Keylogger ? Wie bekomm ich den runter?

#1 Hi!
Bin neu hier und hab auch schon gleich eine frage
Ich spiele Diablo 2 online und vor ca 2 monaten geschah es das ich mir eine datei runter geladen habe die mit einem trojaner versehen war.. Ich hab auf die setup.exe doppelt geklickt aber nix geschah...da hat ich schon eine böse vorahnung und habe antivir einmal durch laufen lassen, der dann aber leider nix gefunden habe...naja nach ein paar tagen später, waren alle meine diablo 2 accounts gelöscht.. ich vermutete ich hab mir da einen keylogger auf meinen pc geladen, so das der hacker mein Passwort bekam für meinen account..naja dann öffnete sich plötzlich ein chat fenster auf mein system über eine userinit.exe und ein typ begann mit mir zu labern von wegen er lässt mein system abstürzen... daraufhin hab ich mein Internet gekappt und windows neu installiert... Hab aber nur C formatiert und nicht meine andere partition da da zu viele sachen drauf sind, die ich eifnach nicht so leicht löschen will... Ich hoffte das hat gereicht, aber gestern erst geschah es wieder, meine neuer account wurde gehackt, er bekam mein neues passwort wieder raus... Ich habe jetzt soviele verscheidene anti viren programme und trojan detector durch mein system gejagt, aber keines konnte wirklich was finden
Ich kenn mich so auf diesem Gebiet auch nicht so richtig aus und hoffe mir kann da vielleicht jemand helfen
hab mir mal dieses hijack tool runter geladen und ein Log erstellt..weiss nicht ob das irgendwie hilft:

Logfile of HijackThis v1.99.1
Scan saved at 15:48:47, on 22.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\ewido\security suite\ewidoctrl.exe
C:\Program Files\Mozilla1.7.3\mozilla.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Documents and Settings\Krishna\Desktop\New Folder (3)\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [tcactive] D:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Shareaza] "D:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Steam] D:\Spiele\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109077868734
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

---

Achja ein freund von mir hat mir empfohlen F-PROT zu beuntzen..kennt sich damit jemand aus? der scannt bei mir nämlich die Hard Disc boot sectoren nicht und gibt mir folgendes aus:
C:\HIBERFIL.SYS Not scanned (in use by another application)
C:\PAGEFILE.SYS Not scanned (in use by another application)

wäre um hilfe sehr dankbar!
schönen gruß
Charmin

Ps: Hier kann man sich ein scrrenshot ansehen wie er sich vor 2 monaten sich bei mir über die userinit.exe einschlich:
http://bytebreaker.by.funpic.de/screenshots/Virus.JPG

#2 Das Log sieht sauber aus, außer, dass du dein System per www.windowsupdate.com updaten solltest.


Lade dennoch zur Sicherheit folgende Programme herunter und update sie:

AdAware
http://www.lavasoft.de/support/download/
Spybot S&D
http://www.safer-networking.org/de/download/index.html
eScan
http://www.mwti.net/antivirus/free_utilities.asp


Erster Schritt:

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!


Diagnose und Vorbereinigung:

Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken)
(DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von hier beseitigen, ist für die Funktion von Spybot aber nicht notwendig).


Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch:
http://www.trojaner-info.de/hijacker/escan.shtml
Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info.

Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!).

Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (komlpetter Pfad + Datei, sowie Art der Infektion!)
Virenwächter danach wieder aktivieren!

Die oben genannten Schritte sind Routine und du solltest sie zur Sicherheit ausführen, sofern noch nicht geschehen.


Des weiteren:

Zu deinem D2 Problem: hast du noch irgendwelche Tools zu D2 laufen? maphack etc.? (da ich selber D2 spiele, weiß ich leider wie viele Leute diesen Unsinn benutzen, mir persönlich geht das unheimlich auf den Keks, aber das ist hier jetzt nicht das Thema )
Es wäre gut möglich das solche 'netten Plugins' bei dir, diese Keylog-Funktionalität haben, ohne als Virus erkannt zu werden. Da sie z.B. nur darauf zugeschnitten sind D2-Passwörter zu versenden und dabei oft eng mit D2 verknüpft sind. Ein weiterer beliebter Trick ist es, durch solche Tools die Passwörter über das BattleNet jemandem flüstern zu lassen, ohne das es der Besitzer des Accounts merkt!

