Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Vermutlich Keylogger durch Sch...tool eingefangen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.06.2012, 00:32   #1
NoMoreHorses
 
Vermutlich Keylogger durch Sch...tool eingefangen - Standard

Vermutlich Keylogger durch Sch...tool eingefangen



Hallo zusammen,
ich hatte vor ein paar Wochen einen Freund am PC surfen lassen und er wollt unbedingt „Xblathief“ habe um irgendwie Spiele mit dem Rechen anstatt der Xbox zuladen. Die ersten 3.Downloads waren mit Trojanern verseucht und wurden von Norton gleich beseitigt. Der 4. Download schien in Ordnung zu sein. Wobei ich hätte mal besser wenig Xbox gezogt wären er im Netz unterwegs war dann wäre mit sicherlich aufgefallen das ein Tool das XBOX Live Dieb heißt Ärger machen könnte.

Aber zu spät. Nach dem starten des Tool und der Aufforderung seine XLA Daten einzugeben unterband ich alles und dacht einfach an einen Keylogger der nur mein XBL Passwort haben möchte.

Da ich mich mit dem erkennen von Trojaner im System überhaupt nicht auskenne macht ich ihm den Vorschlag das Tool zu analysieren wie wir es in einem Video von hxxp://www.evild3ad.com mit dem GEMA –Trojaner gezeigt wird (hxxp://www.youtube.com/watch?v=9pJCJ-0Wqo8).

Nach vielen, vielen Einstellungen lief Sandboxi mit dem Analyse Tool und sagte mit zu „xblathief 1.0.2.1.exe“ das wohl die Keyloger Funktion bei diesem Tool aktiv sei. Aber als ob das nicht schon schlimm genug wäre hat es auch noch eine versteckte Dateien erzeugt (C:\Windows\SbiePst.dat), Einträge verändern und in der Registry rum gefuscht.

Wer kann mir genaueres sagen ?
Wer hat die Lust oder Laune das Tool zu analysieren und auch dann zusagen was die ganzen geänderten Register Einträge bewirken sollen. Vor allem: WAS MACHT SbiePst.dat ?

Tool ist noch im gesicherten Ordner und kann zugesandt werden

Hier ein kleiner Auszug aus der Log Dateien:
Zitat:
* Creates file (hidden) C:\Windows\SbiePst.dat
* Modifies file C:\Windows\system32\CatRoot2\dberr.txt
* Modifies file C:\Windows\system32\CatRoot2\edb.chk
* Creates file C:\Windows\system32\CatRoot2\edb00145.log
* Creates file C:\Windows\system32\CatRoot2\edb00146.log
* Creates file C:\Windows\system32\CatRoot2\edb00147.log
* Creates file C:\Windows\system32\CatRoot2\edb00148.log
* Creates file C:\Windows\system32\CatRoot2\edb00149.log
* Creates file C:\Windows\system32\CatRoot2\edb0014A.log
* Creates file C:\Windows\system32\CatRoot2\edb0014B.log
* Creates file C:\Windows\system32\CatRoot2\edb0014C.log
* Creates file C:\Windows\system32\CatRoot2\edb0014D.log
* Creates file C:\Windows\system32\CatRoot2\edb0014E.log
* Creates file C:\Windows\system32\CatRoot2\edb0014F.log
* Creates file C:\Windows\system32\CatRoot2\edb00150.log
* Creates file C:\Windows\system32\CatRoot2\edb00151.log
* Creates file C:\Windows\system32\CatRoot2\edb00152.log
* Creates file C:\Windows\system32\CatRoot2\edb00153.log
* Creates file C:\Windows\system32\CatRoot2\edb00154.log
* Creates file C:\Windows\system32\CatRoot2\edb00155.log
* Creates file C:\Windows\system32\CatRoot2\edb00156.log
* Creates file C:\Windows\system32\CatRoot2\edb00157.log
* Creates file C:\Windows\system32\CatRoot2\edb00158.log
* Creates file C:\Windows\system32\CatRoot2\edb00159.log
* Creates file C:\Windows\system32\CatRoot2\edb0015A.log
* Deletes file C:\Windows\system32\CatRoot2\edb003CA.log
* Creates file C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_csc.exe_39f76c3d665eb2249263cdfa3be46b33353336_1108a321\Report.wer
* Creates file C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_csc.exe_39f76c3d665eb2249263cdfa3be46b33353336_1635e34d\Report.wer
* Creates file C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_firefox.exe_b01a5129d758695d3f9bd1768c8f66aab4cb99_1057aa90\Report.

