Forum
Tipps
News
Menu-Icon

Keylogger auf meinem pc

Ich denke auf meinem pc ist ein keylogger drauf jemand weis meine pw's. Ich habe auf einer seite gelesen dass,
man es durch die laufenden prozesse sehen kan ob ein keylogger aktiv oder nicht aktiv ist.

 Die seite http://www.tech-faq.com/lang/de/remove-keylogger.shtml



Antworten zu Keylogger auf meinem pc:


zuerst :
Plattenbereinigung machen zum löschen aller temporären Dateien

dann :
HijackThis , im Normalmodus !
Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html
Log oder Zusammenfassung  ggf hier posten.

-------------------------------------------------------------------------------------------------------------

Im Normalmodus sind etliche Dateien gesperrt .
Darum : Virenscan unbedingt immer im abgesicherten Modus  !

Ausserdem verstecken sich welche ggf in der Systemwiederherst.
Vor dem Scan dort unter SYSTEM die Systemwiederherstellumg AUS ,
(vorsicht, alle Punkte sind dann weg)

Virenscan machen  & ggf Adwarscan mit Spybot S&D oder Adware-7

Systemwiederherst. wenn OK = wieder AN
Normalstart und Systemwiederherstellungspunkt setzen .

-------------------------------------------------------------------------------------------------------------

Abgesicherter Modus:
Beim Start des PC  mehrfach die F8 drücken , spätestens beim  PIEP
des schwarzen Schirms mit dem Blinkstrich ....

Alternativ :
msconfig  <<< ausführen , dann Diagnosestart wählen .
Später wieder auf "normalen Systemstart" umstellen !!

-------------------------------------------------------------------------------------------------------------

Systemwiederherstellung   AUS
Rechtsklick auf Arbeitsplatz
Eigenschaften , Systemwiederherstellung
Deaktivieren AN-haken : <<< Vorsicht , damit sind ALLE Punkte weg !!

Fertig damit :
Rechtsklick auf Arbeitsplatz
Eigenschaften , Systemwiederherstellung
Deaktivieren AB-haken
Danach ggf Wiederherstellungs-Punkt setzen .
 z.B. Start , Hilfe & Supp. , System-WDH , neuen Punkt setzen

-------------------------------------------------------------------------------------------------------------

Wenn alles nicht hilft :
Ich würde mit Knoppix-CD oder BartPe-LiveCD starten , Daten sichern und das System dann neu installieren .


-------------------------------------------------------------------------------------------------------------

Der Virendoktor
http://www.heise.de/security/artikel/80369

-------------------------------------------------------------------------------------------------------------

Wie plattenbereinigung

Hijack


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:41:27, on 12.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 SP3 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60429
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60429
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60429
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60429
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60429
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F4711C3-1F56-44F1-AE71-B943F6627C7B}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll

--
End of file - 4804 bytes
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo

Bitte abarbeiten
http://www.computerhilfen.de/hilfen-17-233792-0.html
und die Reporte vollständig posten. 

Ich glaube ich werde es heute nicht mehr schaffen. Ich werde alles morgen posten.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Alles kla.

@HCK weise bitte auf den Link von Humdinger hin, da stehn genau die Schritte die der Betroffene machen soll, damit wir helfen können.

Hallo

Bitte abarbeiten
http://www.computerhilfen.de/hilfen-17-233792-0.html
und die Reporte vollständig posten.

Ich habe auf dieser seite die Nr. 3 nicht verstanden
Dort steht V/W-Scan
Poste den Report von Windows- oder Vista

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wenn du auf dieser Seite bist:

http://virus-protect.org/artikel/tools/windowsscan.html

Oben links steht "Windowsscan.zip" das lädst du runter und lässt es laufen, anschließend den report posten.

Wenn du mit den anderen Sachen schon fertig bist auch bitte posten! 

Hier ist ertsmal der report von den Malwarebytes:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 744

Scan Art: Komplett Scan (C:\|E:\|F:\|G:\|H:\|I:\|)
Objekte gescannt: 54177
Scan Dauer: 5 minute(s), 33 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
 

Der V/W-Scan:


Die 30 neuesten Dateien im Ordner Windows:
 
***** ***** ***** ***** ***** 
***** Scanning C:\WINDOWS ***** 
***** ***** ***** ***** ***** 
 
 13.05.2008 0.log 09 33:0 
 13.05.2008 wiadebug.log 09 33:157 
 13.05.2008 WindowsUpdate.log 09 33:732.941 
 13.05.2008 wiaservc.log 09 33:50 
 13.05.2008 bootstat.dat 09 32:2.048 
 13.05.2008 SchedLgU.Txt 09 32:4.988 
 12.05.2008 hpoins21.dat 22 44:166.470 
 10.05.2008 NeroDigital.ini 21 23:116 
 07.05.2008 win.ini 22 04:507 
 07.05.2008 system.ini 22 04:227 
 07.05.2008 WMSysPr9.prx 19 38:316.640 
 06.05.2008 Sti_Trace.log 22 05:0 
 06.05.2008 REGLOCS.OLD 21 21:8.192 
 06.05.2008 control.ini 21 11:0 
 06.05.2008 ODBCINST.INI 21 11:4.161 
 06.05.2008 WindowsShell.Manifest 21 10:749 
 06.05.2008 vb.ini 21 08:36 
 06.05.2008 vbaddin.ini 21 08:37 
 14.04.2008 winhlp32.exe 04 23:288.768 
 14.04.2008 slrundll.exe 04 23:32.866 
 14.04.2008 regedit.exe 04 22:153.600 
 14.04.2008 notepad.exe 04 22:70.144 
 14.04.2008 hh.exe 04 22:10.752 
 14.04.2008 explorer.exe 04 22:1.036.800 
 14.04.2008 twain_32.dll 04 22:50.688 
 31.10.2007 agrsmdel.exe 13 17:54.824 
 15.05.2007 hpomdl21.dat 12 13:8.138 
 