Solltest du also irgendwelche D2-Hacks verwenden oder verwendet haben, würde ich sowohl das betreffende Programm löschen als auch D2 komplett deinstallieren und frisch installieren.

Außerdem: Sorge dafür, dass dein Passwort sicher ist!
Charakteristika für sichere Passwörter:
mindestens 8 Zeichen!
Groß- Kleinbuchstaben, Zahlen und Sonderzeichen sowie Symbole zusammen verwenden!
keine Wörter aus dem Lexikon verwenden!
keine Passwörter wiederverwenden, niemals das gleiche PW nutzen!
keine PW's welche leicht zu erraten sind verwenden!
keine PW's aus dem privaten Umfeld nutzen! (irgendwelche Spitznamen, persönlicher Sprachgebrauch wie abgewandelter Dialekt etc.)

Ich weiß das klingt kompliziert, aber je länger das PW, desto sicherer ist es. Außerdem könntest du versuchen dich mit dem Blizzard-Support in Verbindung zu setzen um den Vorfall zu melden, du wirst allerdings auf keinen Fall weder Chars noch Items zurück bekommen, doch vllt wird Blizz eine Nachforschung anstellen um herauszufinden welcher CD-Key bzw. IP benutzt wurde um deine Acc's zu leeren und Schritte einleiten diesen User zu bannen.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#3 Ja ich hab mir mal so ein proramm runter geladen, angeblich konnte man damit in farbe schreiben... das war aber ein reinfall! Naja hab das ja jetzt nach dem formatieren nicht mehr gemacht, aber trotzdem geschah es.. mein passwort ist eingentlich bombensicher... es hat keinen zusammenhang zu irgendetwas und besteht aus zeichen und zahlen sowie buchstaben... Ich werd mal die schritte die du oben genannt hast ausprobieren...
Mal gucken ob es hilft!
danke schonmal
greetz
Charmin

---- E D I T ----

So hab eScan durch laufen lassen..hier die infected logs:

Tue Feb 22 18:37:23 2005 => Scanning Folder: C:\Program Files\AVPersonal\INFECTED\*.*

Tue Feb 22 18:53:05 2005 => File D:\!!!!! KANNAN VERY IMPORTANT !!!!!\!!!Sortierung\!!!Downloads\!Cracking\DFM 1.0.381\DFM_1.0.381.zip infected by "IM-Flooder.Win32.DFMA.a" Virus. Action Taken: No Action Taken.

Tue Feb 22 18:56:30 2005 => File D:\!!!!! KANNAN VERY IMPORTANT !!!!!\!!!Sortierung\!!!Downloads\!Internet\!Manager\GetRight 4.5d (build 2)\getrt45d.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken.

Tue Feb 22 18:57:19 2005 => File D:\!!!!! KANNAN VERY IMPORTANT !!!!!\!!!Sortierung\!!!Downloads\!Security\Windows Help Buffer Overflow\ChmOverflow.zip infected by "HackTool.Win32.ChmBuf" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:07:50 2005 => File D:\!!!!! KRISHNA !!!!!!!\Krishnas neuer Opera7 2\Mail\storage\mbox10.mbs infected by "Email-Worm.Win32.Sobig.a" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:07:59 2005 => File D:\!!!!! KRISHNA !!!!!!!\Krishnas neuer Opera7 2\Mail\storage\mbox22.mbs infected by "Email-Worm.Win32.Sobig.a" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:08:08 2005 => File D:\!!!!! KRISHNA !!!!!!!\Krishnas neuer Opera7 2\Mail\storage\mbox32.mbs infected by "Email-Worm.Win32.Sobig.a" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:08:09 2005 => File D:\!!!!! KRISHNA !!!!!!!\Krishnas neuer Opera7 2\Mail\storage\mbox33.mbs infected by "Email-Worm.Win32.Sobig.a" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:08:09 2005 => File D:\!!!!! KRISHNA !!!!!!!\Krishnas neuer Opera7 2\Mail\storage\mbox34.mbs infected by "Email-Worm.Win32.Sobig.a" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:32:45 2005 => File D:\Kinderspiele\thank.exe infected by "Trojan-Clicker.Win32.Delf.bi" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:33:12 2005 => File D:\Krishnas Kram von Kannans PC\Desktop\Hier ist ALLES drin\iMeshV3.exe infected by "not-a-virus:AdWare.FlashTrack.d" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:33:38 2005 => File D:\Krishnas Kram von Kannans PC\Desktop\IPDip.exe infected by "HackTool.Win32.ICQIpDip" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:36:17 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*