* Modifies value "Type=03000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0347C33E-8762-4905-BF09-768834316C61}\iexplore
old value empty
* Modifies value "Count=140D0000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0347C33E-8762-4905-BF09-768834316C61}\iexplore
old value empty
* Modifies value "Time=DC0705000000060012000E000300D302" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0347C33E-8762-4905-BF09-768834316C61}\iexplore
old value empty
* Modifies value "Type=03000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}\iexplore
old value empty
* Modifies value "Count=FB060000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}\iexplore
old value empty
* Modifies value "Time=DC0705000000060012000E0004003C01" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}\iexplore
old value empty
* Modifies value "Blocked=D6060000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}\iexplore
old value empty
* Modifies value "Type=03000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}\iexplore
old value empty
* Modifies value "Count=67070000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}\iexplore
old value empty
* Modifies value "Time=DC0705000000060012000E0004004B01" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}\iexplore
old value empty
* Modifies value "AutoDetect=01000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
old value empty


[ Network services ]
* No changes

[ Process/window/string information ]
* Keylogger functionality.
* Enables process privileges.
* Creates an event named "Global\CorDBIPCSetupSyncEvent_8136".
* Creates process "(null),C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe,(null)".
* Injects code into process "c:\windows\microsoft.net\framework\v2.0.50727\csc.exe".
* Creates process "C:\Program Files\Mozilla Firefox\firefox.exe,,(null)".
* Injects code into process "c:\program files\mozilla firefox\firefox.exe".
* Creates process "C:\Windows\system32\WerFault.exe,C:\Windows\system32\WerFault.exe -u -p 2936 -s 64,C:\Windows\system32".
* Enumerates running processes.
* Creates a mutex "Local\WERReportingForProcess2936".
* Creates a mutex "Global\64bc7d62-97a7-11e1-b567-001dba1d9148".
* Creates a mutex "Local\WERReportingForProcess3960".
* Creates a mutex "Global\66a93a3b-97a7-11e1-b567-001dba1d9148".
* Terminates process "c:\windows\microsoft.net\framework\v2.0.50727\csc.exe".

Alt 03.06.2012, 16:03   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Keylogger durch Sch...tool eingefangen - Standard

Vermutlich Keylogger durch Sch...tool eingefangen



Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Antwort

Themen zu Vermutlich Keylogger durch Sch...tool eingefangen
aktiv, code, dateien, einstellungen, file, internet, keylogger, live, microsoft, mozilla, ordner, passwort, registry, services, software, spiele, starten, surfen, system, system32, trojaner, unbedingt, verseucht, versteckte dateien, windows



Ähnliche Themen: Vermutlich Keylogger durch Sch...tool eingefangen


  1. Werbung, vermutlich durch Okay Freedom und googleads.g.doubleclick.net
    Log-Analyse und Auswertung - 23.08.2015 (59)
  2. Win8: Laptop vermutlich durch Trojaner lahmgelegt
    Plagegeister aller Art und deren Bekämpfung - 29.05.2015 (12)
  3. Massive Lagspikes, vermutlich verursacht durch Chrome
    Log-Analyse und Auswertung - 28.04.2015 (13)
  4. Vermutlich wieder etwas eingefangen
    Plagegeister aller Art und deren Bekämpfung - 23.02.2015 (21)
  5. Vermutlich Trojaner Click Compare eingefangen ?
    Plagegeister aller Art und deren Bekämpfung - 26.09.2014 (74)
  6. Ständige Werbepopups - Vermutlich Trojaner eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 08.08.2014 (16)
  7. Vermutlich fbDownloader eingefangen
    Plagegeister aller Art und deren Bekämpfung - 16.08.2013 (11)
  8. Vermutlich Verschlüsselungstrojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (5)
  9. Vermutlich Trojaner oder Keylogger eingefangen
    Plagegeister aller Art und deren Bekämpfung - 15.10.2011 (12)
  10. Vermutlich Keylogger im System
    Plagegeister aller Art und deren Bekämpfung - 07.02.2011 (17)
  11. Securitiy Tool durch Drive by installation eingefangen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (13)
  12. Vermutlich DNS-Changer eingefangen
    Plagegeister aller Art und deren Bekämpfung - 10.07.2010 (14)
  13. Nur noch eingeschränkte Administrationsrechte vermutlich durch Viren!
    Plagegeister aller Art und deren Bekämpfung - 04.11.2009 (4)
  14. Vermutlich Trojaner durch behörden
    Log-Analyse und Auswertung - 29.07.2009 (7)
  15. Hilfe mit Hijacklog -> (gehackt- vermutlich ein Keylogger)
    Log-Analyse und Auswertung - 01.06.2009 (3)
  16. Computer läuft vermutlich durch Viren langsam
    Plagegeister aller Art und deren Bekämpfung - 27.07.2007 (27)
  17. habe vermutlich einen Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 17.04.2006 (6)

Zum Thema Vermutlich Keylogger durch Sch...tool eingefangen - Hallo zusammen, ich hatte vor ein paar Wochen einen Freund am PC surfen lassen und er wollt unbedingt „Xblathief“ habe um irgendwie Spiele mit dem Rechen anstatt der Xbox zuladen. - Vermutlich Keylogger durch Sch...tool eingefangen...
Archiv
Du betrachtest: Vermutlich Keylogger durch Sch...tool eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.