Hallo liebe Trojaner-Board-Leute,

Ich habe den starken Verdacht, das ich mir einen Keylogger eingefangen habe.
Ich habe gestern mit einem Kumpel aus Spaß und Neugier ein Programm fürs Webcam anzapfen. (Wir waren halt neugierig)
Naja jedenfalls sind wir auf diese Seite gestoßen:
HACKER UNIT :: Programm zum webcam anzapfen
Sehr blauäugig haben wir das sofort runtergeladen und gestartet ohne den Post darunter zulesen.
Das Programm wurde aufgerufen und kurz hat man ein Fenster aufblinken sehen.
Erst hiernach haben wir geschockt den Post gelesen.
Bei mir gingen nun die Alarmglocken an. Habe ich mir was eingefangen?
Zuerst mal habe ich AVG Anti-Virus 2011 Free duchlaufen lassen. Nichts!
Hijackthis-->Nichts auffälliges zumindest bei der Online Log-Auswertung!

Nun bin ich hier gelandet und habe die Anleitung bearbeitet.
Also ich poste hiermal die Logs von OTL, Gmer, hijackthis und auch malwarebytes (nur der vollständigkeit halber, obwohl der nichts gefunden hat)
Ich hoffe ihr könnt mir helfen.
Schonmal vielen Dank im Vorraus.
LG KumaHD

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

danke erstmal für den hinweis...anbei also die log-datei des vollständigen scans.
aber auch hier hat er nichts gefunden.

Zitat:

PRC - [2011/02/08 05:32:46 | 000,656,736 | ---- | M] (AVG Technologies CZ, s.r.o.) -- E:\Program Files\AVG\AVG10\avgchsvx.exe
PRC - [2011/01/25 20:21:05 | 002,548,552 | ---- | M] (COMODO) -- C:\Programme\COMODO Internet Security\COMODO\COMODO Internet Security\cfp.exe
PRC - [2011/01/25 20:20:59 | 001,803,224 | ---- | M] (COMODO) -- C:\Programme\COMODO Internet Security\COMODO\COMODO Internet Security\cmdagent.exe

COMODO umgehend deinstallieren! AVG und Comodo gleichzeitig geht garnicht!

Mach danach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{300d6d2f-c337-11df-83f9-74f06dab97c7}\Shell - "" = AutoRun
O33 - MountPoints2\{300d6d2f-c337-11df-83f9-74f06dab97c7}\Shell\AutoRun\command - "" = F:\start.exe
O33 - MountPoints2\{5eb06133-db61-11df-aa06-20cf30382e9e}\Shell - "" = AutoRun
O33 - MountPoints2\{5eb06133-db61-11df-aa06-20cf30382e9e}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
@Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:07BF512B
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

okay ich mach das gleich.
ähm wie siehts denn aus, also ich habe ja als anti-vir avg free und als firewall comodo...was wäre denn eine gute alternative. Mit AVG free habe ich eigentlich gute erfahrungen gemacht. Aber wenn das nicht so gut ist, wäre ich für vorschläge dankbar.

Also gut ich werde dann COMODO deinstallieren und dann otl durchlaufen lassen.

Also bis hierher schonmal ein großes

//EDIT:
so habe COMODO entfernt und der OTL-Fix ist auch durchgelaufen.
Anbei das Logfile...
LG KumaHD

//EDIT 2:
Ein Kollege hat mir noch combofix empfohlen als analyse-programm. wie siehts damit aus, lohnt sich das?

Comodo IS ist deswegen kontraproduktiv weil es eine sinnfreie PFW beinhaltet und du es zusammen mit AVG AntiVirus betreibst. AVG allein ist ok, aber zwei Scanner bzw. zwei verschiende Produkte solcher Art beißen sich. AVG musst du aber leider auch gleich deinstalileren, da es mit einigen Analysetools nicht kompatibel ist - kann aber wenn wir durch sind später dann wieder rauf.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Auftag ausgeführt...
AVG ist erstmal runter (würde mich aber auch hier über eine empfehlung einer alternative freuen) und kaspersky ist duchgelaufen. Hier das Ergebnis


P.S.:Was ich noch sagen wollte, bisher sind mir noch keine symptome aufgefallen, aber ganz wohl fühle ich mich trotzdem nicht...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

okay CCleaner und ComboFix duchlaufen gelassen

hier das ComboFix-Log...

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Kurze Frage: Warum soll ich GMER nochmal durchlaufen lassen, habe doch schon ein log gepostet oder muss ich das trotzdem nochmal machen?

So habe jetzt gmer, osam und mbrcheck duchlaufen lassen.

Alle logs sind dann wieder im Anhang

LG KumaHD

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

gesagt getan hier die logs...

Sieht ok aus, da wurde nur ein Überrest gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?