Von keylogger befallen was soll ich tun?

  • Problem

  • metfan
  • 1219 Aufrufe 7 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Von keylogger befallen was soll ich tun?

    Hallo

    Ich habe das gefühl dass sich ein keylogger installiert hat weil bei ebay wurde eine nachricht gelöscht...ich bin mir sicher dass ich den nachricht noch nicht gelöscht und nicht mal gelesen habe..

    Die guten keylogger werden von antivirus nicht erkannt..

    wie kann ich es finden und löschen?

  • Lass mal ein Antivir Programm laufen und wenn du ein Keylogger hast versuch das:
    Lade Dir die Freeware Anti Keylogger Shield herunter, von einem anderen Rechner aus. Den befallenen Rechner vom Inet trennen. Installiere es dann auf dem befallenen Rechner.
    Das genannte Tool verhindert, das der Keylogger die Tastenanschläge protokolliert; es kann den Keylogger weder löschen noch erkennen, das sollte mit AntiVir möglich sein.

  • sollte ein Keylogger nicht einen Prozess laufen haben?
    also per Process Explorer von sysinternals.com (jaaa Microsoft...) laden und mal ansehen, es ist auch die Beschreibung der Prograqmme angezeigt, sofern vorhanden, kannst ja mal die Prozesse hier posten...
    zusätzlich gibts noch den rootkit revealer von denen, aber gegen rootkits gibts wohl bessere Software
    (ist ein Keylogger überhaupt per rootkit installier?)

    achja Hijackthis nicht zu vergessen, auch mit online auswertung - mal danach schauen!!

  • Den Keylogger fängt man sich in der Regel nicht alleine ein, sind meist schwer Nachweisbar. Meißt öffnet zuvor ein Backsdoor-Trojaner Ports über welche der Keylogger nach Hause telefoniert. Die Backsdoor-Trojaner sind meist leichter auffindbar. Ich konnte Sie mit Malwarebytes nachweisen.
    Ist dies der Fall ist eine Neueinrichtung eigentlich unumgänglich.
    lg Jens
    Eine Kuh macht Muhhh, viele Kühe machen Mühe ...............

  • Ich hab jetzt mit Malwarebytes, Spybot und Kaspersky gescannt und nichts gefunden.
    Sicherheitshalber habe ich auch Anti Keylogger Shield installiert..
    Ich such noch weiter...ich hab keine lust meine platte zu formatieren

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:12:36, on 23.11.2008
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16386)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\RtHDVCpl.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Users\omer\AppData\Local\Temp\RtkBtMnt.exe
    C:\Program Files\Common Files\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Windows\system32\SearchFilterHost.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [Skytel] Skytel.exe
    O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
    O13 - Gopher Prefix:
    O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
    O23 - Service: Avira AntiVir Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
    O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
    O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
    O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
    O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

    --
    End of file - 4384 bytes

    Fällt euch was auf?

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Allonewalk ()

  • tja stimme dem vorschreiber erstmal zu
    allerdings solltest du vielleicht mal nach den Realtek-Prozessen sehen:

    C:\Windows\RtHDVCpl.exe
    C:\Users\omer\AppData\Local\Temp\RtkBtMnt.exe <--- billig Software aus dem TempOrdner?!?

    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [Skytel] Skytel.exe <--- nötig, aber sonst okay schätze ich

    allerdings ist das ja der Trick, bestehende .exe'n nachbauen und in die entpsrechende Ordner von Windows schieben/ dort ersetzen....

  • Himbeer schrieb:

    tja stimme dem vorschreiber erstmal zu
    allerdings solltest du vielleicht mal nach den Realtek-Prozessen sehen:

    Die sind OK!

    allerdings ist das ja der Trick, bestehende .exe'n nachbauen und in die entpsrechende Ordner von Windows schieben/ dort ersetzen....


    Malwarebytes hätte dann gemeckert.

    @metfan:
    Lasse zur Sicherheit noch Blacklight scannen.
    keine DDLs sind hier erlaubt!
    MfG Allonewalk

    Mfg

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Allonewalk ()