Keylogger von Kaspersky gefunden |
||
---|---|---|
#0
| ||
18.09.2007, 19:08
Member
Beiträge: 95 |
||
|
||
18.09.2007, 19:50
Member
Beiträge: 202 |
#2
Hm währe hielfreisch zu wissen welches spiel.
Im ersten moment würde ich eher auf nen fehlalarm tippen. Einige onlinegames enthalten teile die viren bzw backdoors ähnlisch sind. Im forum deines onlinespiels findeste dann meist hilfe. |
|
|
||
18.09.2007, 20:01
Member
Themenstarter Beiträge: 95 |
#3
Hab ich vergessen, KalOnline heißt das spiel.
Und dieser "Backdoor.Win32.Pahador.t" war eine "rar-datei" namens "kvjjtwkr.rar" im verzeichnis: ...dokumente und einstellungen\schäfchen\lokale einstellungen\temp __________ _____________ THX for Helping |
|
|
||
18.09.2007, 22:00
Ehrenmitglied
Beiträge: 6028 |
#4
Entferne auf C:\Qoobox-->Papierkorb leeren
Download CounterSpyV2.0 zum Desktop und dopplelklick um das Program zu installieren CounterSpy wird geupdatet Klicke: " System scan " Nach dem Scan muss man sich entscheiden für: *Remove --> Status: Deleted Nur für Windows XP(32bit) - Windows Vista (32bit) - Windows 2000 (SP3+)Note CounterSpy hat den Nachteil --> es will sich stets updaten Wenn man CS startet: Would you like to enable Automatic Updates? Wähle --> No Would you like to enable Active Protection? Wähle --> No Would you like to join ThreatNet? Wähle --> Yes Häckchen entfernen bei --> Recommended __________ MfG Argus |
|
|
||
18.09.2007, 22:20
Member
Themenstarter Beiträge: 95 |
#5
Aso, du meinst den ordner "qoobox" den combofix angelegt hat ?
Besteht auch die möglichkeit dass die keylogger-meldung irgendwie zum spiel gehört, sprich dass es nicht wirklich ein keylogger sein muss sondern dass kaspersky es einfach nur so einstuft ? __________ _____________ THX for Helping |
|
|
||
18.09.2007, 22:43
Ehrenmitglied
Beiträge: 6028 |
#6
Im Qoobox stecken die zwei .exe files die Combofix entfernt hat
Ich benutze kein Kaspersky kann also darueber nichts sagen __________ MfG Argus |
|
|
||
18.09.2007, 22:49
Member
Themenstarter Beiträge: 95 |
#7
Hab ich entfernt.
Was benutzt du für nen antivirus ? Muss das sein, dass CounterSpy hier ewig für das update von v617 zu v632 braucht ? Hier passiert echt mal garnix. __________ _____________ THX for Helping |
|
|
||
18.09.2007, 23:11
Ehrenmitglied
Beiträge: 6028 |
#8
Ich benutze eScan VC 2006 und noch 7 andere aber die schlafen
Dein Java software ist veraltet, Download jre-6u2-windows-i586-p.exe Scrolle runter nach ---->Java Runtime Environment (JRE) 6u2 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze in haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch dein Webbrowser Ueber "Start -> Einstellungen -> Systemsteuerung -> Software Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe” __________ MfG Argus |
|
|
||
19.09.2007, 00:12
Member
Themenstarter Beiträge: 95 |
#9
Also, CounterSpy hat nur noch eine richtige bedrohung gefunden:
Backdoor.Win32.Sdbot Backdoor more information... Details: SdBot is the name of a family of trojans, also known as backdoors or worms, used by hackers to control a machine without the owner's knowledge. Status: Quarantined Files detected D:\System Volume Information\_restore{E43C28A2-1885-49EB-8738-B5F694415D7F}\RP207\A0076531.exe Der Rest sprich "Registry" und "Potentially Unwanted Program" hat alles was mit PartyPoker zu tun. edit: Habe java wie oben installiert ... Die "keylogger-meldung" kommt immernoch nach dem starten des spiels "kalonline". __________ _____________ THX for Helping Dieser Beitrag wurde am 19.09.2007 um 02:02 Uhr von Roentgi editiert.
|
|
|
||
19.09.2007, 07:20
Member
Beiträge: 1132 |
#10
Hi Roentgi,
benutze auch Kaspersky und bin eigentlich sehr zufrieden damit. Aber auch bei Kaspersky, wie bei allen anderen Virenscannern, können gelegentlich falsch positive Meldungen entstehen. Das kann verschiedene Ursachen haben. Wenn Du ganz sicher gehen willst, dann schicke die verdächtige Datei an Kaspersky Lab http://www.kaspersky.com/de/virusscanner und lasse sie dort testen (ganz unten auf der Seite steht "Senden Sie uns Ihren Viren-Verdacht". Anklicken und die Datei per email senden). Sollte sie harmlos sein, dann wird KAL sicherlich eine entsprechende Änderung der Virussignaturen vornehmen damit diese Datei nicht mehr angemeckert wird. Der von Counterspy gemeldete Virus sitzt in der Systemwiederherstellung. Diese musst Du deaktivieren und anschließend wieder aktivieren (s. Windows Help) und die Wiederherstellungspunkte inklusive des infizierten werden alle gelöscht. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
19.09.2007, 10:17
Member
Themenstarter Beiträge: 95 |
#11
Ich bin eigentlich auch sehr zufrieden mit kaspersky.
