Keylogger der Adminstrator Rechte hat

[xNexus99]

Also habe mit ein Tool zu Metin2 von e*pvp geholt und jetze blockt mein adminstrator den task manager und registy und glaube noch mehr
und hatte mir noch Net. framework 4 dazu geholt
kenn mich nur halb mit PC aus ,wenn ihr was findet mir bitte erklärt wie ich den weg bekomme kann noch was dazu editieren wenn es vielleicht helft
PS: habe was rausgefunden es ist ein extrem hartnäckiger keylogger der regedit cmd.exe und so auch noch blockt

 Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:51:19, on 05.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\WF2K.EXE
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Programme\Yahoo!\Search Protection\SearchProtection.exe
C:\Programme\Vimicro Corporation\VMUVC\VMonitor.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Programme\Sound Control\SC.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\msco rsvw.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService. exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TeamSpeak 3 Client\ts3client_win32.exe
C:\Programme\SRWare Iron\iron.exe
C:\Programme\SRWare Iron\iron.exe
C:\Programme\SRWare Iron\iron.exe
C:\Programme\SRWare Iron\iron.exe
C:\Programme\SRWare Iron\iron.exe
C:\Dokumente und Einstellungen\Aderff\Eigene Dateien\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126 .1836\swg.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingle Instance.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\system32\WF2K.EXE Initial
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w /h
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe"
O4 - HKLM\..\Run: [VMonitorVMUVC] "C:\Programme\Vimicro Corporation\VMUVC\VMonitor.exe" VMUVC
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Audio HD Driver] C:\DOKUME~1\***\LOKALE~1\Temp\QeeXqvtSCoxy.exe
O4 - HKLM\..\Run: [HKLM] C:\Dokumente und Einstellungen\***\Anwendungsdaten\install\system.e xe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleT oolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.e xe" -quiet
O4 - HKCU\..\Run: [Search Protection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [GMX_GMX MultiMessenger] "C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide
O4 - HKCU\..\Run: [Audio HD Driver] C:\DOKUME~1\***\LOKALE~1\Temp\QeeXqvtSCoxy.exe
O4 - HKCU\..\Run: [HKCU] C:\Dokumente und Einstellungen\***\Anwendungsdaten\install\system.e xe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Dokumente und Einstellungen\***\Anwendungsdaten\install\system.e xe
O4 - HKCU\..\Policies\Explorer\Run: [Audio HD Driver] C:\Dokumente und Einstellungen\***\Anwendungsdaten\QeeXqvtSCoxy.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Dokumente und Einstellungen\***\Anwendungsdaten\install\system.e xe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Sound Control.lnk = C:\Programme\Sound Control\SC.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: &Search -
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8 574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService. exe

--
End of file - 12461 bytes

ich hatte schon in der SuFu geschaut und gegoogled und zurzeit keien Lösung gefunden
PLS sagt mir mal was will endlich meine Spiele wieder mit Sicherheit spielen
Soll ich etwa System neu aufsetzen oder gibt es noch ne rettung
ACHJA habe nach den Keylogger per Suche gesucht im PC und davon eine .pf datei gefunden und gelöscht und mein Antivir Kostenlos sagt nur noch das 3 Objekte versteckt währen

warte auch schon zurzeit auf ne antwort von nem anderen Forum die sich auf sowas eigentlich sich beschäftigen und schon mal geholfen haben

[Diablo_]

Hallo,

du hast sehr warscheinlich Backdoor Programme auf deinem PC.

O4 - HKLM\..\Run: [HKLM] C:\Dokumente und Einstellungen\***\Anwendungsdaten\install\system.e xe

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Policies\Explorer\Run: [Audio HD Driver] C:\Dokumente und Einstellungen\***\Anwendungsdaten\QeeXqvtSCoxy.exe

O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe

Diese Dateien unbedingt bei Virustotal hochladen. Und das Ergebnis hier posten desweiteren postest du bitte einen Mbam Vollscan und nichts löschen lassen.

Du hast massig Toolbars auf deinem PC was es den Viren leichter macht.

Das war's erstmal.

[iZver]

O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

Although both mwssvc.exe and mwsoemon.exe belong to MyWebToolbar, and are installed by the user, it is largely considered malware. You should definitely attempt to uninstall it, even if virustotal finds nothing. But it most probably will.

And, I agree completely with diablo: toolbars are unnecessary. Unless you really use them, you should uninstall it. They suck away your PCU, can slow down your internet browsing experience, and present a thread.

[SynT@x_]

Du kannst deine Logfile auch selbst analysieren auf



Starte dann deinen Computer im 'Abgesichertem Modus' und fixxe die Einträge die als schädlich gekennzeichnet sind!

