Keylogger im System aber nicht auffindbar |
||
---|---|---|
#0
| ||
17.11.2003, 23:02
...neu hier
Beiträge: 7 |
||
|
||
18.11.2003, 05:58
Moderator
Beiträge: 7805 |
#2
Poste mal ein Hijackthis log. Da kamm man dann mehr sehen:
http://mjc1.com/mirror/hjt/ dort die Datei herunterladen, entpacken, die exe starten, scan druecken, save log druecken, danach den Inhalt des Aufpopenden Editors in eine Antwrt hineinkopieren. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.11.2003, 06:46
...neu hier
Themenstarter Beiträge: 7 |
#3
Logfile of HijackThis v1.97.6
Scan saved at 06:52:38, on 18.11.2003 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\crypserv.exe E:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe E:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\WINDOWS\system32\controlrandom.exe C:\WINDOWS\Explorer.EXE E:\PROGRA~1\NORTON~1\navapw32.exe E:\Programme\Winamp\Winampa.exe E:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\ctfmon.exe E:\Programme\Trillian\trillian.exe C:\Programme\Internet Explorer\iexplore.exe E:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Operator\LOKALE~1\Temp\Rar$EX00.719\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.giga.de/gigagames/index_gigagames/0,2182,,00.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ScanRegistry] C:\W O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NAV Agent] E:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Outpost Firewall] E:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: Trillian.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html O8 - Extra context menu item: Alles mit FlashGet laden - E:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: B5-DE Woerterbuch - C:\WINDOWS\Web\b5-de.htm O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html O8 - Extra context menu item: DE-B5 Woerterbuch - C:\WINDOWS\Web\de-b5.htm O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://E:\Programme\LeechGet 2002\\Wizard.html O8 - Extra context menu item: Mit FlashGet laden - E:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Mit LeechGet herunterladen - file://E:\Programme\LeechGet 2002\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://E:\Programme\LeechGet 2002\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.wanadoo.fr/components/ExentCtl.ocx O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9A19966F-AE0E-4699-8CCE-9B6F5F1C352C} (NPKXSite Control) - http://kr.pristontale.com/nprotect/keycrypt/npkxsite.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37673.7724537037 O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7D21A082-2561-4109-A299-D37A72376CDA}: NameServer = 192.168.0.1 ich hab jetzt noch rausgefunden das es eine datei mit dem namen "controlrandom.exe" sein muss. diese war auch im tray drin, und wurde per autostart gestartet. hab den haken weggemacht und den regestry eintrag fuer die datei gelöscht. leider versucht sie imernoch ne email zu senden. laut systools is die datei im system32 ordner, wo sie aber nicht ist. ich hab versteckte dateien etc auch an, war unterm abgesichtertem modus...aber die datei ist devinitiv nicht da. ueber den windows suchen dialog findet er auch nichts. trotzdem versucht eine anwendung mit diesen namen zu senden....eine datei die es garnicht gibt O.o |
|
|
||
18.11.2003, 11:04
Moderator
Beiträge: 7805 |
#4
Also das muss raus(von Hijackthis "fix"en lassen, wenn alle Programme geschlossen sind) bzw die Datei mal hier testen:http://www.kaspersky.com/remoteviruschk.html
O4 - HKLM\..\Run: [ScanRegistry] C:\W Und wenn du mit den Koreanischen Sachen von h**p://kr.pristontale.com nichts zun tun hast, muss das auch noch raus: O16 - DPF: {9A19966F-AE0E-4699-8CCE-9B6F5F1C352C} (NPKXSite Control) - http://kr.pristontale.com/nprotect/keycrypt/npkxsite.cab O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab Das kann weg: O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\Winampa.exe" Ich hoffe ich habe alles erwischt. Wen du das hast poste mal ein neues Log. Edit: Das vergessen: O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 18.11.2003 um 11:22 Uhr von raman editiert.
|
|
|
||
18.11.2003, 11:46
Moderator
Beiträge: 7805 |
#5
Wenn man so ein wenig "rumgoogled" koente es Rapidblaster sein:
http://www.wilderssecurity.net/specialinfo/rapidblaster.html http://forums.techguy.org/t168427/s05dfdce14d00c68633c009f66efdbad6.html Wenn alles nichts hilft, dieses Log mal hier reinsetzen. Die kennen sich besser mit Spyware aus: http://net-integration.net/cgi-bin/forum/ikonboard.cgi __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.11.2003, 12:50
Moderator
Beiträge: 7805 |
#6
Oh, habe ich gerade erst gesehen. Du solltest dein Windows/Internetexplorer mal via www.windowsupdate.com aktualisieren.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.11.2003, 17:00
...neu hier
Themenstarter Beiträge: 7 |
#7
also rapidblaster isses nicht. hab alles was du gesagt hast getan...keine veränderung.
es MUSS die controlremote.exe sein, die ich auch mittlerweile gefunden habe...zwar auf ne etwas komische art und weise, aber ich hab sie..mit Nero O.o der zeigt sie komischerweise an. naja...hab halt versucht sie zu löschen...fehlanzeige. ich kann sie nicht löschen, sie sagt sie wird bereits verwendet...im taskmanager isse aber nich mehr drin....jedenfalls....auch wenn ich sie, nach jedem windows-start per taskmanager beende, schick die gleiche! datei laut firewall ne email..bzw will... hm... sehr komische sache |
|
|
||
18.11.2003, 17:08
Moderator
Beiträge: 7805 |
#8
Ja, das es nicht rapidblaster ist, weiss ich inzwischen auch. Man sollte nicht nur Sachen suchen/finden, sondern das gefundene auch lesen!