 
Die 50 neuesten Dateien im Ordner Windows\system32:
 
***** ***** ***** ***** ***** 
***** Scanning C:\WINDOWS\system32 ***** 
***** ***** ***** ***** ***** 
 
 12.05.2008 wpa.dbl 11 09:2.206 
 08.05.2008 perfc009.dat 16 20:58.596 
 08.05.2008 perfh009.dat 16 20:392.296 
 08.05.2008 perfh007.dat 16 20:405.118 
 08.05.2008 perfc007.dat 16 20:70.580 
 08.05.2008 PerfStringBackup.INI 16 20:898.932 
 07.05.2008 amcompat.tlb 22 03:16.832 
 07.05.2008 nscompat.tlb 22 03:23.392 
 07.05.2008 spupdwxp.log 19 38:251 
 07.05.2008 FNTCACHE.DAT 19 37:91.888 
 06.05.2008 h323log.txt 22 06:0 
 06.05.2008 d3d8caps.dat 22 02:552 
 06.05.2008 $winnt$.inf 21 20:302 
 06.05.2008 CONFIG.NT 21 11:2.951 
 06.05.2008 WindowsLogon.manifest 21 10:488 
 06.05.2008 logonui.exe.manifest 21 10:488 
 06.05.2008 wuaucpl.cpl.manifest 21 10:749 
 06.05.2008 cdplayer.exe.manifest 21 10:749 
 06.05.2008 ncpa.cpl.manifest 21 10:749 
 06.05.2008 nwc.cpl.manifest 21 10:749 
 06.05.2008 sapi.cpl.manifest 21 10:749 
 06.05.2008 emptyregdb.dat 21 08:21.740 
 14.04.2008 spnpinst.exe 07 53:11.264 
 14.04.2008 setupapi.dll 07 52:989.696 
 14.04.2008 licdll.dll 07 52:425.472 
 14.04.2008 dcache.bin 04 36:1.804 
 14.04.2008 netsetup.exe 04 25:333.312 
 14.04.2008 rdpwsx.dll 04 23:87.176 
 14.04.2008 rdpdd.dll 04 23:92.424 
 14.04.2008 tsddd.dll 04 23:12.168 
 14.04.2008 drmclien.dll 04 23:299.520 
 14.04.2008 ndptsp.tsp 04 23:57.344 
 14.04.2008 msh261.drv 04 23:192.512 
 14.04.2008 remotesp.tsp 04 23:76.800 
 14.04.2008 wdmaud.drv 04 23:23.552 
 14.04.2008 ss3dfo.scr 04 23:708.608 
 14.04.2008 ssbezier.scr 04 23:19.968 
 14.04.2008 winspool.drv 04 23:146.944 
 14.04.2008 ssmarque.scr 04 23:20.992 
 14.04.2008 ssmypics.scr 04 23:47.104 
 14.04.2008 ipconf.tsp 04 23:17.408 
 14.04.2008 ssmyst.scr 04 23:18.944 
 14.04.2008 sspipes.scr 04 23:610.304 
 14.04.2008 ssstars.scr 04 23:14.848 
 14.04.2008 hidphone.tsp 04 23:29.696 
 14.04.2008 unimdm.tsp 04 23:207.360 
 14.04.2008 sstext3d.scr 04 23:684.032 
 
 
***** ***** ***** ***** ***** 
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts ***** 
***** ***** ***** ***** ***** 
 
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost
 
 

***** ***** ***** ***** ***** 
***** Scanning Processe ***** 
***** ***** ***** ***** ***** 
 
 
 

Microsoft Windows XP [Version 5.1.2600]
 
 
http://www.paules-pc-forum.de 
***** Malware Team ***** 
 
 
***** Ende des Scans 13.05.2008 um  9:34:25,78 *** 
 
 
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Also nen Keylogger kann ich hier nicht erkennen!!

Öffne Hijackthis und mache bei folgenden Einträgen einen Haken und klicke fix checked:



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60429

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60429

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60429

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60429

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60429

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll

O8 - Extra context menu item: Crawler Search - tbr:iemenu
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll

Mache danach einen neustart und lösche diesen Ordner : (falls noch vorhanden)

C:\Programme\Crawler

hab ich gemacht und jetzt

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Führe Punkt 4 aus
http://www.computerhilfen.de/hilfen-17-233792-0.html
poste den Report

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Genau mach den Online Scan, anschließend nochmal ein neues Hijackthis Logfile.

EDIT:

Was mir noch auffällt, hast du kein Antiviren Programm installiert ???

« Letzte Änderung: 13.05.08, 10:20:43 von ersguterjunge »

« Windows XP: Mein ex-Freund hat meinen Computer installiert Avira zeigt TR/Dropper.Gen Virus an! »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Grundstrich
Der Begriff des Grundstrichs im Bereich der Typografie, bezeichnet den senkrechten Strich der Buchstaben. Bei Schriftarten mit variabler Strichstärke, wie zum Beispi...

Haarstrich
Der Begriff Haarstrich stammt aus dem Bereich der Typographie. Bei Schriften, wie zum Beispiel der Antiquaschrift mit unterschiedlichen Strichstärken, wird zwischen ...

Dateiendungen
Die Dateiendung, auch Dateinamenerweiterung, Dateierweiterung oder einfach "Endung" genannt, besteht aus meistens drei oder vier Buchstaben und wird mit einem Punkt an de...