Mit freundlichen Grüßen

SynT@x_

[xNexus99]

ma so ne frage meinste du mit MBam das malwarebites ding scanner davon habe ich glaube ma gehört
Habe hier ma die VTs scans villt etwas un übersichtlich hat aber eine menge funde
(mutter nervte weil sie viel privaten kram drauf hat :X :S die kann nerven)

 Spoiler

mist zu den1. da sich suchen sollte finde ich den ordner install nicht kann sein das er auch schon wieda abgehauen ist?

achja das mit selbst analysieren mache ich auch noch bis jeztze bin ich schon beschäftig mit den scans

Achja das mit MBam ding sende ich nacher wenn es fertig ist (in 5min schon über 100 funde)

PS+edit: wann muss ich F8 drücken damit abgesicherter modus kommt wenn ich pc hochfahre oder auf dem desktop ?

[Diablo_]

Quote:

Originally Posted by xNexus99

ma so ne frage meinste du mit MBam das malwarebites ding scanner davon habe ich glaube ma gehört
Habe hier ma die VTs scans villt etwas un übersichtlich hat aber eine menge funde
(mutter nervte weil sie viel privaten kram drauf hat :X :S die kann nerven)

 Spoiler

mist zu den1. da sich suchen sollte finde ich den ordner install nicht kann sein das er auch schon wieda abgehauen ist?

achja das mit selbst analysieren mache ich auch noch bis jeztze bin ich schon beschäftig mit den scans

Achja das mit MBam ding sende ich nacher wenn es fertig ist (in 5min schon über 100 funde)

PS+edit: wann muss ich F8 drücken damit abgesicherter modus kommt wenn ich pc hochfahre oder auf dem desktop ?

Ja ich meinte malwarebyte's Anti Malware (Sorry an dieser Stelle).

Ich guck mir die Ergebnisse von VT später an, die Website ist gerade down.

Nach 5 Mins? Das ist keineswegs nur ein Keylogger. Stell dich seelisch schonmal auf eine Neuinstallation ein.

Du brauchst den Abgesicherten Modus nicht um die Einträge zu fixen da der PC platt gemacht wird. (Sofern du das akzeptierst, was du aber zwangsläufig musst).

Du musst F8 übrigens direkt beim Starten drücken , eventuel auch mehrmals.

//Edit: Die Seite geht wieder ich guck es mir mal an.

Du hast aktive Adware auf deinem PC. Ist dieses "MyWebSearch" eine Toolbar die du installiert hast oder war dies erst drauf nach dem Download von dem Metin2 Tool?

Falls du es manuell installiert hast lass die Finger davon das nächste mal und auch die Toolbar von Ask.com ist nicht gut.

Wir warten noch dem Mbam Scan ab.

Ach und deine Mutter hat da privaten Kram auf dem PC?

Das war's erstmal.

LG Diablo

[xNexus99]

mywebsearch hatte ich glaube schon so vor 2 monate oda rauf gemacht mit den spielprogramverwaltungchat teil xfire oder so weiß nicht mehr
weiß nur das es angeboten wurde als ich was instalierte
und habe vorhin veruscht ask toolbar zu deinstalieren klappt nicht wegen ein schwerwiegenden fehler(glaube sowas angeboten kam mal bei skype installations weis nicht)

mal so ne frage wenn ich jetze wolfteam einloggen würde würde er sofort dan die acc daten davon bekomm?

so wie antivir wird der Mbam scan auch sicher locker 2 stunden dauern
grade aktuel 84000 dateien 172 funde bei 59min und schon unter 25 min waren es schon 169 funde (wenn nicht irre habe ich ca ~200.000 dateien etwa ähnliche zahl sagte jedenfalls antivir)

das ich xp neu raufhauen muss habe ich schon befürchtet
achja die 4 exe dateien die mir als 1. genannt wurden habe ich schon bereinigt

[Diablo_]

Quote:

Originally Posted by xNexus99

mywebsearch hatte ich glaube schon so vor 2 monate oda rauf gemacht mit den spielprogramverwaltungchat teil xfire oder so weiß nicht mehr
weiß nur das es angeboten wurde als ich was instalierte
und habe vorhin veruscht ask toolbar zu deinstalieren klappt nicht wegen ein schwerwiegenden fehler(glaube sowas angeboten kam mal bei skype installations weis nicht)

mal so ne frage wenn ich jetze wolfteam einloggen würde würde er sofort dan die acc daten davon bekomm?

so wie antivir wird der Mbam scan auch sicher locker 2 stunden dauern
grade aktuel 84000 dateien 172 funde bei 59min und schon unter 25 min waren es schon 169 funde (wenn nicht irre habe ich ca ~200.000 dateien etwa ähnliche zahl sagte jedenfalls antivir)

das ich xp neu raufhauen muss habe ich schon befürchtet
achja die 4 exe dateien die mir als 1. genannt wurden habe ich schon bereinigt

Ja, das passiert fast jedem das man bei einer Installation immer auf "Weiter" und "OK" klickt und das einem vorgegaukelt wird wie toll Toolbars sind.

