Keylogger im System aber nicht auffindbar

#1 Hallo,

ich hab mir gestern einen trainer fuer ein online-game heruntergeladen was versprochen hat einige "cheats" freizuschalten, war mir aber bewusst das es ein keylogger sein koennte.

als ich es dann zum ersten mal ausfuerte hat er irgendeine datei angelegt, und gesagt "succesful". dann popte auf einmal norton auf und sagte mir das eine email versendet wird, also "outgoing email" halt. dann wusste ich das isn keylogger. norton ist/war bei mir immer auf den neusten stand und hat selber nichts gefunden. Habe dann Ad-Aware runtergeladen und der zeigte mir einige dateien an, keylogger, cydoors. ich so, super..das isser...alles entfernt neugestartet...peng...wieder outgoing email. er macht des beim start von windows (xp in meinem fall) und so ca. alle 30 min in regelmäßigen abständen.
ich war dann am verzweifeln, und hab eifrig nach anderen anti-spy tool gegooglet und auch enigei, bei denen die meinungen recht gut waren gesaugt. die haben alle nix gefunden, ausser Spybot - Search and Destroy. da hat er auch nochmal n keylogger gefunden, und man konnte alle dateien dort in der datenbank mit dem windows sys blocken. ich dachte jetzt hab ichs, startete neu aber PENG...wieder outgoing email. kapersky antivirus und mc affee hab ich ebenfalls versucht. fehlanzeige nichts...bin echt voll am rätseln wie ich den mist wieder wegbekomm...bin mit meinem latein am ende, ich hoffe sehr das ich hier hilfe finden werde

Greetz

VanHydra

EDIT: im taskmanager ist auch nichts weiter ungewöhnliches, ausser eine datei namens "controlrandom.exe"
diese ist auch im autostart drin, aber aktivieren oder deaktivieren macht keinen unterschied.....kennt einer diese datei? vllt gehört die da mit zu.....

#2 Poste mal ein Hijackthis log. Da kamm man dann mehr sehen:
http://mjc1.com/mirror/hjt/ dort die Datei herunterladen, entpacken, die exe starten, scan druecken, save log druecken, danach den Inhalt des Aufpopenden Editors in eine Antwrt hineinkopieren.
__________
MfG Ralf
SEO-Spam Hunter

#3 Logfile of HijackThis v1.97.6
Scan saved at 06:52:38, on 18.11.2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
E:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\system32\controlrandom.exe
C:\WINDOWS\Explorer.EXE
E:\PROGRA~1\NORTON~1\navapw32.exe
E:\Programme\Winamp\Winampa.exe
E:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Operator\LOKALE~1\Temp\Rar$EX00.719\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.giga.de/gigagames/index_gigagames/0,2182,,00.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NAV Agent] E:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Outpost Firewall] E:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Trillian.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - E:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: B5-DE Woerterbuch - C:\WINDOWS\Web\b5-de.htm
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: DE-B5 Woerterbuch - C:\WINDOWS\Web\de-b5.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://E:\Programme\LeechGet 2002\\Wizard.html
O8 - Extra context menu item: Mit FlashGet laden - E:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Mit LeechGet herunterladen - file://E:\Programme\LeechGet 2002\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://E:\Programme\LeechGet 2002\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.wanadoo.fr/components/ExentCtl.ocx
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A19966F-AE0E-4699-8CCE-9B6F5F1C352C} (NPKXSite Control) - http://kr.pristontale.com/nprotect/keycrypt/npkxsite.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37673.7724537037
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D21A082-2561-4109-A299-D37A72376CDA}: NameServer = 192.168.0.1




ich hab jetzt noch rausgefunden das es eine datei mit dem namen "controlrandom.exe" sein muss. diese war auch im tray drin, und wurde per autostart gestartet. hab den haken weggemacht und den regestry eintrag fuer die datei gelöscht. leider versucht sie imernoch ne email zu senden. laut systools is die datei im system32 ordner, wo sie aber nicht ist. ich hab versteckte dateien etc auch an, war unterm abgesichtertem modus...aber die datei ist devinitiv nicht da. ueber den windows suchen dialog findet er auch nichts. trotzdem versucht eine anwendung mit diesen namen zu senden....eine datei die es garnicht gibt O.o

#4 Also das muss raus(von Hijackthis "fix"en lassen, wenn alle Programme geschlossen sind) bzw die Datei mal hier testen:http://www.kaspersky.com/remoteviruschk.html

O4 - HKLM\..\Run: [ScanRegistry] C:\W

Und wenn du mit den Koreanischen Sachen von h**p://kr.pristontale.com nichts zun tun hast, muss das auch noch raus:
O16 - DPF: {9A19966F-AE0E-4699-8CCE-9B6F5F1C352C} (NPKXSite Control) - http://kr.pristontale.com/nprotect/keycrypt/npkxsite.cab
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

Das kann weg:
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\Winampa.exe"


Ich hoffe ich habe alles erwischt. Wen du das hast poste mal ein neues Log.

