Trojaner TR/Spy.keylogg.AP.2

#1 Hallo,
habe mir folgenden Trojaner gefangen, den ich im Netz (sophos etc.) nicht finden konnte:
Trojanisches Pferd
Kennt jemand die Auswirkungen und sichere Entfernungsmöglichkeiten?
Wäre dankbar für eine Antwort!
Elefant27

#2 Versuch es mit TrojanHunter hier:
http://www.trojanhunter.com/

oder hier:
http://www.vollversion.de/downloads/1870.html

Rolfs

#3 Hi,

ich habe mir auch den TR/Spy.Keylogg.AP.2. Ich habe die obengennante Tools erfolgreich durchgeführt. Nun, soll ich um meine Passwoerter (unter Mozilla Password Manager) und sonst vertrauliche Infos fürhten?? Wie funktioniert eigentlich dieser Trojaner? Was tut er so?

Vielen Dank,

Slono

#4 ich hab mir auch das teil eingefangen. die o.g. tools haben aber nichts gefunden. ich habe den trojaner nach dem heutigen update von antivirxp gefunden. in der datenbank von antivir sind leider keine infos über TR/Spy.Keylogg.AP.2 vorhanden mich würden weitere infos auch brennend interessieren..

#5 Hallo @

ladet das Log vom HijackThis, so koennen wir sehen, welche Prozesse (und Viren)
aktiv sind und sie loeschen.

HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#6

Zitat

hansbrox postete
ich hab mir auch das teil eingefangen. die o.g. tools haben aber nichts gefunden. ich habe den trojaner nach dem heutigen update von antivirxp gefunden. in der datenbank von antivir sind leider keine infos über TR/Spy.Keylogg.AP.2 vorhanden mich würden weitere infos auch brennend interessieren..

genauso gehts mir auch... das schlimme ist aber bei mir, das ich diese datei schon monate lang drauf hatte. nach außen ging zum glück nix aber mich würde schon interessieren wo die logs abgespeichert sind.

#7 Hi !

Habe nach dem heutigen AntiVirXP Update auch den trojaner TR/SPY.KEYLOGG.AP.2 auf meiner Platte gefunden !

Frage mich, was der so macht ! Habe erstmal das Viech entfernt und alle meine Passwörter geändert !
(zum Glück mache ich kein Internet-Banking) !

Wäre nett wenn hier mal Infos gepostet werden, worum es sich bei dem Trojaner handelt und was er so macht.....spioniert der mich aus, sucht der nach Passwörtern ?

#8 könnte es sich evtl um ne falschmeldung handeln? ich hab die datei auch seit mehreren monaten laufen, aber nie probleme. mit trojan hunter hab ich das verzeichnis in dem sich die verdächtige dateibefindet gescannt, der hat nichts gefunden.

anbei das hijackthislog:

Logfile of HijackThis v1.98.2
Scan saved at 09:26:53, on 11.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\sstray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\totalcmd\TOTALCMD.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Steam] "c:\progra~1\valve\steam\steam.exe" -silent
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE
O15 - Trusted Zone: http://*.windowsupdate.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE41D77A-75D4-495F-B5E9-2DD5B1B331C4}: NameServer = 145.253.2.11 145.253.2.75

#9 TR/Spy.Keylogg.AP.2

Hallo ans Forum!
Habe auch diesen Trojaner durch antivir entdeckt. Habe Lafayette gebeten, usn mitzuteilen, wie er ihn entfernt hat. Das kam in seinem Beitrag leider nicht vor. Habe ihm eine e-mail geschickt und bin gespannt auf die Antwort.

peterdbx

#10 Hallo !

Habe bis jetzt keine diesbezügliche E-Mail bekommen.....

AntiVir hat den Trojaner gefunden und u. a. die Option aufgezeigt, den File zu löschen, in dem sich der trojaner befindet. !

habe danach noch mal AntivIR UND EScan durchlaufen lassen !

Danach wurde das Viech nciht mehr gefunden....

Hoffe mal, daß ich den jetzt los bin !

#11 Hallo@hansbrox

Der <TR/SPY.KEYLOGG<
Spioniert das Surfverhalten des Anwenders aus. Er zeichnet alles auf, was der User im Net macht, eingeschlossen die Eingabe von Adressen, Passwoertern usw.
und uebermittelt sie ...legt die Informationen auf einer bestimmten FTP Seite ab.
[Aufbau einer Verbindung zu einer FTP Seite, zu der er die gestohlenen Informationen sendet. ]
_________________________________________________________________
Im Log ist nichts erkennbar.... Der Trojaner ist wahrscheinlich in den Temporaeren Dateien ...oder vom Antivirus geloescht....
Du koenntest mir das Log vom Scann deines Antivirus posten.

Sicherheitstip:
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!

#Windows-Dienste abschalten"!
http://www.dingens.org/
http://www.ntsvcfg.de/kss_xp/kss_xp.html#smb

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporary Internet Files/TEMPORÄRE INTERNET DATEIEN, O.K
#Click:TEMPORÄRE DATEIEN, O.K

#Windows\Downloaded Programm Files loeschen.
ActiveX-Controls
Schalter Einstellungen
Klicken Sie auf den Button Objekte anzeigen. Eine Liste aller lokalen ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein vertrauenswürdiges Programm handelt, reicht es in der Regel aus, den Urheber der Komponente ausfindig zu machen.
Wenn "unbekannt dasteht...dann loesche es .

#ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#12 @sabina: das log hab ich nicht mehr, da ich die betroffene datei gleich gelöscht habe. es war allerdings nur 1 datei bei der die meldung kam. als webbrowser benutze ich bereits firefox. welche weitere vorgehensweise empfiehlst du (neuinstallation) ? wie kann ich feststellen, ob und was gesendet wurde?

und danke für die schnelle antwort

@alle: grad gab es ein neues antivir update auf vdf datei 6.28.0.67 (von 6.28.0.66): seitdem kommt keine meldung mehr. obgleich ich die exe nochmal beschafft und getestet habe. deutet auf nen antivir fehler, oder?

#13 Hallo@hansbrox

gesendet wurde alles, was du du im Net gemacht hast, seit der Trojaner auf dem PC ist....... also: alle wichtigen Passworte aendern....

#eScan-Erkennungstool
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina !

Du schriebst:

"Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess."

Unter "Dienste" finde ich ihn aber nicht ! Es gibt einen der ähnlich klingt: "Remoteprozeduraufruf" !

Soll ich den deaktivieren !

Frage: Mich wundert es, daßm ich bisher nur auf dieser Page etwas über den o.g. trojaner gefundennhabe und sonst nirgendwo ! Wie kommt das ? Ist er so wenig verbreitet ?

#15 Hallo@Lafayette

Wenn dieser Prozess aktiv ist:
C:\WINNT\system32\regsvc.exe
ist es Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!

wenn du den hier deaktivierst:Remoteprozeduraufruf,[(RPC)] hast du kein Internet mehr
sicherheitspatsch fuer RPC:
http://www.microsoft.com/downloads/details.aspx?FamilyId=94213569-3258-4439-9AE7-5D86813B4D9E&displaylang=de

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit