verdacht auf einen keylogger

#1 hallo zusammen,
ich habe von meinem bruder einen acer laptop geschenkt bekommen. um sicher zu sein, habe ich das system mit der recovery CD neu aufgespielt. hierbei konnte ich leider nicht die komplette festplatte formatieren, sondern nur das betriebssystem. habe nun gmer zur sicherheit laufen lassen und er zeigt mir laut google, einen keylogger an. daraufhin lies ich combofix laufen, habe aber keine ahnung, wie ich die txt. datei zu bewerten habe.
vielleicht könnt ihr mir ja helfen und hoffentlich entwarnung geben :-)



ComboFix 10-12-07.06 - SamHall 08.12.2010 21:39:47.2.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.568 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\SamHall\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2010-11-08 bis 2010-12-08 ))))))))))))))))))))))))))))))
.

2010-11-29 16:39 . 2010-11-29 16:39 -------- d-----w- c:\programme\GMX
2010-11-27 11:13 . 2008-04-13 18:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2010-11-27 11:13 . 2008-04-13 18:47 25856 ----a-w- c:\windows\system32\dllcache\usbprint.sys
2010-11-27 11:12 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-11-27 11:12 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\dllcache\usbscan.sys
2010-11-27 11:11 . 2010-11-27 11:11 -------- d-----w- c:\programme\epson
2010-11-27 11:11 . 2006-10-12 23:00 61952 ----a-w- c:\windows\system32\escwiad.dll
2010-11-22 17:46 . 2010-11-22 17:46 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2010-11-17 18:55 . 2010-11-17 18:55 -------- d-----w- c:\windows\system32\NtmsData
2010-11-15 17:37 . 2010-09-18 06:52 974848 ------w- c:\windows\system32\dllcache\mfc42.dll
2010-11-15 17:37 . 2010-09-18 06:52 953856 ------w- c:\windows\system32\dllcache\mfc40u.dll
2010-11-15 17:36 . 2010-08-23 16:11 617472 ------w- c:\windows\system32\dllcache\comctl32.dll
2010-11-15 17:24 . 2009-08-13 15:15 512000 ------w- c:\windows\system32\dllcache\jscript.dll
2010-11-12 21:22 . 2010-11-12 21:22 -------- d-----w- c:\windows\system32\de-de
2010-11-12 21:22 . 2010-11-12 21:22 -------- d-----w- c:\windows\system32\de
2010-11-12 21:22 . 2010-11-12 21:22 -------- d-----w- c:\windows\l2schemas
2010-11-12 21:22 . 2010-11-12 21:22 -------- d-----w- c:\windows\system32\bits
2010-11-12 21:11 . 2010-11-12 21:11 -------- d-----w- c:\windows\EHome
2010-11-12 20:47 . 2010-11-12 20:47 -------- d-----w- c:\windows\ServicePackFiles
2010-11-12 20:46 . 2010-11-12 20:46 -------- d-----w- c:\programme\MSXML 4.0
2010-11-12 20:42 . 2008-04-13 18:46 59136 ------w- c:\windows\system32\drivers\rfcomm.sys
2010-11-12 20:41 . 2004-08-03 21:29 31744 ------w- c:\windows\system32\drivers\atinxbxx.sys
2010-11-12 19:37 . 2010-02-04 09:01 74072 ----a-w- c:\windows\system32\XAPOFX1_4.dll
2010-11-12 19:04 . 2010-07-16 12:01 220160 ------w- c:\windows\system32\dllcache\wordpad.exe
2010-11-12 19:03 . 2008-06-14 17:32 273024 ------w- c:\windows\system32\drivers\bthport.sys
2010-11-12 19:03 . 2008-06-14 17:32 273024 ------w- c:\windows\system32\dllcache\bthport.sys
2010-11-12 19:02 . 2010-02-24 13:11 455680 ------w- c:\windows\system32\dllcache\mrxsmb.sys
2010-11-12 19:02 . 2010-08-26 13:39 357248 ------w- c:\windows\system32\dllcache\srv.sys
2010-11-12 19:00 . 2009-11-21 15:54 471552 ------w- c:\windows\system32\dllcache\aclayers.dll
2010-11-12 19:00 . 2008-05-08 14:02 203136 ------w- c:\windows\system32\dllcache\rmcast.sys
2010-11-12 19:00 . 2010-08-27 08:01 119808 ------w- c:\windows\system32\dllcache\t2embed.dll
2010-11-12 19:00 . 2009-10-15 16:28 81920 ------w- c:\windows\system32\dllcache\fontsub.dll
2010-11-12 18:59 . 2010-11-12 18:59 -------- d-----w- c:\programme\Defraggler
2010-11-12 18:58 . 2010-06-14 14:31 744448 ------w- c:\windows\system32\dllcache\helpsvc.exe
2010-11-12 18:51 . 2009-02-06 10:10 227840 ------w- c:\windows\system32\dllcache\wmiprvse.exe
2010-11-12 18:51 . 2010-04-28 18:11 2192256 ------w- c:\windows\system32\dllcache\ntoskrnl.exe
2010-11-12 18:51 . 2009-03-06 14:19 286720 ------w- c:\windows\system32\dllcache\pdh.dll
2010-11-12 18:51 . 2009-02-09 11:21 111104 ------w- c:\windows\system32\dllcache\services.exe
2010-11-12 18:51 . 2009-02-09 10:51 401408 ------w- c:\windows\system32\dllcache\rpcss.dll
2010-11-12 18:51 . 2009-02-09 10:51 740352 ------w- c:\windows\system32\dllcache\ntdll.dll
2010-11-12 18:51 . 2009-02-09 10:51 678400 ------w- c:\windows\system32\dllcache\advapi32.dll
2010-11-12 18:51 . 2009-02-09 10:51 473600 ------w- c:\windows\system32\dllcache\fastprox.dll
2010-11-12 18:51 . 2009-02-09 10:51 453120 ------w- c:\windows\system32\dllcache\wmiprvsd.dll
2010-11-12 18:51 . 2010-04-28 05:41 2148864 ------w- c:\windows\system32\dllcache\ntkrnlmp.exe
2010-11-12 18:51 . 2010-04-28 05:41 2027008 ------w- c:\windows\system32\dllcache\ntkrpamp.exe
2010-11-12 18:40 . 2008-10-15 16:35 337408 ------w- c:\windows\system32\dllcache\netapi32.dll
2010-11-11 21:02 . 2010-11-11 21:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-11-11 20:49 . 2007-07-27 22:11 26488 ----a-w- c:\windows\system32\spupdsvc.exe
2010-11-11 20:49 . 2010-11-11 20:49 -------- d--h--w- c:\windows\$hf_mig$
2010-11-11 20:48 . 2010-12-08 18:48 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-11 20:48 . 2010-11-22 17:45 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-11 20:48 . 2010-11-11 20:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-11-11 20:48 . 2010-06-17 14:27 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-11-11 20:48 . 2010-06-17 14:27 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-11-11 20:45 . 2010-11-11 20:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-11-11 20:45 . 2010-11-11 20:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-11 16:56 . 2005-03-23 09:01 245760 ----a-w- c:\windows\system32\Check.exe
2010-11-11 16:56 . 2010-11-11 16:56 -------- d-----w- c:\programme\acer
2010-11-11 16:55 . 2010-11-11 16:56 -------- d-----w- C:\Acer
2010-11-11 16:55 . 2010-11-11 16:55 -------- d-----w- c:\windows\Downloaded Installations
2010-11-11 16:55 . 2010-11-11 16:55 -------- d-----w- c:\windows\tiinst
2010-11-11 16:53 . 2003-12-05 17:46 10368 ------w- c:\windows\system32\drivers\pfc.sys
2010-11-11 16:53 . 2003-04-23 17:29 221215 ------w- c:\windows\system32\Divxdec.ax
2010-11-11 16:53 . 2010-11-11 16:53 -------- d-----w- c:\programme\CyberLink
2010-11-11 16:53 . 2004-08-27 15:42 30720 ----a-w- c:\windows\system32\msxml4a.dll
2010-11-11 16:52 . 2004-12-10 10:49 147456 ----a-w- c:\windows\UNINST32.EXE
2010-11-11 16:51 . 2010-11-11 16:51 -------- d-----w- c:\programme\ATI Technologies
2010-11-11 16:51 . 2010-11-11 16:51 -------- d-----w- c:\dokumente und einstellungen\SamHall
2010-11-11 16:48 . 2008-04-14 02:22 21504 ----a-w- c:\windows\system32\hidserv.dll
2010-11-11 16:48 . 2008-04-14 01:58 14720 ----a-w- c:\windows\system32\drivers\kbdhid.sys
2010-11-11 16:48 . 2001-08-18 03:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2010-11-11 16:48 . 2008-04-13 18:45 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2010-11-11 16:48 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2010-11-11 16:47 . 2010-11-11 16:47 -------- d-----w- c:\programme\CONEXANT

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 11:22 . 1979-12-31 23:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 1979-12-31 23:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 1979-12-31 23:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 1979-12-31 23:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="e:\software\i- safe\super\SUPERAntiSpyware.exe" [2010-10-25 2424560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"preload"="c:\windows\RUNXMLPL.exe" [2004-04-20 40960]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-03-02 32768]
"PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-03-29 61440]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2004-01-28 184320]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-10-11 245760]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-03-03 77824]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 688218]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 77824]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 339968]
"PCMService"="c:\program files\Arcade\PCMService.exe" [2005-03-09 49152]
"eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]
"avgnt"="e:\software\i- safe\antivir\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "e:\software\i- safe\super\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- e:\software\i- safe\super\SASWINLO.DLL

