Keylogger von Kaspersky gefunden

#1 Hallo.

Ich habe seit heute das problem, dass wenn ich mich bei meinem online-rollenspiel anmelden möchte, kaspersky einen keylogger findet. Zeigt aber nich an wo bzw den namen davon...es steht nur noch da:
Modul: kernel mode memory patch

Ich kann auch keine aktionen durchführen. (löschen oder so)
Hab dann mal nen kompletten viren-scan durchlaufen lassen, und dabei hatte kaspersky folgendes gefunden und gelöscht:

"trojanisches programm Backdoor.Win32.Pahador.t"


Na ok, hier erstmal die log-files:

1. Combofix:

ComboFix 07-09-18.4 - "Sch„fchen" 2007-09-18 17:50:57.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.640 [GMT 2:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\WINDOWS\~tmp1767.exe
E:\WINDOWS\~tmp2591.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-08-18 bis 2007-09-18 ))))))))))))))))))))))))))))))
.

2007-09-18 17:49 51,200 --a------ E:\WINDOWS\NirCmd.exe
2007-09-18 14:55 <DIR> dr------- E:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-09-11 13:04 <DIR> d-------- E:\Kaspersky Internet Security v7.0.123

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-18 18:01 8515616 --ahs---- E:\WINDOWS\system32\drivers\fidbox.dat
2007-09-18 18:01 150304 --ahs---- E:\WINDOWS\system32\drivers\fidbox2.dat
2007-09-18 17:42 --------- d-a------ E:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-09-18 17:23 --------- d-------- E:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
2007-09-18 14:35 16940 --ahs---- E:\WINDOWS\system32\drivers\fidbox2.idx
2007-09-18 14:35 117740 --ahs---- E:\WINDOWS\system32\drivers\fidbox.idx
2007-09-18 14:32 --------- d-------- E:\Programme\Kaspersky Internet Security 7.0
2007-09-04 11:41 82061 --a------ E:\WINDOWS\system32\drivers\klick.dat
2007-09-04 11:41 81549 --a------ E:\WINDOWS\system32\drivers\klin.dat
2007-09-03 02:05 --------- d-------- E:\Programme\DVBViewer
2007-08-28 16:34 --------- d-------- E:\Programme\GameSpy
2007-06-20 13:04 206088 --a------ E:\WINDOWS\system32\klogon.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 21:10]
"RemoteControl"="E:\Programme\PowerDVD\PDVDServ.exe" [2005-12-07 22:57]
"LanguageShortcut"="E:\Programme\PowerDVD\Language\Language.exe" [2006-04-13 11:09]
"LogitechVideoRepair"="E:\Programme\Logitech\Video\ISStart.exe" []
"QuickTime Task"="E:\Programme\QuickTime\qttask.exe" [2006-12-13 15:45]
"UVS10 Preload"="E:\Programme\Ulead VideoStudio 10\uvPL.exe" [2006-05-17 15:23]
"DAEMON Tools"="E:\Programme\D-Tools\daemon.exe" [2006-11-12 12:48]
"AVP"="E:\Programme\Kaspersky Internet Security 7.0\avp.exe" [2007-06-20 13:04]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="E:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 20:31]

E:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Adobe Reader - Schnellstart.lnk - E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06]
Microsoft Office.lnk - E:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=E:\PROGRA~1\KASPER~1.0\adialhk.dll

R1 oreans32;oreans32;\??\E:\WINDOWS\system32\drivers\oreans32.sys
R3 actser;actser;E:\WINDOWS\system32\drivers\actser.sys
R3 klim5;Kaspersky Anti-Virus NDIS Filter;E:\WINDOWS\system32\DRIVERS\klim5.sys
R3 kncbda;KNC ONE BDA DVB-C;E:\WINDOWS\system32\DRIVERS\kncbda32.sys
R3 vsbus;Virtual Serial Bus Enumerator;E:\WINDOWS\system32\DRIVERS\vsb.sys
S3 Cap7146_DVB;KNC TV-Station Capture;E:\WINDOWS\system32\Drivers\bdacap46.sys
S3 DVBLLC;DVB LLC Service;E:\WINDOWS\system32\Drivers\DVBLLC32.sys
S3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;E:\WINDOWS\system32\drivers\HCWBT8XX.sys
S3 PTDVB;KNC TV-Station Tuner;E:\WINDOWS\system32\Drivers\PTuneDVB.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\G:\NTGLM7X.sys
S3 vserial;ELTIMA Virtual Serial Ports Driver;E:\WINDOWS\system32\DRIVERS\vserial.sys

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-18 18:01:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-18 18:04:35
E:\ComboFix-quarantined-files.txt ... 2007-09-18 18:04
.
--- E O F ---


2. hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:47:49, on 18.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\TGTSoft\StyleXP\StyleXPService.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\PowerDVD\PDVDServ.exe
E:\Programme\D-Tools\daemon.exe
E:\Programme\Kaspersky Internet Security 7.0\avp.exe
E:\Programme\Kaspersky Internet Security 7.0\avp.exe
E:\Programme\Cyberlink\Shared files\RichVideo.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
E:\WINDOWS\system32\wdfmgr.exe
E:\WINDOWS\system32\wscntfy.exe
E:\WINDOWS\System32\alg.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\MSN Messenger\usnsvc.exe
E:\WINDOWS\explorer.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Dokumente und Einstellungen\Schäfchen\Desktop\Virus bla\HiJackThis\HJT.exe
E:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ATIPTA] E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] E:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] E:\Programme\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] E:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UVS10 Preload] E:\Programme\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVP] "E:\Programme\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [STYLEXP] E:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Programme\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Programme\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\Party Poker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\Party Poker\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - E:\Programme\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - E:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: StyleXPService - Unknown owner - E:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - E:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 5038 bytes


3.datfind.bat

16.09.2007 22:53 2.206 wpa.dbl
22.07.2007 18:39 279.552 swreg.exe
02.07.2007 11:46 311.604 perfh009.dat
02.07.2007 11:46 39.992 perfc009.dat
02.07.2007 11:46 316.594 perfh007.dat
02.07.2007 11:46 48.156 perfc007.dat
02.07.2007 11:46 723.744 PerfStringBackup.INI
20.06.2007 13:04 206.088 klogon.dll
__________
_____________
THX for Helping

#2 Hm währe hielfreisch zu wissen welches spiel.
Im ersten moment würde ich eher auf nen fehlalarm tippen.
Einige onlinegames enthalten teile die viren bzw backdoors ähnlisch sind.

Im forum deines onlinespiels findeste dann meist hilfe.

#3 Hab ich vergessen, KalOnline heißt das spiel.

Und dieser "Backdoor.Win32.Pahador.t" war eine "rar-datei" namens "kvjjtwkr.rar" im verzeichnis: ...dokumente und einstellungen\schäfchen\lokale einstellungen\temp
__________
_____________
THX for Helping

#4 Entferne auf C:\Qoobox-->Papierkorb leeren

Download CounterSpyV2.0 zum Desktop
und dopplelklick um das Program zu installieren
CounterSpy wird geupdatet
Klicke: " System scan "
Nach dem Scan muss man sich entscheiden für: *Remove --> Status: Deleted
Nur für Windows XP(32bit) - Windows Vista (32bit) - Windows 2000 (SP3+)Note
CounterSpy hat den Nachteil --> es will sich stets updaten
Wenn man CS startet:
Would you like to enable Automatic Updates? Wähle --> No
Would you like to enable Active Protection? Wähle --> No
Would you like to join ThreatNet? Wähle --> Yes
Häckchen entfernen bei --> Recommended
__________
MfG Argus

#5 Aso, du meinst den ordner "qoobox" den combofix angelegt hat ?

Besteht auch die möglichkeit dass die keylogger-meldung irgendwie zum spiel gehört, sprich dass es nicht wirklich ein keylogger sein muss sondern dass kaspersky es einfach nur so einstuft ?
__________
_____________
THX for Helping

#6 Im Qoobox stecken die zwei .exe files die Combofix entfernt hat
Ich benutze kein Kaspersky kann also darueber nichts sagen
__________
MfG Argus

#7 Hab ich entfernt.

Was benutzt du für nen antivirus ?

