Habe einen Keylogger HILFEEEEEE

[Syndrom]

Kurz gefasst-

Mir hat gerade eine Person eine datei geschickt, bei der ich dachte es wäre eine Word-Datei. als ich sie geöffnet habe kam eine nachricht- KEYLOGGER INSTALLIERT- ich habe ihn dann darauf angesprochen und er hat es zugegeben- er hat gesagt der keylogger ist undetected und er kriegt jetzt täglich alles was ich in meine tastatur eingebe.
Wie kriege ich den Keylogger jetzt wieder runter?
Bitte um Hilfe,weil ich nicht will, das er meine Passwörter etc. bekommt, da ich die Person auch nur durchs Internet kenne- somit keinne ich den Namen etc. nicht

[Fat_Mike]

http://www.holy-infos.de/de/intern/forum/hjtbeb.htm


gruss
fat.

edit: ich schüttle immer noch den kopf...

[Syndrom]

Logfile of HijackThis v1.99.1
Scan saved at 17:30:05, on 16.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\Tserver.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\****\LOKALE~1\Temp\Rar$EX26.265\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TweakMASTER] "C:\Programme\WirelessBooster\WBTray.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [winiexp32] C:\WINDOWS\system32\Tserver.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: My IP Suite - {FB5F1910-F110-11d2-BB9E-80C04F795683} - C:\Programme\My IP Suite\MyIPSuite.exe
O9 - Extra 'Tools' menuitem: My IP Suite - {FB5F1910-F110-11d2-BB9E-80C04F795683} - C:\Programme\My IP Suite\MyIPSuite.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h**ps://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - h**p://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - ht**://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - h**p://messenger.zone.msn.com/binary/Chess.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

[Fat_Mike]

nix zu finden.

liest du, machst du: http://www.trojaner-board.de/showthread.php?t=24192


gruss
fat.


ps: erwähnte ich, dass ich noch immer den kopf schüttle angesichts dieser kinderkacke?

[BlueScreen-Bertrand]

Lade die folgenden Datei

C:\WINDOWS\system32\Tserver.exe

auf der Website http://www.virustotal.com/en/indexf.html hoch, um sie zu überprüfen (oben auf der Site). Poste dann das Ergebnis.

Falls sich die Datei nicht manuell auswählen lässt, kopierst du einfach den obenstehenden Pfad und fügst ihn auf der Website ein.

[Syndrom]

Könnte ich nicht einfach Systemwiederherstellung machen?

[Holy Marcell]

Systemwiederherstellung entfernt keine Viren.

[BlueScreen-Bertrand]

Also, mach zuerst mal das hier:
Die Datei Tserver.exe ist mit Sicherheit schädlich. Öffne den Taskmanager und beende den Prozess.
=> [Alt]+[Strg]+[Entf]

Drücke die Tasten [Win]+[R] und gib im erscheinenden Fenster REGEDIT ein.

Navigiere zum Eintrag

Code: Alles auswählen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

und lösche den Wert "winiexp32".

Starte HijackThis erneut und klicke auf
=> "Open the misc tools section", dann
--> "Delete a file on reboot".
--> Wähle die Datei C:\WINDOWS\system32\Tserver.exe aus und starte Windows neu.

Poste nach dem Neustart ein neues Logfile.

[Syndrom]

Lade die folgenden Datei

C:\WINDOWS\system32\Tserver.exe

auf der Website http://www.virustotal.com/en/indexf.html hoch, um sie zu überprüfen (oben auf der Site). Poste dann das Ergebnis.

Falls sich die Datei nicht manuell auswählen lässt, kopierst du einfach den obenstehenden Pfad und fügst ihn auf der Website ein.

