habe hier ma die VTs scans villt etwas un übersichtlich hat aber eine menge funde
(mutter nervte weil sie viel privaten kram drauf hat :X :S die kann nerven)

Spoiler

mist zu den1. da sich suchen sollte finde ich den ordner install nicht kann sein das er auch schon wieda abgehauen ist?

achja das mit selbst analysieren mache ich auch noch bis jeztze bin ich schon beschäftig mit den scans

Achja das mit MBam ding sende ich nacher wenn es fertig ist (in 5min schon über 100 funde)

PS+edit: wann muss ich F8 drücken damit abgesicherter modus kommt wenn ich pc hochfahre oder auf dem desktop ?

Ja ich meinte malwarebyte's Anti Malware (Sorry an dieser Stelle).

Ich guck mir die Ergebnisse von VT später an, die Website ist gerade down.

Nach 5 Mins? Das ist keineswegs nur ein Keylogger. Stell dich seelisch schonmal auf eine Neuinstallation ein.

Du brauchst den Abgesicherten Modus nicht um die Einträge zu fixen da der PC platt gemacht wird. (Sofern du das akzeptierst, was du aber zwangsläufig musst).

Du musst F8 übrigens direkt beim Starten drücken , eventuel auch mehrmals.

//Edit: Die Seite geht wieder ich guck es mir mal an.

Du hast aktive Adware auf deinem PC. Ist dieses "MyWebSearch" eine Toolbar die du installiert hast oder war dies erst drauf nach dem Download von dem Metin2 Tool?

Falls du es manuell installiert hast lass die Finger davon das nächste mal und auch die Toolbar von Ask.com ist nicht gut.

Wir warten noch dem Mbam Scan ab.

Ach und deine Mutter hat da privaten Kram auf dem PC?

Das war's erstmal.

LG Diablo

xNexus99 · 10/05/2010, 21:29

mywebsearch hatte ich glaube schon so vor 2 monate oda rauf gemacht mit den spielprogramverwaltungchat teil xfire oder so weiß nicht mehr
weiß nur das es angeboten wurde als ich was instalierte
und habe vorhin veruscht ask toolbar zu deinstalieren klappt nicht wegen ein schwerwiegenden fehler(glaube sowas angeboten kam mal bei skype installations weis nicht)

mal so ne frage wenn ich jetze wolfteam einloggen würde würde er sofort dan die acc daten davon bekomm?

so wie antivir wird der Mbam scan auch sicher locker 2 stunden dauern
grade aktuel 84000 dateien 172 funde bei 59min und schon unter 25 min waren es schon 169 funde (wenn nicht irre habe ich ca ~200.000 dateien etwa ähnliche zahl sagte jedenfalls antivir)

das ich xp neu raufhauen muss habe ich schon befürchtet
achja die 4 exe dateien die mir als 1. genannt wurden habe ich schon bereinigt

Diablo_ · 10/05/2010, 21:38

Quote:

Originally Posted by xNexus99

mywebsearch hatte ich glaube schon so vor 2 monate oda rauf gemacht mit den spielprogramverwaltungchat teil xfire oder so weiß nicht mehr
weiß nur das es angeboten wurde als ich was instalierte
und habe vorhin veruscht ask toolbar zu deinstalieren klappt nicht wegen ein schwerwiegenden fehler(glaube sowas angeboten kam mal bei skype installations weis nicht)

mal so ne frage wenn ich jetze wolfteam einloggen würde würde er sofort dan die acc daten davon bekomm?

so wie antivir wird der Mbam scan auch sicher locker 2 stunden dauern
grade aktuel 84000 dateien 172 funde bei 59min und schon unter 25 min waren es schon 169 funde (wenn nicht irre habe ich ca ~200.000 dateien etwa ähnliche zahl sagte jedenfalls antivir)

das ich xp neu raufhauen muss habe ich schon befürchtet
achja die 4 exe dateien die mir als 1. genannt wurden habe ich schon bereinigt

Ja, das passiert fast jedem das man bei einer Installation immer auf "Weiter" und "OK" klickt und das einem vorgegaukelt wird wie toll Toolbars sind.

Das ist Scheiße und bringt nur unerwünschtes mit sich.

Und wie hieß der Schädling? Du hast ja geschrieben das du herausgefunden hast das es ein extrem hartnäckiger Keylogger ist.

Ich kann es nicht beurteilen da ich keinen Keylogger erkenne. Aber es ist nicht nur Adware vorhanden sondern auch Trojaner und deswegen solltest du das Einloggen bei SchuelerVZ, ICQ etc... vermeiden.

Das du die 4 Dateien "bereinigt" hast ist ja schön und gut aber das ist nur oberflächlich.

Die Frage bleibt noch offen mit den privaten Daten deiner Mutter. Wenn du Daten sichern willst um sie später auf das saubere System drauf zu machen musst du das per Live CD machen.

xNexus99 · 10/06/2010, 15:57

so hier einmal die Mbam logfile aber nur mit schenll durchlauf weil habe ma 4 stunden durch laufen lassen die komplett dursuchen methode und war immer noch nicht fertig

Spoiler

Diablo_ · 10/06/2010, 16:23

Backdoor, hab ich mir gedacht. Das du deinen PC neu aufsetzen musst ist zweifellos klar.

Aber es sind noch Fragen offen.

1. Hast du in der letzten Zeit Wechselmedien wie eine externe Festplatte oder USB-Sticks angeschlossen, an den PC?

2. Ich muss nochmal fragen wegen deiner Mutter: Hat SIE private Daten drauf die sie noch benötigt?

3. Hast DU Daten auf dem PC die du noch benötigst?

(Videos,Bilder,Textdateien etc...)

