Forum
Tipps
News
Menu-Icon

Keylogger + Trojaner + ungewünschte Ordner mit "Systemdateien"

oder kurz um - irgendwas sagt mir:
System scheinbar neu aufsetzen?

Windows lässt sich nicht zurücksetzen zu einem vorherigen Zeitpunkt.
trojanerwarnung: Crypt.ulpm.gen
zudem: ordner, die da nicht hingehören, nicht löschbar sind
Keyloggerangriff - 1*facebook, 1*wow...

antivir war an sich still,
kaspersky findet nichts,
spybot und co versagen ebenfalls.

hier der hjt-log

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDCountdown.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDMedia.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\Applets\LCDRSS.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtblfs.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de-de.facebook.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Launch LgDeviceAgent] "C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ASRSetup] D:\ASRSetup.exe
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1260640407031
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Antworten zu Keylogger + Trojaner + ungewünschte Ordner mit "Systemdateien":

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

System platmachen,neu instalieren.Sauber wirst Du es nicht mehr bekommen.Oder was genau wolltest Du hier lesen?

q1, haste mal wieder nen Beißreflex? Was soll dieser Unsinn wenn Du keine Ahnung von Analysen hast?

@NadiS: Vergiss den Unsinn, den q1 schreibt, bei jedem fremden Computerproblem kommt q1 nur beißreflexartig mit sowas wieder Datensichern und format c: (sinngemäß) - jedes noch so kleine Problem wird mit der Panzerfaust aka format c: "gelöst"  >:(

Mach mal einen Vollscan mit Malwarebytes.
Erstell danach Logfiles mit OTL und poste sie.

Eine Anleitung zu Malwarebytes und OTL findest Du notfalls auch im TB:

http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

http://www.trojaner-board.de/85104-otl-otlogfile-oldtimer.html  

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ah,ein voodoozauberer holte die werkzeuge raus.
Wenn schon der TO bemerkte,das gäste da sind,was soll man da noch analysieren? Etwa,welche gäste da sind?
ich halte davon garnix,aber Du wirst schon wissen,was Du machst...

 

Zitat
Ah,ein voodoozauberer holte die werkzeuge raus.
ich  sag ja, Beißreflex.
Wenn man von einer Sache keine Ahnung hat, diskreditiert man andere und bewirft sie mit Dreck wie zB "Voodoozauberer" - besser kann man seine Inkompetenz garnicht zur Schau stellen!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ich gehöre zu den leute,die nicht lange bei gästen fackeln,das hat mit inkompetenz nix zu schaffen.
Aber es scheint mittlerweile zum volkssport zu mutieren,system erstmal zu reinigen bzw nachzusehen,was drauf ist.Kannsz Du ja gerne machen,der aufwand ist erheblich und sicher würde ich reinigen nicht bezeichnen.Aber das würde hier wieder mal in eine grundsatzdiskusion ausarten,diese hilft dem TO nicht.

 

Zitat
diese hilft dem TO nicht.
Soso. Aber mit einem beißreflexartigen "Plattmachen + Neuinstallieren" ist hier anscheinend nach Deiner Logik jedem geholfen. Sorry, aber bei jedem noch so kleinem Problem mit der Panzerfaust aufs System zu gehen ist einfach nur dämlich.

 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Soso. Aber mit einem beißreflexartigen "Plattmachen + Neuinstallieren" ist hier anscheinend nach Deiner Logik jedem geholfen. Sorry, aber bei jedem noch so kleinem Problem mit der Panzerfaust aufs System zu gehen ist einfach nur dämlich.

 
Der "Plattmachen-Beißreflex" zeigt sich auch bei  mir nach "Sichtung" der obigen Beschreibung.

Was dem TO tatsächlich nicht hilft ist Deine Sicht der Dinge.

Der stundelange Versuch, ein derart versch....es System vermeintlich sauber zu bekommen ohne die Gewissheit zu haben, dass das dann wirklich der Fall ist, ist kontraproduktiv.

"Plattmachen", sprich sauber formatieren und neu installieren ist und bleibt in einem solchen Fall nun einmal die sicherste und i. d. R. auch schnellste Lösung.

Alles andere, auch wie mit "Beißrefelex" von Dir hier wiedergegeben, ist unsicher und zeitraubend ohne zum sicheren Ziel eines wirklich sauberen Systems zu führen.  

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

@PWT:
Danke.

von der Logfile fehlt der Kopf...nicht das es nach dem Neuinstall wieder schief geht.
deswegen finde ich diesen wichtig zu wissen..
http://www.computerhilfen.de/info/malwarebytes-anleitung.html
der Report dazu währe auch interessant vor einer Neuinstallation.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
@PWT:
Danke.
habe die Ehre... wo Du Recht hast, hast Du Recht!

Grundsätzlich ist ein format c: bei Infektion richtig.
Was mich hier nur stört ist der sofortige Schrei nach format c: bei jedem noch so kleinen Problem, auch wenn noch nichtmal klar ist, ob der PC überhaupt infiziert ist.


« wie bekommt man die kiwee toolbar von msn gelöscht..ich hab sie heruntergeladen,Windows Vista: pc fährt automatisch runter »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Betriebssystem
Das Betriebssystem ist das Steuerungsprogramm des Computers, das als eines der ersten Programme beim Hochfahren des Rechners geladen wird. Arbeitsspeicher, Festplatten, E...

Binärsystem
Unter dem Begriff Binärsystem (oder Dualsystem) versteht man ein Zahlensystem, das lediglich zwei Zustände oder Werte kennt: Null (0) und Eins (1). Es bildet di...

Bus System
Ein Bus ist ein System zur Datenübertragung. Durch einen Bus können mehrere Teilnehmer über eine Leitung miteinander verbunden werden, ohne dabei an der Da...