Wie soll ich denn eine datei verschicken, wenn ich nich weiß wo die sein soll...Kaspersky zeigt mir nur an "Keylogger" und "Modul: kernel mode memory patch" , kein pfad oder sonst was. Also was soll ich da bei kaspersky checken lassen? __________ _____________ THX for Helping |
|
|
||
19.09.2007, 10:54
Member
Beiträge: 1132 |
#12
Sorry, habe übersehen, dass es Dir nur um den Keylogger geht. Habe mein Posting also nochmal überarbeitet. Die Temp-Datei wurde ja beim Virusscan bereits gelöscht.
Habe gerade mal gegoogelt und im KAV-Forum einen sehr ähnlichen Beitrag zu dem Thema "Keylogger" gefunden. http://forum.kaspersky.com/lofiversion/index.php/t36525.html Vielleicht hilft Dir das weiter. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 19.09.2007 um 11:16 Uhr von Heron editiert.
|
|
|
||
19.09.2007, 11:23
Member
Themenstarter Beiträge: 95 |
#13
Mit google bin ich auch schon mal auf den beitrag gestoßen, allerdings hat er mich jetzt nich wirklich weitergebracht, weil "system safety monitor" oder "process guard" oder ähnliche sachen verwende ich ja nich...
Hab die datei wiederhergestellt und bei kaspersky online checken lassen: kvjjtwkr.rar >> Infiziert: Backdoor.Win32.Pahador.t ... aber diese datei wurde ja schon erfolgreich entfernt von kaspersky Kann man eigentlich den kompletten ordner ...dokumente und einstellungen\schäfchen\lokale einstellungen\temp mal leeren oder sind da auch wichtige sachen drin ? edit: f-secure blacklight hat auch nix gefunden edit: Wie kann man denn jetzt herausfinden welche datei die "keylogger-warnung" bei kaspersky verursacht ??? Es steht ja nix da außer "kernel mode memory patch" __________ _____________ THX for Helping Dieser Beitrag wurde am 19.09.2007 um 12:00 Uhr von Roentgi editiert.
|
|
|
||
19.09.2007, 12:54
Member
Beiträge: 1132 |
#14
Klar, Du kannst den Inhalt dieses Temp-Ordners gefahrlos löschen, entweder manuell oder mit dem CCleaner http://ccleaner.softonic.de/
Was das Keylogger-Problem angeht so könnte Dir das vielleicht weiterhelfen http://forum.sysinternals.com/forum_posts.asp?TID=11943 Soweit ich das verstanden habe handelt es sich bei der Meldung um einen Bug. Seltsam nur, dass dies dann nicht bei allen KAV Usern auftritt!? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 19.09.2007 um 12:59 Uhr von Heron editiert.
|
|
|
||
19.09.2007, 13:18
Member
Themenstarter Beiträge: 95 |
#15
Jo, genau DAS is mein problem
Aber ich versteh jetzt nich ganz was es mit "kernel32.dll hooker" auf sich hat ? Aber wieso springt kaspersky erst genau bei diesem spiel an und bringt diese meldung, warum nicht auch wenn ich mich hier im forum anmelde oder bei der email adresse anmelde oO ?? Eigentlich müsste doch irgendein virus-progi was finden, wenn ich nen echten keylogger draufhätte oder ? Und nicht nur keylogger hinschreiben und dann keinen finden (@ kaspersky) edit: Wo kann ich das einsehen, wovon der themen-starter da nen screeni gemacht hat ? (mit den prozessen da) __________ _____________ THX for Helping |
|
|
||
Ich habe seit heute das problem, dass wenn ich mich bei meinem online-rollenspiel anmelden möchte, kaspersky einen keylogger findet. Zeigt aber nich an wo bzw den namen davon...es steht nur noch da:
Modul: kernel mode memory patch
Ich kann auch keine aktionen durchführen. (löschen oder so)
Hab dann mal nen kompletten viren-scan durchlaufen lassen, und dabei hatte kaspersky folgendes gefunden und gelöscht:
"trojanisches programm Backdoor.Win32.Pahador.t"
Na ok, hier erstmal die log-files:
1. Combofix:
ComboFix 07-09-18.4 - "Sch„fchen" 2007-09-18 17:50:57.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.640 [GMT 2:00]
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
E:\WINDOWS\~tmp1767.exe
E:\WINDOWS\~tmp2591.exe
.
((((((((((((((((((((((( Dateien erstellt von 2007-08-18 bis 2007-09-18 ))))))))))))))))))))))))))))))
.