Für später:

1. Von Toolbars und jeglichen "Extras" bei Installationen die Finger lassen.

2. Deine Passwörter von einem sauberen PC ändern. (Da wo du dich in der letzten Zeit eingeloggt hast. Auf den Elitepvpers Account sind die Hacker wohl nicht scharf .)

3. Den PC sowie alle Programme (auch die,die du nicht benutzt) immer aktuell halten!

4. Keygens, Hacks, Cracks und sonstiges sind zu vermeiden.

5. Freunde und Verwandte fragen ob sie Spam Mails oder dergleichen bekommen haben sofern du eine E-Mail Adresse besitzt und damit aktiv bist sowie Sachen wie ICQ und MSN. (Wenn ja, sollen sie keinesfalls etwas herunterladen oder auf einen Link klicken der dabei ist.)

Das reicht für's erste.

xNexus99 · 10/06/2010, 16:45

also bevor ich antworte habe noch was bemekrt bei mein Tune up utilieties 2010 gibt ja die funktion autostart programe abstellen udn löschen und so ahbe bemekrt da diese system.exe und die QeeXqvtSCoxy.exe sind die kom 1s später wieda automatisch aktiviert so

1.öhm nein soweit ich weiß eigentlich nciht ähm doch mein freund hat sein iphone einmal angeschlossen um bilder raufzuziehen

2.eindeutig JA

3.öhm ja einmal frapswas ich eigentlich neu ziehenkann mein ordner mit songs bildern und selbstgemachten youtube videos (habe auf mp3 stick von früher den ich verlor xd)

1.werde ich drauf achten

2.mhh müsste ich dan bei kumpl sein lappi dan machen habe nemich 5 games(zurzeit nur 2 hauptsächlich) die ich aktuel zokke

3.als mein PC mal gehackt wurde also er schrieb über explorer.exe zu mir xd musste ich eig. nur router resetten wussten nicht und haben Betriebsystem neu raufgehauen
und habe von den CD nur noch uralt Treibern

4.Wird wohl ganz oben stehen bei meiner gedanklichen vermeidungs liste

5.werde mal mein Kumepl danach fragen und mal meine Mutter das auch ma fragen lassen

trozdem mal thx das du soviel mühe dafür gibst

EDIT:na klar sage meienr mutter das wir Betriebsystem neu raufmachen müssen weil sich bei uns wieder was drin ist und sie sagt kann ich nicht da sonst dein Onkel(PC ist eigentlich nur ausgeliehen das wir kein geld haben für eigenen pc=billig pc))PC wegnimmt dabei war der 1. hack angriff auf uns vor ca 4monate und die letzen 3 jahre garnicht -.-

Diablo_ · 10/06/2010, 16:58

Gut, das sind genug Informationen. Ich weiß zwar nicht was dein Punkt 3. mit meinem zu tun hat aber ist egal solange du es verstehst.

Ich weiß jetzt nicht wie gut du dich mit diesen CDs auskennst aber im Internet findest du genug Anleitungen wie man mit einer CD deine Daten (oder halt die von deiner Mutter) sicherstellt. Ich muss zugeben das ich sowas noch nie gemacht habe da ich nichts wichtiges auf meinem PC habe und das noch nie machen musste.

Wichtig ist aber das du eine CD von einem sauberen PC machst. Sonst macht das Daten retten keinen Sinn.

Wenn du kein ICQ,MSN oder E-Mail hast mit Kontakten musst du sie natürlich nicht fragen aber was deine Mutter angeht könnte ich mir vorstellen das sie Onlinebanking macht. (Ebay,Amazon etc...). Das ist ein wichtiger Punkt und falls das eintrifft soll auch sie die Passwörter ändern.

Mit der Datei die sich immer wieder regeneriert: Das ist normal so bei Trojanern. Die kann man nicht löschen daher die Neuinstallation.

Keine Ursache und ich wünsche dir viel Glück! Weiß deine Mutter eigentlich schon von dem Vorfall? Ich wünsche dir nämlich keinen Ärger

Bei Fragen meld' dich einfach nochmal. Bin jetzt mal eine Stunde off.

LG Diablo

xNexus99 · 10/06/2010, 17:23

weiß nur das ich kein dvd/cd brenner habe nur ein normales laufwerk und glaube kann so wohl kaum mein daten auf eine cd brennen oder?

achja meine mutter weiß von den vorfall 1. weil sowas auffällt und 2. sowas mus man doch sagen sowas kann man doch nicht verbergen vorallem wenn es sogesehn nur ausgeliehen ist

PS:habe grade mein bruder gesagt(er kam grade) laut befehl meienr mutter mal mein onkel anrufen soll hoffentlich nehmt er den PC nicht weg
weil ist einzigste methode meine (*netten*) freunde in TS3 und so zu kontakttieren

Diablo_ · 10/06/2010, 17:56

Es gibt Brennprogramme aber ich denke mal sowas wird bei Anleitungen für solche CDs dabei stehen. Kennt sich ein Onkel vieleicht damit aus?

Na klar musst du sowas deiner Mutter erzählen wenn es nicht dein PC ist und auch sie ihn benutzt. Ich wollte halt nur sagen das du hoffentlich keinen Ärger bekommst deswegen.

Erkläre deiner Mutter oder eher gesagt deinem Onkel das es nicht gewollt war (natürlich war das nicht gewollt) und das ihr das wieder hinkriegt und das soetwas nicht nochmal passieren wird. Entschuldigung natürlich inbegriffen.

Wenn du einen eigenen PC hast ist das ja eigentlich deine Sache aber so müsst ihr das halt klären.

Viel Glück.

-J0ker- · 10/06/2010, 18:34

wollte nur mal mein senf dazugeben und sagen wen du dein pc im abgesicherten modus mit nezwerk treiber startes das dein pc dan normale ohne hindernisse viren frei bekommen kannst .