Tue Feb 22 19:36:17 2005 => Scanning File D:\Programme\AVPersonal\INFECTED\IESEARCH.DLL.VIR

Tue Feb 22 19:36:17 2005 => File D:\Programme\AVPersonal\INFECTED\IESEARCH.DLL.VIR infected by "Trojan.Win32.StartPage.io" Virus. Action Taken: No Action Taken.


Tue Feb 22 19:36:17 2005 => Scanning File D:\Programme\AVPersonal\INFECTED\MT143.EXE.VIR

Tue Feb 22 19:36:17 2005 => File D:\Programme\AVPersonal\INFECTED\MT143.EXE.VIR infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:36:17 2005 => Scanning File D:\Programme\AVPersonal\INFECTED\MT145.EXE.VIR

Tue Feb 22 19:36:18 2005 => File D:\Programme\AVPersonal\INFECTED\MT145.EXE.VIR infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:36:18 2005 => Scanning File D:\Programme\AVPersonal\INFECTED\NDRV.DLL.VIR

Tue Feb 22 19:36:18 2005 => Scanning File D:\Programme\AVPersonal\INFECTED\PMR.EXE.VIR

Tue Feb 22 19:36:18 2005 => File D:\Programme\AVPersonal\INFECTED\PMR.EXE.VIR infected by "not-a-virus:AdWare.Suggestor.b" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:36:18 2005 => Scanning File D:\Programme\AVPersonal\INFECTED\PMR.OCX.VIR

Tue Feb 22 19:36:18 2005 => File D:\Programme\AVPersonal\INFECTED\PMR.OCX.VIR infected by "not-a-virus:AdWare.Suggestor.a" Virus. Action Taken: No Action Taken.


Tue Feb 22 19:36:18 2005 => Scanning File D:\Programme\AVPersonal\INFECTED\POLALL1M.EXE.VIR

Tue Feb 22 19:36:18 2005 => File D:\Programme\AVPersonal\INFECTED\POLALL1M.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:36:18 2005 => Scanning File D:\Programme\AVPersonal\INFECTED\SP2CTR[1].EXE.001

Tue Feb 22 19:36:18 2005 => File D:\Programme\AVPersonal\INFECTED\SP2CTR[1].EXE.001 infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 19:36:18 2005 => Scanning File D:\Programme\AVPersonal\INFECTED\SP2CTR[1].EXE.VIR

Tue Feb 22 19:36:19 2005 => File D:\Programme\AVPersonal\INFECTED\SP2CTR[1].EXE.VIR infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:05:42 2005 => File D:\System Volume Information\_restore{67C20E38-3373-4E5C-91ED-44C2E547B8F6}\RP134\A0031197.exe infected by "Trojan-Dropper.Win32.Joiner.ah" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:21:25 2005 => File D:\Xbox Hacking Tutorials + Linux\SCVHOSiM.exe infected by "Backdoor.Win32.Agobot.ea" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:22:38 2005 => Total Disinfected Files: 0
----

TOTAL:
43 Virus(es) founded
Total errors 155



so das wars... weiss net ob das wirklich was sagt
Need help ^^
gruß
Charm!n



EDIT

Da mir hier auch net wirklich geholfen werden konnte, werd ich jetzt schweren Herzens alles löschen... das scheint mir das sicherste zu sein.... also topic kann geclosed werden!
greetz
Charm!n