Keylogger und oder ähnliches?

[Hertert]

Guten Morgen!

Ich habe mir gestern über Teamspeak² wahrscheinlich einen Keylogger eingefangen, denn nachdem ich auf den, vom Hacker erstellten Channel, geklickt habe, ist mein PC komplett abgestürzt und es ging garnichtsmehr, ich habe sofort das Netzwerkkabel gezogen.

Der Hacker meinte noch vorher, dass er verschiedene Accounts sich per Keylogger schon "besorgt" hätte (u.a. Steam Account, ESL-Account...).

Daraufhin habe ich meine 2. Festplatte, auf der ich bis dahin Fedora laufen lies (ohne AV-Programm und ohne Firewall), dies habe ich wie bereits beschrieben, ohne Sicherheitsprogramme im Netz laufen lassen, um sich zu updaten.

Diese Platte habe ich mit Acronis Partition Expert "plattgemacht" und habe Windows XP installiert und wollte alles draufspielen, doch es kam ein Fehler, dass wenn ich Programme installieren wollte, die Installationsdatei beschädigt, die Festplatte bald kaputtgehen oder ich einen Virus auf der Festplatte hätte...also eine Installation war nicht möglich.

Danach habee ich die Daten von der "verseuchten" Platte im offline-Mode rübergezogen, die "verseuchte" Platte mit http://dban.sourceforge.net/Darik's Boot and Nuke komplett gelöscht und jetzt wieder Windows XP installiert.

Ich habe aber sehr wichtige Daten vorher auf meinen USB Stick geladen und ihn während des Betriebs der vorher "verseuchten" Platte verwendet.

Nun meine Frage...ist es möglich, dass sich der Keylogger, oder was das auch immer war / ist, sich auch auf meinem USB-Stick breitgemacht hat, sodass ich auch jetzt auf der, durch das Löschprogramm leergeräuimten Platte, auch nichtsmehr Installieren kann
(bei einem download von Programmen wird ständig angezeigt, dass das Install-File beschädigt ist und die anderen Punkte oben...(ich konnte aber z.B. ICQ und den ATI Catalyste- Treiber installieren, was auf der anderen Platte nicht möglich war)

Also auf jeden Fall benötige ich eure Hilfe, ich weiß nichtmehr weiter...


Hier ist das Hijackthis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:24:26, on 25.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\FRITZ!DSL\IGDCTRL.EXE
E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
E:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
E:\Programme\Raxco\PerfectDisk\PDSched.exe
E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
E:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\QIP\qip.exe
E:\Programme\FRITZ!DSL\FwebProt.exe
E:\Programme\FRITZ!DSL\StCenter.exe
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\system32\wpabaln.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Winamp\winamp.exe
E:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\U3\000017519860321C\LaunchPad.exe
E:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\U3\000017519860321C\285E6953-BF3C-4445-9376-3FE5D7F645B2\Exec\bin\SignupShield.exe
H:\System\Apps\3C9F7B3F-D55C-42cd-8537-B878518B73AF\Exec\FirefoxForU3Start.exe
H:\System\Apps\3C9F7B3F-D55C-42cd-8537-B878518B73AF\Exec\firefox\firefox.exe
\?\E:\WINDOWS\system32\WBEM\WMIADAP.EXE
E:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [AVP] "E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nTrayFw] E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] E:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [QIP2005] E:\Programme\QIP\qip.exe
O4 - Startup: FRITZ!DSL Internet.lnk = E:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = E:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = E:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: e:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: e:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: e:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: e:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2356911650
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E790ABB-C3D1-4352-9D97-2B47D1BE19F0}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A591B3B6-4909-403B-A23A-1B84B2DD792C}: NameServer = 192.168.178.1
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - E:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - E:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - E:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PDEngine - Raxco Software, Inc. - E:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - E:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Ariczzz]

du hast eine datei aus dokumente/einstellungen laufen, zu der auch google nur ein paar arabische seiten findet:

E:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\U3\000017519860321C\285E6953-BF3C-4445-9376 -3FE5D7F645B2\Exec\bin\SignupShield.exe

ansonsten ist dein logfile sauber


verwendest du firefox portable?

[Hertert]

jap, hab n u3 stick


wie werd ich das mit den dokumenteneinstellungen los?

[Hertert]

achso, das is signup shield...das ist ein programm, mit dem ich die passwörter nicht selber eingeben muss, das programm speichtert diese automatisch und füllt das auf dem formular der jeweiligen seite selbstständig aus, ist glaub ich 128bit passwortverschlüsselt...soll ich sonst noch ein log file von einem programm posten, bzw, warum lassen sich anwendungen nicht installieren?

greetz

[Ariczzz]

hm..du könntest nen online-scan auf www.bitdefender.de machen..wenn du n paar stunden zeit hast..

[Hertert]

habe ich schon, der hat nix gefunden, habe ja auch nicht viele daten auf dieser festplatte drauf, nur windows+treiber+icq

...

[Hertert]

hmm naja ich werde jetzt nochmal alles plattmachen und mir die treiber aber per cd einladen und den memory stick nicht benutzen, solang ich alle programme zur av-sichterheit nicht zum laufen gebracht habe...

könnt aber trotzdem lösungen oder vorschläge schreiben

DANKE!!!