2007-09-18 17:49 51,200 --a------ E:\WINDOWS\NirCmd.exe
2007-09-18 14:55 <DIR> dr------- E:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-09-11 13:04 <DIR> d-------- E:\Kaspersky Internet Security v7.0.123
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-18 18:01 8515616 --ahs---- E:\WINDOWS\system32\drivers\fidbox.dat
2007-09-18 18:01 150304 --ahs---- E:\WINDOWS\system32\drivers\fidbox2.dat
2007-09-18 17:42 --------- d-a------ E:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-09-18 17:23 --------- d-------- E:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
2007-09-18 14:35 16940 --ahs---- E:\WINDOWS\system32\drivers\fidbox2.idx
2007-09-18 14:35 117740 --ahs---- E:\WINDOWS\system32\drivers\fidbox.idx
2007-09-18 14:32 --------- d-------- E:\Programme\Kaspersky Internet Security 7.0
2007-09-04 11:41 82061 --a------ E:\WINDOWS\system32\drivers\klick.dat
2007-09-04 11:41 81549 --a------ E:\WINDOWS\system32\drivers\klin.dat
2007-09-03 02:05 --------- d-------- E:\Programme\DVBViewer
2007-08-28 16:34 --------- d-------- E:\Programme\GameSpy
2007-06-20 13:04 206088 --a------ E:\WINDOWS\system32\klogon.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 21:10]
"RemoteControl"="E:\Programme\PowerDVD\PDVDServ.exe" [2005-12-07 22:57]
"LanguageShortcut"="E:\Programme\PowerDVD\Language\Language.exe" [2006-04-13 11:09]
"LogitechVideoRepair"="E:\Programme\Logitech\Video\ISStart.exe" []
"QuickTime Task"="E:\Programme\QuickTime\qttask.exe" [2006-12-13 15:45]
"UVS10 Preload"="E:\Programme\Ulead VideoStudio 10\uvPL.exe" [2006-05-17 15:23]
"DAEMON Tools"="E:\Programme\D-Tools\daemon.exe" [2006-11-12 12:48]
"AVP"="E:\Programme\Kaspersky Internet Security 7.0\avp.exe" [2007-06-20 13:04]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="E:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 20:31]
E:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Adobe Reader - Schnellstart.lnk - E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06]
Microsoft Office.lnk - E:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=E:\PROGRA~1\KASPER~1.0\adialhk.dll
R1 oreans32;oreans32;\??\E:\WINDOWS\system32\drivers\oreans32.sys
R3 actser;actser;E:\WINDOWS\system32\drivers\actser.sys
R3 klim5;Kaspersky Anti-Virus NDIS Filter;E:\WINDOWS\system32\DRIVERS\klim5.sys
R3 kncbda;KNC ONE BDA DVB-C;E:\WINDOWS\system32\DRIVERS\kncbda32.sys
R3 vsbus;Virtual Serial Bus Enumerator;E:\WINDOWS\system32\DRIVERS\vsb.sys
S3 Cap7146_DVB;KNC TV-Station Capture;E:\WINDOWS\system32\Drivers\bdacap46.sys
S3 DVBLLC;DVB LLC Service;E:\WINDOWS\system32\Drivers\DVBLLC32.sys
S3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;E:\WINDOWS\system32\drivers\HCWBT8XX.sys
S3 PTDVB;KNC TV-Station Tuner;E:\WINDOWS\system32\Drivers\PTuneDVB.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\G:\NTGLM7X.sys
S3 vserial;ELTIMA Virtual Serial Ports Driver;E:\WINDOWS\system32\DRIVERS\vserial.sys
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-18 18:01:04
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-09-18 18:04:35
E:\ComboFix-quarantined-files.txt ... 2007-09-18 18:04
.
--- E O F ---
2. hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:47:49, on 18.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\TGTSoft\StyleXP\StyleXPService.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\PowerDVD\PDVDServ.exe
E:\Programme\D-Tools\daemon.exe
E:\Programme\Kaspersky Internet Security 7.0\avp.exe
E:\Programme\Kaspersky Internet Security 7.0\avp.exe
E:\Programme\Cyberlink\Shared files\RichVideo.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
E:\WINDOWS\system32\wdfmgr.exe
E:\WINDOWS\system32\wscntfy.exe
E:\WINDOWS\System32\alg.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\MSN Messenger\usnsvc.exe
E:\WINDOWS\explorer.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Dokumente und Einstellungen\Schäfchen\Desktop\Virus bla\HiJackThis\HJT.exe
E:\WINDOWS\System32\wbem\wmiprvse.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ATIPTA] E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] E:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] E:\Programme\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] E:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UVS10 Preload] E:\Programme\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVP] "E:\Programme\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [STYLEXP] E:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Programme\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Programme\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\Party Poker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\Party Poker\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - E:\Programme\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - E:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: StyleXPService - Unknown owner - E:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - E:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
--
End of file - 5038 bytes
3.datfind.bat
16.09.2007 22:53 2.206 wpa.dbl
22.07.2007 18:39 279.552 swreg.exe
02.07.2007 11:46 311.604 perfh009.dat
02.07.2007 11:46 39.992 perfc009.dat
02.07.2007 11:46 316.594 perfh007.dat
02.07.2007 11:46 48.156 perfc007.dat
02.07.2007 11:46 723.744 PerfStringBackup.INI
20.06.2007 13:04 206.088 klogon.dll
__________
_____________
THX for Helping