Hallo,
Nachdem ich zig Seiten und Threads zu dem Thema gelesen habe und diverse Programme zur Bereinigung über mein System laufen habe lassen um den keylogger loszuwerden, muss ich euren Rat aufsuchen.
Schlaftrunken habe ich im steam chat, eine seite geöffnet. Habe einen Link hierzu der das Problem beschreibt, weis aber jetzt nicht ob ich ihn posten darf.
Jetzt wurde auf jeden Fall mein steam account gehackt, und danach ein zweites mal nachdem ich ihn per steamsupport zurückerlangt habe.
Problem: ich finde den keylogger nicht oder vielleicht nur phishing, ich weis es nicht.
bereits verwendete Programme: Antivir, spyware dr., spybot, hijackthis, ccleaner aber nicht vernünftig, und avg 2011.

mfg Tom

hatten diese programme funde, wen ja welche?
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Also, ums genauer zu sagen. hab im steam chat von nem freund ne seite geschickt bekommen die der echten steam seite ähnlich aussieht, und benebelt hab ich mich da einloggen wollen mit meinem account.
also kurz danach war account weg, nachdem ich ihn mir wiedergeholt hab hab ich ne zeit ruhe gehabt dann war er wieder weg.
hijackthis, hat irgendetwas gefunden und gelöscht, aber dennoch wurde 2tes mal gehackt.
Des weiteren ist ein virus aufgetaucht und hat alle ordner unsichtbar gemacht, doch antivir hat ihn sofort erledigt.
antivir hat eine male ware gefunden und gelöscht: 'C:\ProgramData\sFGtypQnwU.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/FakeDefrag.A' [trojan].

AVG hat auch etwas gefunden und in quarantäne gepackt: Trojaner:SHeur2.SFA (in gothic 2 dndr)
Virus gefunden: Win32/Heur beide male in age of empires 2
Win32/Heur

sonst wurde nichts gefunden, außer dass halt HijackThis und CCleaner bisschen freiraum geschaffen haben

ergebnisse von OTL:


hoffe das ist nicht zuviel text etc.
wenns hilft kann ich den link hochladen der genau zeigt wie ich ihn mir eingefangen habe

mfg Tom

doppel Post entschuldigung aber ich krieg den zweiten anhang nicht hoch, da er zu groß ist. werde also nochn post nach diesem machen und ihn aufteilen

dreifach:

Malewarebytes fertig mit scannen
ergebniss: 8 infektionen siehe anhang

hijackthis kann nichts selbst löschen? was hast du mit HijackThis gelöscht? open misk tools sektion, dort backup.
und, merkwürdige freunde haben manche, die einem die accounts klauen, du solltest vllt dir die definition dieses wortes noch mal ansehen :d aber das nur am rande...

Hat OTL denn was gefunden?
Ich glaube auch mein Freund wurde gehackt und hat mir deswegen das geschickt. Ging nicht von ihm selbst aus.
toolbar: icqtoolbar (1)
Toolbar: DVDVideoSoftTB Toolbar (2)
URLSearchHook: (1)
" " : (2)
" " : (no name) (no file)
" " : (no name) (no file)
" " : (no name)
HKLM\...\Run: [recinfo504] c:\RecInfo\RecInfo.exe (das kommt mir vor allem suspect vor da ich ich bereits schon 2-3 mal gelöscht habe)

nein noch nichts.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Ich weis das ist jetzt ne dumme frage aber alle programme schlagen aus und bezeichnen combofix als schädlich. Soll ich trotzdem fortfahren? (würde es von deiner vorgeschöagenen seite laden)
außerdem müsste ich AVG deinstallieren was ich nicht umbedingt will

Entschuldigung fürn doppel post aber edit klappt nicht

anbei die combofix log

Edit: ich trottl hab vergessen das auf desktop zu haun. Was jetzt?

lass es da wo es ist.
du hast Malwarebytes genutzt, öffne es poste alle logs.

Kann ich dann combofix später (nachdem alles erledigt ist deinstalliere, damit ich avg wieder drauf tun kann?

Anbei malewarebytes logs:

letzter war nur auf ne verdächtige datei angewendet

nutze lieber avast, ist besser und braucht nicht so viel leistung.
http://www.trojaner-board.de/110895-...antivirus.html
http://www.trojaner-board.de/127580-...igurieren.html
alle heuristiken auf hoch, updaten und dann nen botscan laufeen lassen
welche datei war verdächtig und warum?

den 2ten link kann ich nicht öffnen.
avast ist ja nur temporär wirksam. nach 30 tagen läuft das aus, außer man registriert sich. ist das kostenpflichtig bzw gibt man da viele informationen her?

HKLM\...\Run: [recinfo504] c:\RecInfo\RecInfo.exe war dis supekte datei. mehrmals mit HijackThis gefunden, doch jetzt nicht mehr

der ist ok der eintrag. den avast link öffne mal mit nem andern browser.
dann mal konfigurieren, falls es dann geht.
Registrierung von avast! Free Antivirus
aber man muss ja nicht unbedingt den richtigen namen angeben, aber ich kann dich beruhigen, diese firma ist seriös, also von daher.