Das ist Scheiße und bringt nur unerwünschtes mit sich.

Und wie hieß der Schädling? Du hast ja geschrieben das du herausgefunden hast das es ein extrem hartnäckiger Keylogger ist.

Ich kann es nicht beurteilen da ich keinen Keylogger erkenne. Aber es ist nicht nur Adware vorhanden sondern auch Trojaner und deswegen solltest du das Einloggen bei SchuelerVZ, ICQ etc... vermeiden.

Das du die 4 Dateien "bereinigt" hast ist ja schön und gut aber das ist nur oberflächlich.

Die Frage bleibt noch offen mit den privaten Daten deiner Mutter. Wenn du Daten sichern willst um sie später auf das saubere System drauf zu machen musst du das per Live CD machen.

[xNexus99]

so hier einmal die Mbam logfile aber nur mit schenll durchlauf weil habe ma 4 stunden durch laufen lassen die komplett dursuchen methode und war immer noch nicht fertig

 Spoiler

Malwarebytes' Anti-Malware 1.46


Datenbank Version: 4747

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.10.2010 15:51:48
mbam-log-2010-10-06 (15-51-48).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138055
Laufzeit: 14 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 24
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 2
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{k3p1xbec-1v47-1l4r-1a6f-25cy3o83g865} (Generic.Bot.H) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{cf54be1c-9359-4395-8533-1657cf209cfe} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Settings\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Settings\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Settings\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3e720452-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\W34BCG2GRJ (Trojan.Fraudpack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\W MPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SSHNAS (Trojan.Renos) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\hklm (Backdoor.SpyNet) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\hkcu (Backdoor.SpyNet) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\policies (Backdoor.SpyNet) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\Run\policies (Backdoor.SpyNet) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\(default) (Adware.Hotbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\Run\audio hd driver (Backdoor.SpyNet) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\audio hd driver (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\audio hd driver (Backdoor.SpyNet) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\FunWebProducts (Adware.MyWebSearch) -> No action taken.
C:\Programme\FunWebProducts\Shared (Adware.MyWebSearch) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\install\system.e xe (Generic.Bot.H) -> No action taken.
C:\Programme\FunWebProducts\Shared\02B9C6EB.dat (Adware.MyWebSearch) -> No action taken.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\chrtmp (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\QeeXqvtSCoxy.exe (Backdoor.SpyNet) -> No action taken.

[Diablo_]

Backdoor, hab ich mir gedacht. Das du deinen PC neu aufsetzen musst ist zweifellos klar.

Aber es sind noch Fragen offen.

1. Hast du in der letzten Zeit Wechselmedien wie eine externe Festplatte oder USB-Sticks angeschlossen, an den PC?

2. Ich muss nochmal fragen wegen deiner Mutter: Hat SIE private Daten drauf die sie noch benötigt?

3. Hast DU Daten auf dem PC die du noch benötigst?

(Videos,Bilder,Textdateien etc...)

Für später:

1. Von Toolbars und jeglichen "Extras" bei Installationen die Finger lassen.

2. Deine Passwörter von einem sauberen PC ändern. (Da wo du dich in der letzten Zeit eingeloggt hast. Auf den Elitepvpers Account sind die Hacker wohl nicht scharf .)

3. Den PC sowie alle Programme (auch die,die du nicht benutzt) immer aktuell halten!

4. Keygens, Hacks, Cracks und sonstiges sind zu vermeiden.

5. Freunde und Verwandte fragen ob sie Spam Mails oder dergleichen bekommen haben sofern du eine E-Mail Adresse besitzt und damit aktiv bist sowie Sachen wie ICQ und MSN. (Wenn ja, sollen sie keinesfalls etwas herunterladen oder auf einen Link klicken der dabei ist.)


Das reicht für's erste.