Versuche mal, ob du die Datei im abgesicherten Modus loeschen/verschieben kannst. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.11.2003, 17:09
...neu hier
Themenstarter Beiträge: 7 |
#9
achja: EDIT (hier stand mal die URL)
da drin ist die besagte datei, ob knight oder dragon spiel keine rolle, beides das selbe...vllt hilft das ja weiter... Dieser Beitrag wurde am 18.11.2003 um 18:53 Uhr von VanHydra editiert.
|
|
|
||
18.11.2003, 17:27
Moderator
Beiträge: 7805 |
#10
Ein Virenscanner schlaegt da so nicht an. Aber warten wirs ab. Gibt es bei dir die Datei W in c:\ ? Wenn ja, teste die mal hier: http://www.kaspersky.com/remoteviruschk.html
Vieleicht kannst du die controlremote.exe Datei von Nero ja insBrowserfenster ziehen? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.11.2003, 17:38
Moderator
Beiträge: 7805 |
#11
Ich haette Antivir PE nehmen sollen!
dragon.exe Ist das Trojanische Pferd TR/SCKeyLog.20.D --> knight.exe Ist das Trojanische Pferd TR/SCKeyLog.20.D __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.11.2003, 17:49
...neu hier
Themenstarter Beiträge: 7 |
#12
also das mit nero da reinziehen geht nicht.....und....die knight.exe habbi ja wieder gelöscht, trotzdem is ja noch der logger da....wie bekomm ich den gezz weg?
|
|
|
||
18.11.2003, 17:59
Moderator
Beiträge: 7805 |
#13
Also Kaspersky findet den eh noch nicht. Vieleicht solltest du den Downloadlink wieder rausnehmen, nicht das sich hier gleich massig viel Leute "anstecken"!
Entweder noch etwas warten, oder dir Antvir von www.free-av.de herunterladen und damit versuchen zu loeschen. Es wird wohl nicht lange dauern, bis die anderen AV-Hersteller den finden koennen.:-? __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 18.11.2003 um 18:25 Uhr von raman editiert.
|
|
|
||
18.11.2003, 18:28
...neu hier
Themenstarter Beiträge: 7 |
#14
dabei hiess es immer kapersky sei so gut T_T
hab jetzt mal antivir gesaugt und werd jetzt mal installieren |
|
|
||
18.11.2003, 18:40
Moderator
Beiträge: 7805 |
#15
Das denke ich immer noch. Ich weiss auch nicht, ob Antivir mit der Identifizierung recht hat, denn den Trojaner, den es meldet, kennen alle anderen AV-Hersteller auch. Vieleicht ist es eine neue Variante?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
ich hab mir gestern einen trainer fuer ein online-game heruntergeladen was versprochen hat einige "cheats" freizuschalten, war mir aber bewusst das es ein keylogger sein koennte.
als ich es dann zum ersten mal ausfuerte hat er irgendeine datei angelegt, und gesagt "succesful". dann popte auf einmal norton auf und sagte mir das eine email versendet wird, also "outgoing email" halt. dann wusste ich das isn keylogger. norton ist/war bei mir immer auf den neusten stand und hat selber nichts gefunden. Habe dann Ad-Aware runtergeladen und der zeigte mir einige dateien an, keylogger, cydoors. ich so, super..das isser...alles entfernt neugestartet...peng...wieder outgoing email. er macht des beim start von windows (xp in meinem fall) und so ca. alle 30 min in regelmäßigen abständen.
ich war dann am verzweifeln, und hab eifrig nach anderen anti-spy tool gegooglet und auch enigei, bei denen die meinungen recht gut waren gesaugt. die haben alle nix gefunden, ausser Spybot - Search and Destroy. da hat er auch nochmal n keylogger gefunden, und man konnte alle dateien dort in der datenbank mit dem windows sys blocken. ich dachte jetzt hab ichs, startete neu aber PENG...wieder outgoing email. kapersky antivirus und mc affee hab ich ebenfalls versucht. fehlanzeige nichts...bin echt voll am rätseln wie ich den mist wieder wegbekomm...bin mit meinem latein am ende, ich hoffe sehr das ich hier hilfe finden werde
Greetz
VanHydra
EDIT: im taskmanager ist auch nichts weiter ungewöhnliches, ausser eine datei namens "controlrandom.exe"
diese ist auch im autostart drin, aber aktivieren oder deaktivieren macht keinen unterschied.....kennt einer diese datei? vllt gehört die da mit zu.....