Edit: Das vergessen:
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
__________
MfG Ralf
SEO-Spam Hunter

#5 Wenn man so ein wenig "rumgoogled" koente es Rapidblaster sein:
http://www.wilderssecurity.net/specialinfo/rapidblaster.html
http://forums.techguy.org/t168427/s05dfdce14d00c68633c009f66efdbad6.html

Wenn alles nichts hilft, dieses Log mal hier reinsetzen. Die kennen sich besser mit Spyware aus: http://net-integration.net/cgi-bin/forum/ikonboard.cgi
__________
MfG Ralf
SEO-Spam Hunter

#6 Oh, habe ich gerade erst gesehen. Du solltest dein Windows/Internetexplorer mal via www.windowsupdate.com aktualisieren.
__________
MfG Ralf
SEO-Spam Hunter

#7 also rapidblaster isses nicht. hab alles was du gesagt hast getan...keine veränderung.

es MUSS die controlremote.exe sein, die ich auch mittlerweile gefunden habe...zwar auf ne etwas komische art und weise, aber ich hab sie..mit Nero O.o

der zeigt sie komischerweise an. naja...hab halt versucht sie zu löschen...fehlanzeige. ich kann sie nicht löschen, sie sagt sie wird bereits verwendet...im taskmanager isse aber nich mehr drin....jedenfalls....auch wenn ich sie, nach jedem windows-start per taskmanager beende, schick die gleiche! datei laut firewall ne email..bzw will...

hm... sehr komische sache

#8 Ja, das es nicht rapidblaster ist, weiss ich inzwischen auch. Man sollte nicht nur Sachen suchen/finden, sondern das gefundene auch lesen!
Versuche mal, ob du die Datei im abgesicherten Modus loeschen/verschieben kannst.
__________
MfG Ralf
SEO-Spam Hunter

#9 achja: EDIT (hier stand mal die URL)

da drin ist die besagte datei, ob knight oder dragon spiel keine rolle, beides das selbe...vllt hilft das ja weiter...

#10 Ein Virenscanner schlaegt da so nicht an. Aber warten wirs ab. Gibt es bei dir die Datei W in c:\ ? Wenn ja, teste die mal hier: http://www.kaspersky.com/remoteviruschk.html
Vieleicht kannst du die controlremote.exe Datei von Nero ja insBrowserfenster ziehen?
__________
MfG Ralf
SEO-Spam Hunter

#11 Ich haette Antivir PE nehmen sollen!

dragon.exe
Ist das Trojanische Pferd TR/SCKeyLog.20.D
--> knight.exe
Ist das Trojanische Pferd TR/SCKeyLog.20.D
__________
MfG Ralf
SEO-Spam Hunter

#12 also das mit nero da reinziehen geht nicht.....und....die knight.exe habbi ja wieder gelöscht, trotzdem is ja noch der logger da....wie bekomm ich den gezz weg?

#13 Also Kaspersky findet den eh noch nicht. Vieleicht solltest du den Downloadlink wieder rausnehmen, nicht das sich hier gleich massig viel Leute "anstecken"!
Entweder noch etwas warten, oder dir Antvir von www.free-av.de herunterladen und damit versuchen zu loeschen.

Es wird wohl nicht lange dauern, bis die anderen AV-Hersteller den finden koennen.:-?
__________
MfG Ralf
SEO-Spam Hunter

#14 dabei hiess es immer kapersky sei so gut T_T

hab jetzt mal antivir gesaugt und werd jetzt mal installieren

#15 Das denke ich immer noch. Ich weiss auch nicht, ob Antivir mit der Identifizierung recht hat, denn den Trojaner, den es meldet, kennen alle anderen AV-Hersteller auch. Vieleicht ist es eine neue Variante?
__________
MfG Ralf
SEO-Spam Hunter