Ah ich habe deinen Beitrag leider zu spät gelesen
Habe vorhin schon die "Tserver.exe" per Killbox entfernen lassen, da ich diese Person nochmal angeschrieben habe- er hat dann gesagt, das ich genau unter diesem Pfad "C:\WINDOWS\system32\Tserver.exe" die Tserver.exe löschen soll oder unter "ausführen-> msconfig-> Systemstart-> Tserver.exe" nur war ich mir nicht sicher ob das stimmt.

===========================

Bei Microworld Anti Virus & Spyware Toolkit Utility sieht es bisher so aus:

Object "minibug Adware" found in File System! Action Taken: No Action Taken.
Object "troj/taladra-f BackDoor" found in File System! Action Taken: No Action Taken.
Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "win32.passma Virus" found in File System! Action Taken: No Action Taken.
Object "whenu.weathercast Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "weathercast Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ezula Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "cws.smartsearch Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "cws.smartsearch Browser Hijacker" found in File System! Action Taken: No Action Taken.
File C:\Programme\NetPumper\ZM\NP_0001_1.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\9n22y90n.rar infected by "Trojan-Dropper.Win32.Small.cf" Virus! Action Taken: No Action Taken.
File C:\!KillBox\treiber.exe tagged as "not-a-virus:AdWare.Win32.Stud.a". Action Taken: No Action Taken.
File C:\!KillBox\cryptsvd.dll tagged as "not-a-virus:AdWare.Win32.Stud.a". Action Taken: No Action Taken.

Und 125 Total Errors, aber das Programm läuft noch

[Fat_Mike]

nargh... tserver.exe inner system32 hab ich übersehen.

trotzdem kinderkacke.


gruss
fat.

[Syndrom]

Warum Kinderkacke?Mir ist es nun einmal wichtig, das NIEMAND an meine PWörter rankommt, ich weiß ja nicht wie es bei dir ist...

PS: Ich wollte jetzt hier kein SpamThread oder sowas haben sondern nur hilfreiche Antworten. Danke

[BlueScreen-Bertrand]

Da haben wir uns verpasst. Meinen Beitrag oben habe ich überarbeitet.

Komische Leute übrigens, die selbst ein System mit Keyloggern infizieren und das dann auch noch zugeben. Das ist eine Verletzung des Briefgeheimnisses.

Ach ja: Das ist kein Spam, es ist schon richtig, dass du hier Hilfe suchst. Kein Problem .

[Fat_Mike]

es ärgert mich einfach, dass a) sich leute einen spass draus machen, andere in dieser art in bedrängnis zu bringen und b) leute sich durch eigene leichtfertigkeit in bedrängnis bringen lassen. überflüssig und albern.


gruss
fat.

[BlueScreen-Bertrand]

Na toll Wahrscheinlich ist es ein "Trojan Dropper", das heißt, dieses Virus verteilt sich selbst auf dem System und versucht, sich uzu verteilen. Also gut aufpassen, wenn du Veränderungen feststellst!

[Syndrom]

Also, mach zuerst mal das hier:
Die Datei Tserver.exe ist mit Sicherheit schädlich. Öffne den Taskmanager und beende den Prozess.
=> [Alt]+[Strg]+[Entf]

Drücke die Tasten [Win]+[R] und gib im erscheinenden Fenster REGEDIT ein.

Navigiere zum Eintrag

Code: Alles auswählen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

und lösche den Wert "winiexp32".

Starte HijackThis erneut und klicke auf
=> "Open the misc tools section", dann
--> "Delete a file on reboot".
--> Wähle die Datei C:\WINDOWS\system32\Tserver.exe aus und starte Windows neu.

Poste nach dem Neustart ein neues Logfile.

Tserver.exe und winiexp32 sind sowohl unter den Prozessen als auch bei dem Eintrag NICHT zu finden

Der Rest wird gleich folgen.

Aber noch eine kleine Frage zwischendurch- wenn ich "Ausführen-> regedit" gehe dann öffnet sich immer die datei regedit.com anstatt die regedit.exe- darf ich die regedit.com datei löschen?