[xNexus99]

also bevor ich antworte habe noch was bemekrt bei mein Tune up utilieties 2010 gibt ja die funktion autostart programe abstellen udn löschen und so ahbe bemekrt da diese system.exe und die QeeXqvtSCoxy.exe sind die kom 1s später wieda automatisch aktiviert so

1.öhm nein soweit ich weiß eigentlich nciht ähm doch mein freund hat sein iphone einmal angeschlossen um bilder raufzuziehen

2.eindeutig JA

3.öhm ja einmal frapswas ich eigentlich neu ziehenkann mein ordner mit songs bildern und selbstgemachten youtube videos (habe auf mp3 stick von früher den ich verlor xd)


1.werde ich drauf achten

2.mhh müsste ich dan bei kumpl sein lappi dan machen habe nemich 5 games(zurzeit nur 2 hauptsächlich) die ich aktuel zokke

3.als mein PC mal gehackt wurde also er schrieb über explorer.exe zu mir xd musste ich eig. nur router resetten wussten nicht und haben Betriebsystem neu raufgehauen
und habe von den CD nur noch uralt Treibern

4.Wird wohl ganz oben stehen bei meiner gedanklichen vermeidungs liste

5.werde mal mein Kumepl danach fragen und mal meine Mutter das auch ma fragen lassen

trozdem mal thx das du soviel mühe dafür gibst

EDIT:na klar sage meienr mutter das wir Betriebsystem neu raufmachen müssen weil sich bei uns wieder was drin ist und sie sagt kann ich nicht da sonst dein Onkel(PC ist eigentlich nur ausgeliehen das wir kein geld haben für eigenen pc=billig pc))PC wegnimmt dabei war der 1. hack angriff auf uns vor ca 4monate und die letzen 3 jahre garnicht -.-

[Diablo_]

Gut, das sind genug Informationen. Ich weiß zwar nicht was dein Punkt 3. mit meinem zu tun hat aber ist egal solange du es verstehst.

Ich weiß jetzt nicht wie gut du dich mit diesen CDs auskennst aber im Internet findest du genug Anleitungen wie man mit einer CD deine Daten (oder halt die von deiner Mutter) sicherstellt. Ich muss zugeben das ich sowas noch nie gemacht habe da ich nichts wichtiges auf meinem PC habe und das noch nie machen musste.


Wichtig ist aber das du eine CD von einem sauberen PC machst. Sonst macht das Daten retten keinen Sinn.

Wenn du kein ICQ,MSN oder E-Mail hast mit Kontakten musst du sie natürlich nicht fragen aber was deine Mutter angeht könnte ich mir vorstellen das sie Onlinebanking macht. (Ebay,Amazon etc...). Das ist ein wichtiger Punkt und falls das eintrifft soll auch sie die Passwörter ändern.


Mit der Datei die sich immer wieder regeneriert: Das ist normal so bei Trojanern. Die kann man nicht löschen daher die Neuinstallation.


Keine Ursache und ich wünsche dir viel Glück! Weiß deine Mutter eigentlich schon von dem Vorfall? Ich wünsche dir nämlich keinen Ärger

Bei Fragen meld' dich einfach nochmal. Bin jetzt mal eine Stunde off.

LG Diablo

[xNexus99]

weiß nur das ich kein dvd/cd brenner habe nur ein normales laufwerk und glaube kann so wohl kaum mein daten auf eine cd brennen oder?

achja meine mutter weiß von den vorfall 1. weil sowas auffällt und 2. sowas mus man doch sagen sowas kann man doch nicht verbergen vorallem wenn es sogesehn nur ausgeliehen ist

PS:habe grade mein bruder gesagt(er kam grade) laut befehl meienr mutter mal mein onkel anrufen soll hoffentlich nehmt er den PC nicht weg
weil ist einzigste methode meine (*netten*) freunde in TS3 und so zu kontakttieren

[Diablo_]

Es gibt Brennprogramme aber ich denke mal sowas wird bei Anleitungen für solche CDs dabei stehen. Kennt sich ein Onkel vieleicht damit aus?

Na klar musst du sowas deiner Mutter erzählen wenn es nicht dein PC ist und auch sie ihn benutzt. Ich wollte halt nur sagen das du hoffentlich keinen Ärger bekommst deswegen.

Erkläre deiner Mutter oder eher gesagt deinem Onkel das es nicht gewollt war (natürlich war das nicht gewollt) und das ihr das wieder hinkriegt und das soetwas nicht nochmal passieren wird. Entschuldigung natürlich inbegriffen.

Wenn du einen eigenen PC hast ist das ja eigentlich deine Sache aber so müsst ihr das halt klären.

Viel Glück.

[-J0ker-]

wollte nur mal mein senf dazugeben und sagen wen du dein pc im abgesicherten modus mit nezwerk treiber startes das dein pc dan normale ohne hindernisse viren frei bekommen kannst .