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R1 SASDIFSV;SASDIFSV;e:\software\i- safe\super\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;e:\software\i- safe\super\SASKUTIL.SYS [10.05.2010 19:41 67656]
R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\software\i- safe\antivir\Avira\AntiVir Desktop\sched.exe [11.11.2010 21:48 135336]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [01.01.1980 200192]
R3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [08.04.2005 15:44 2343]
S1 mailKmd;mailKmd; [x]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://global.acer.com/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-08 21:42
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(848)
e:\software\i- safe\super\SASWINLO.DLL
c:\windows\system32\Ati2evxx.dll
c:\windows\System32\BCMLogon.dll

- - - - - - - > 'explorer.exe'(2996)
c:\programme\CyberLink\Shared Files\CLRCEngine.dll
.
Zeit der Fertigstellung: 2010-12-08 21:43:33
ComboFix-quarantined-files.txt 2010-12-08 20:43
ComboFix2.txt 2010-12-08 20:30

Vor Suchlauf: 13 Verzeichnis(se), 30.958.223.360 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 30.947.672.064 Bytes frei

- - End Of File - - 0BFBCE9F1BE165652BE7290ED78908C9


DANKE FÜR EURE HILFE !!!!!!

#2 Wenn Gmer einen Keylogger meldet, dann waere der Gmer Report wichtiger, als der Combpfix Report!
__________
MfG Ralf
SEO-Spam Hunter

#3 hallo ralf,
ich muss gestehen, dass ich nicht allzuviel von viren etc. verstehe. ich lebe sozusagen von google :-) habe auf einer seite gelesen, dass combofix allles anzeigt bzw. alles bereinigt was böse software anbelangt.
hier nun der gmer report. hoffe jemand, der sich auskennt und kurz zeit hat, schaut sich dies an und kann mir dann hoffentlich ein positives feedback geben .

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2010-12-12 18:56:16
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9808210A rev.3.01
Running: 3dkf3ig7.exe; Driver: C:\DOKUME~1\SamHall\LOKALE~1\Temp\uwdoafoc.sys


---- System - GMER 1.0.15 ----

SSDT F7B1BD96 ZwCreateKey
SSDT F7B1BD8C ZwCreateThread
SSDT F7B1BD9B ZwDeleteKey
SSDT F7B1BDA5 ZwDeleteValueKey
SSDT F7B1BDAA ZwLoadKey
SSDT F7B1BD78 ZwOpenProcess
SSDT F7B1BD7D ZwOpenThread
SSDT F7B1BDB4 ZwReplaceKey
SSDT F7B1BDAF ZwRestoreKey
SSDT F7B1BDA0 ZwSetValueKey
SSDT \??\E:\Software\i- safe\super\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xEE6F2620]

---- Kernel code sections - GMER 1.0.15 ----

init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF6F6E23F]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----


ein super dickes dankeschön für eure hilfe!!!!!!!!!!!!!!!!!!!!!

#4 keylogger müsste man prinzipiell auch an dem ausgehenden Traffic erkennen. Sprich: wenn du nichts im internet machst (Skype, ICQ etc aus) und was schreibst und trotzdem ausgehender Traffic da ist sollte einen das stutzig machen.

#5 hört sich plausibel an. gibt es ein programm, mit dem ich den traffic kontrollieren kann. bzw. sehen kann wer oder welches prog. momentan das i net benutzt?

#6 die programme nennen sich "netzwerkmonitor". gibts auch freewareprogramme. google und/oder winload o.ä. portale werden dir da weiterhelfen.

#7 so, hab mir nun ein netzwerkmonitor runtergeladen. wenn ich alle aktivitäten die sich auf das i-net beziehen ausschalte, habe ich in den ersten 3 min. kein traffic. dann aber kurzzeitig mal ganz kleine packete von 80 kbit. gibt es vielleicht ein progamm, dass mir anzeigt, welche dienste/ programme momentan auf das i-net zugreifen?

hoffe einer hat einen tipp :-)

#8 ein Netzwerkmonitor hilft bei einem Keylogger eher weniger weil Du den Zeitpunkt erwischen mußt zu dem die Daten verschickt werden. Das kann einmal am Tag oder vielleicht sogar seltener sein.

sieh Dir mal NetLimiter an, es gibt auch eine Free-Version.
__________
darknight, die wo anders Heike ist.

#9 hey darknight,
du bist weltklasse! genau solch ein progi habe ich gesucht! bzgl. eines keylogger habe ich noch keine auffälligkeiten festgestellt. werde es trotzdem im auge behalten.

nocheinmal vielen dank!

lg roeyksopp