Trojanerbefall / Keylogger |
||
---|---|---|
#0
| ||
08.01.2011, 00:16
...neu hier
Beiträge: 2 |
||
|
||
08.01.2011, 05:38
Moderator
Beiträge: 7805 |
#2
DA wurde dir wohl wirklich ein Password stehlender Trojaner untergejubelt. Solltest du diese "Setup" Datei noch ahben, schicke sie bitte an virus@protecus.de. Im Grunde solltest du den Rechner neu aufsetzen und auf schnellsten Wege alle deine Passworte von einem sauberen REchner aus aendern.
"Boese" Dateien sind u.a. C:\Users\Hauke\AppData\Local\Temp\app1403800337123430295.exe C:\Users\Hauke\AppData\Roaming\local.exe Die Daten, die er versendet hat sind wohl hier verschluesselt gespeichert. C:\Users\Hauke\AppData\Roaming\data.dat __________ MfG Ralf SEO-Spam Hunter |
|
|
||
08.01.2011, 06:46
...neu hier
Themenstarter Beiträge: 2 |
#3
Moin,
ich habe mit Hilfe des CCleaners die "local.exe" und "data.dat" gestoppt und den Dateien verboten, beim Systemstart zu starten. Anschließend habe ich mit MB' Anti-Malware einen Scan gemacht und alles infizierte gelöscht. Außerdem habe ich die Registry nach den Scan-Ergebnissen und den Dateien durchsucht und alle relevanten Einträge gelöscht. Auch nach einem Neustart, startet keiner mehr dieser Prozesse. Ein erneuter Scan hat keinen Befall mehr gezeigt. Die Registry scheint nun auch clean zu sein. Ich mache nochmal mit OTL und HijackThis einen Scan und poste die Log-Files. Alle Passwörter werde ich nacher, wenn ich bei meinen Eltern bin ändern. |
|
|
ich habe vor ein paar Tagen von einem "Kollegen" ein Programm geschickt bekommen. Vor der Installation habe ich das Setup mit Malwarebytes' Anti-Malware gecheckt. Es schien alles clean zu sein und somit klickte ich das Setup doppelt an. Nichts geschah. Nur der "Ladekreis" drehte sich einmal. Langsam dämmerte mir, dass ich es wohl mit einem gecrypteten Trojaner zu tun hatte, welchen MB' Anti-Malware nicht direkt entdecken konnte. Dummerweise habe ich nicht viel Ahnung von Viren & Co. Der einzige Unterschied, welcher mir seit besagter Infektion auffiel, ist, dass immer wenn ich "^^" oder "´´" drücke, die Zeichen sofort doppelt erscheinen.
HijackThis habe ich eben drüber laufen lassen und die Auswertung wies 3 Elemente auf, welche durchaus schädlich sein könnten.
Anschließend habe ich mich auf die Suche nach der als schädlich eingestuften "local.exe" gemacht und diese mit MB' Anti-Malware gescannt. Das Ergebnis ist unten zu sehen. Löschen lies sich die Datei natürlich nicht. Auch mit MB' Anti-Malware die 7 infizierten Einträge in Quarantäne zu verschieben und nach einem Neustart zu löschen hat nichts bewirkt. Die .exe erscheint einfach sofort neu.
Ich habe noch eine Datei gefunden. Sie befindet sich ebenfalls im "Roaming" Ordner und nennt sich "data". Ich habe diese Datei mit dem Editor geöffnet und siehe da - Es wird alles aufgezeichnet, was ich eingebe. Ganz klar ein Keylogger.
Eine Neuinstallation wäre mit viel Arbeit verbunden, da ich als Systemplatte eine SSD verwende und für die optimale Performance, Windows 7 erst auf eine normale HDD installieren und anschließend auf die SSD klonen müsste.
Es wäre also schön, wenn es einen anderen Weg gäbe.
HijackThis:
Zitat
Malwarebytes' Anti-Malware:Zitat
OTL.txt:Zitat
Extras.txt:Zitat