jannik

Hallo zusammen.

ich wurde von meinem virenprogramm drauf hingewiesen, das sich ein keylogger auf dem pc befindet.

nun wollte ich fragen wie ich den wieder runterkriege.

es müsste ja genauso runtergehen wie ein virus.

aber ich kann es nicht.

wenn ich unter suche gehe finde ich ihn nicht.

und mein viren programm (antivir) kann es irgendwie nicht löschen, könnt ihr mir helfen?



LG. Jannik

jannik

und wie krieg ich den weg?
ich log mich immerhin in spiele wie wow usw. weiter ein.
gibt keine möglichkeit den runter zu bekommen?

Leonixx

Hallo,

erstmal, wie heißt der Keylogger? Zweitens, wäre das Logfile des AV interessant, wenn du es hier posten könntest. Drittens, erstelle bitte ein Hijackthis Logfile, damit man einen besseren Überblick erhält.

Gruss Leonixx

PC-Gerry

Habe das Thema mal in Bezug auf Leonixx's Aufmerksamkeit ins Sicherheitsforum verschoben.

jannik

ich verstehe nicht wie du dass mit dem logfile meinst-
ich habe ein virus programm empfohlen bekommen, was es aber auch nicht hin kriegt den virus zu löschen, bitte helft mir.

TIPower

Sorry das ich mich eimische
Du machst das und Postes dein Logfile :

http://www.computerguard.de/hijackthis-vt2888.html

und du machst das im Abgesicherten Modus (Vor dem Windows Boot-Logo F8 öfters drücken)

http://www.computerguard.de/malwareb...ng-vt2882.html

jannik

hier ist der logfile


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:58:45, on 01.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\DNA\btdna.exe
C:\Programme\802.11 Wireless LAN\802.11g USB 2.0 WLAN Dongle\WlanCU.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mmorpg-planet.de/vbulletin/
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807. 1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [PlayNC Launcher] C:\Programme\NCSoft\Launcher\NCLauncher.exe /Minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [HdRO-Launcher] C:\Programme\Codemasters\Der Herr der Ringe Online\TurbineInvoker.exe -Boot
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Programme\802.11 Wireless LAN\802.11g USB 2.0 WLAN Dongle\WlanCU.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5205 bytes

Leonixx

Mit Logfile meinte ich den Scanbericht von Avira Antivir. Öffne Antivir, dann bei Übersicht, Berichte, dann unter dem letzten Suchlauf. Anklicken und dann auf Report klicken. Dann geht der Editor auf. Diesen Bericht hier posten.

Du hattest anscheinend mal Bit Torrent auf dem System. Das könnte auch ein Grund sein, warum Antivir Alarm schlägt, denn der Dienst DNA bleibt weiter aktiv. Das Programm lauscht oder sendet an einem Port um Daten ins LAN oder Internet zu senden.

Ansonsten sieht man nicht viel böses. Diese Einträge auf jeden Fall fixen. Hijackthis öffnen, do a system scan, dann Kästchen neben den Einträgen markieren, danach auf fix checked drücken und Rechner neustarten. Dann nochmals neues Logfile.

C:\Programme\DNA\btdna.exe
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"

jannik

jetzt verstehe ich nichts mehr?
was muss ich jetzt tun um den keylogger zu entfernen?

Leonixx

Erstmal Dass fixen, was ich dir geschrieben habe. Danach Scanbericht von Antivir hier posten oder du weißt wie dieser Keylogger heißt und wo er gefunden wurde (Pfad/Datei). Eine Bereinigung kann erst sinnvoll erfolgen, wenn man weiß WAS Antivir hier gefunden hat. Im Hijackthis Logfile ist kein aktiver Keylogger zu erkennen, was aber noch keine Garantie für ein sauberes System ist.