Muss das sein, dass CounterSpy hier ewig für das update von v617 zu v632 braucht ? Hier passiert echt mal garnix.
__________
_____________
THX for Helping

#8 Ich benutze eScan VC 2006 und noch 7 andere aber die schlafen

Dein Java software ist veraltet,
Download jre-6u2-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u2
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe”
__________
MfG Argus

#9 Also, CounterSpy hat nur noch eine richtige bedrohung gefunden:

Backdoor.Win32.Sdbot Backdoor more information...
Details: SdBot is the name of a family of trojans, also known as backdoors or worms, used by hackers to control a machine without the owner's knowledge.
Status: Quarantined

Files detected
D:\System Volume Information\_restore{E43C28A2-1885-49EB-8738-B5F694415D7F}\RP207\A0076531.exe

Der Rest sprich "Registry" und "Potentially Unwanted Program" hat alles was mit PartyPoker zu tun.

edit: Habe java wie oben installiert ... Die "keylogger-meldung" kommt immernoch nach dem starten des spiels "kalonline".
__________
_____________
THX for Helping

#10 Hi Roentgi,

benutze auch Kaspersky und bin eigentlich sehr zufrieden damit. Aber auch bei Kaspersky, wie bei allen anderen Virenscannern, können gelegentlich falsch positive Meldungen entstehen. Das kann verschiedene Ursachen haben.
Wenn Du ganz sicher gehen willst, dann schicke die verdächtige Datei an Kaspersky Lab http://www.kaspersky.com/de/virusscanner und lasse sie dort testen (ganz unten auf der Seite steht "Senden Sie uns Ihren Viren-Verdacht". Anklicken und die Datei per email senden). Sollte sie harmlos sein, dann wird KAL sicherlich eine entsprechende Änderung der Virussignaturen vornehmen damit diese Datei nicht mehr angemeckert wird.

Der von Counterspy gemeldete Virus sitzt in der Systemwiederherstellung. Diese musst Du deaktivieren und anschließend wieder aktivieren (s. Windows Help) und die Wiederherstellungspunkte inklusive des infizierten werden alle gelöscht.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#11 Ich bin eigentlich auch sehr zufrieden mit kaspersky.

Wie soll ich denn eine datei verschicken, wenn ich nich weiß wo die sein soll...Kaspersky zeigt mir nur an "Keylogger" und "Modul: kernel mode memory patch" , kein pfad oder sonst was.

Also was soll ich da bei kaspersky checken lassen?
__________
_____________
THX for Helping

#12 Sorry, habe übersehen, dass es Dir nur um den Keylogger geht. Habe mein Posting also nochmal überarbeitet. Die Temp-Datei wurde ja beim Virusscan bereits gelöscht.

Habe gerade mal gegoogelt und im KAV-Forum einen sehr ähnlichen Beitrag zu dem Thema "Keylogger" gefunden.
http://forum.kaspersky.com/lofiversion/index.php/t36525.html
Vielleicht hilft Dir das weiter.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#13 Mit google bin ich auch schon mal auf den beitrag gestoßen, allerdings hat er mich jetzt nich wirklich weitergebracht, weil "system safety monitor" oder "process guard" oder ähnliche sachen verwende ich ja nich...

Hab die datei wiederhergestellt und bei kaspersky online checken lassen: kvjjtwkr.rar >> Infiziert: Backdoor.Win32.Pahador.t ... aber diese datei wurde ja schon erfolgreich entfernt von kaspersky


Kann man eigentlich den kompletten ordner ...dokumente und einstellungen\schäfchen\lokale einstellungen\temp mal leeren oder sind da auch wichtige sachen drin ?

edit: f-secure blacklight hat auch nix gefunden

edit: Wie kann man denn jetzt herausfinden welche datei die "keylogger-warnung" bei kaspersky verursacht ??? Es steht ja nix da außer "kernel mode memory patch"
__________
_____________
THX for Helping

#14 Klar, Du kannst den Inhalt dieses Temp-Ordners gefahrlos löschen, entweder manuell oder mit dem CCleaner http://ccleaner.softonic.de/

Was das Keylogger-Problem angeht so könnte Dir das vielleicht weiterhelfen
http://forum.sysinternals.com/forum_posts.asp?TID=11943
Soweit ich das verstanden habe handelt es sich bei der Meldung um einen Bug. Seltsam nur, dass dies dann nicht bei allen KAV Usern auftritt!?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#15 Jo, genau DAS is mein problem

Aber ich versteh jetzt nich ganz was es mit "kernel32.dll hooker" auf sich hat ?

Aber wieso springt kaspersky erst genau bei diesem spiel an und bringt diese meldung, warum nicht auch wenn ich mich hier im forum anmelde oder bei der email adresse anmelde oO ??

Eigentlich müsste doch irgendein virus-progi was finden, wenn ich nen echten keylogger draufhätte oder ? Und nicht nur keylogger hinschreiben und dann keinen finden (@ kaspersky)

edit: Wo kann ich das einsehen, wovon der themen-starter da nen screeni gemacht hat ? (mit den prozessen da)
__________
_____________
THX for Helping