Keylogger.Trojan entfernt -ist nun alles weg ?

#1 Hallo

bin neu hier und möchte gern feststellen ob der PC meiner Schwester nun ohne Trojaner,Würmer etc ist.

Kurze Vorgeschichte :

Ich habe den PC meiner Schwester vor paar Wochen formatiert und Windows 2000 mit Integriertem SP4 aufgespielt.
Als erstes danach hab ich grade mein altes Norton Internet Security 2002 aufgespielt ,dannach ne ISDN Verbindung hergestellt und NIS upgedatet

Schon in den ersten Minuten der Internetverbindung schlug NIS Alarm = Keylogger.Trojan !

Ich fand im System 32 eine hartnäckige ".dll" die laut NIS ebenfalls infiziert sein sollte -diese ließ sich auch nicht löschen ! Außerdem kam ein Alarm mit "Isass32.exe"
Eines ist mir auch aufgefallen im NIS Log ,eine "syschost.exe" wollte ins Internet connecten und wurde blockiert von NIS

Habe nun im System32 die "isass32.exe" gelöscht und "syschost.exe" (wovon ich schon nachgelesen habe das diese ein Virus ist) und irgendwie die ".dll" gekillt seitdem kam nach PC Neustart die ".dll" auch nie wieder.

----------------------------------------------------------------------
Hier mein hijackthis.log -laut Selbstauswertung auf www.hijackthis.de ist was faul mit der C:\WINNT\system32\hidserv.exe und den beiden allerletzten URL Sachen

Logfile of HijackThis v1.98.2
Scan saved at 19:50:21, on 29.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ScsiAccess.EXE
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINNT\Explorer.EXE
C:\Programme\PCI Audio Applications\Mixer.exe
C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
C:\Programme\Lexmark\Lexmark Photo Center\MemoryCardManager.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
E:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Mixer.exe /startup
O4 - HKLM\..\Run: [LXBLKsk] C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
O4 - HKLM\..\Run: [MemoryCardManager] C:\Programme\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\RunOnce: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

--------------------------------------------------------------------------

was hat es nun auf sich mit er hidserv.exe ?

schon jetzt DANKE für eure Hilfe


grim

#2 Hallo @grim

hidserv.exe provides support for USB multimedia devices with the Microsoft Windows operating system.

Vorsorge:
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/

#Windows-Dienste abschalten"!
http://www.dingens.org/
http://www.zdnet.de/z/itmanager/0,39023861,2103873-4,00.htm
http://www.ntsvcfg.de/kss_xp/kss_xp.html#smb

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina

danke für die schnelle Antwort ! werd das machen wie du sagst


Gruß grim