Hilfe, Keylogger!

DasTobbi · 08.06.2004, 09:22

Guten Tag Zusammen...
[img]smile.gif[/img]
Ich habe hier ein Problem mit meinem Rechner, und zwar verschickt das Dingen in unregelmäßigen Abständen von alleine eMails. Ich bekomme das nur mit weil mein Norton mir andauernd ausgehende eMails auf Viren überprüft, und das obwohl ich garkeine verschicke in dem Moment. Leider weiss ich nicht wie ich mich infiziert haben könnte....
Weiss jemand Rat wie ich das Teil wieder loswerde?

Remover · 08.06.2004, 09:56

Am besten benutze doch mal das Tool HijackThis und poste uns ein Logfile hier rein.

Bitte hier das Tool HijackThis runterladen...

http://www.chip.de/downloads/c_downloads_11353576.html

Dieser Anleitung folgen

http://www.trojaner-board.de/51130-a...ijackthis.html

und Log unter HijackThis reinsetzen.

DasTobbi · 08.06.2004, 12:08

Alles klar... [img]smile.gif[/img]

Logfile of HijackThis v1.97.7
Scan saved at 13:10:13, on 08.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\WINNT\System32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DeTeWe\OpenCom 20\Capictrl.exe
C:\Programme\mIRC\mirc.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
E:\eigene Dateien\hjthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxyconf.telebel.de/ns-proxyconf
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=www.proxy.wuppertal.mediaways.net:8080;http=www.proxy.wuppertal.mediaways.net:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.telebel
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\OpenCom 20\routcnf.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PowerProf] PowerProf.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://213.159.117.150:80/iex/ofile....80/dexDE10.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...142.5131828704
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC0B9782-EA72-4835-8FE4-91894DB8F85D}: NameServer = 193.189.244.197 193.189.231.205

Remover · 08.06.2004, 15:10

Folgendes mit HijackThis fixen:
(Am besten ueber abgesicherten Modus F8 beim booten)

O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [PowerProf] PowerProf.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://213.159.117.150:80/iex/ofile....80/dexDE10.exe
Sowie die O10 Hijacked New.net Eintraege

C:\WINDOWS\SYSTEM32\PowerProf.exe
infected mit PWSteal.Trojan virus.O4

Da es sich dabei wirklich auch um einen Keylogger
handelt, wuerde ich dir empfehlen saemtliche
Passwoerter zu aenderen und gegebenfalls
Kreditkarten zu sperren, falls du sie ueber
die Tastatur eingeben hast.

Nebenbei bemerkt wuerde ich dir DRINGEND
anraten, dein Win XP und IE mit dem
jeweiligen Service Pack zu updaten bzw. upgraden!!!
Dies ist zwingend notwendig....sonst faengst
du dir das schnell wieder erneut ein.

Hoffe ich konnte dir helfen,....

[ 08. Juni 2004, 16:22: Beitrag editiert von: Remover ]

neptune · 08.06.2004, 21:29

weiterhin würde ich alle r0 und r1 einträge bis auf den ersten fixen bzw löschen..

Hilfe, Keylogger!

Plagegeister aller Art und deren Bekämpfung: Hilfe, Keylogger!

Hilfe, Keylogger!

Hilfe, Keylogger!

Hilfe, Keylogger!

Hilfe, Keylogger!

Hilfe, Keylogger!

Ähnliche Themen: Hilfe, Keylogger!

08.06.2004, 09:56	#2
Remover	Hilfe, Keylogger! Am besten benutze doch mal das Tool HijackThis und poste uns ein Logfile hier rein. Bitte hier das Tool HijackThis runterladen... http://www.chip.de/downloads/c_downloads_11353576.html Dieser Anleitung folgen http://www.trojaner-board.de/51130-a...ijackthis.html und Log unter HijackThis reinsetzen. __________________ __________________

08.06.2004, 21:29	#5
neptune	Hilfe, Keylogger! weiterhin würde ich alle r0 und r1 einträge bis auf den ersten fixen bzw löschen.. __________________ follow me and do exactly what i say