Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: FamilyKeyLogger legitimer Prozeß?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.12.2005, 10:12   #1
bat-man
 
FamilyKeyLogger legitimer Prozeß? - Standard

FamilyKeyLogger legitimer Prozeß?



Hallo,

der TuneUp 2006 Prozeßmanager meldet immer einen Prozeß "FamilyKeyLogger" ist der legitim? Oder kritisch? Und wenn ja, wie werde ich das los?

Danke

Alt 14.12.2005, 10:39   #2
Rene-gad
 
FamilyKeyLogger legitimer Prozeß? - Standard

FamilyKeyLogger legitimer Prozeß?



@bat-man
Zitat:
ist der legitim?
Ich gehe nicht davon aus. Allerdings es gibt zig Dutzend verschiedenen Keyloggers. Was für Betriebssystem/Antivirus hast du?
Allgemeine Infos zum Keylogger.
__________________


Alt 14.12.2005, 14:50   #3
bat-man
 
FamilyKeyLogger legitimer Prozeß? - Standard

FamilyKeyLogger legitimer Prozeß?



XP SP 2, Antivir von H&BDEV
__________________

Alt 14.12.2005, 14:59   #4
Rene-gad
 
FamilyKeyLogger legitimer Prozeß? - Standard

FamilyKeyLogger legitimer Prozeß?



@bat-man
Zitat:
XP SP 2, Antivir von H&BDEV
Du gehst extrem sparsam mit den Wörtern um . Bit. m. HJT-Log & eScan-Log, Anl. in m. Sig.

Alt 14.12.2005, 17:06   #5
bat-man
 
FamilyKeyLogger legitimer Prozeß? - Standard

FamilyKeyLogger legitimer Prozeß?



Well, nix für ungut. System gepacht, Stand Nov. 05. Antivir Stand heute.

hier der HTJlog (wobei ich z. Zt. der Erstellung der Prozeß bereits manuell beendet hatte)

Logfile of HijackThis v1.99.1
Scan saved at 09:46:42, on 14.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\Additive\Acronis True Image 8.0\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Additive\ObjectDock 1.02\ObjectDock.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\DOKUME~1\B10125~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Additive\Acronis True Image 8.0\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dumps_startup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Additive\ObjectDock 1.02\ObjectDock.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Additive\TuneUp 2006\WinStylerThemeSvc.exe


Alt 14.12.2005, 17:13   #6
bat-man
 
FamilyKeyLogger legitimer Prozeß? - Standard

FamilyKeyLogger legitimer Prozeß?



Die escan-log hat 3 MB (??), krieg ich hier nicht rauf:

aber angeblich wurden dreimal was gefunden

hier die entscheidenden passi:

Wed Dec 14 16:26:48 2005 => Offending file found: C:\DOKUME~1\B10125~1\LOKALE~1\Temp\insthelp.dll
Wed Dec 14 16:26:48 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Wed Dec 14 16:26:54 2005 => Offending file found: C:\Dokumente und Einstellungen\B 1\Lokale Einstellungen\temp\insthelp.dll
Wed Dec 14 16:26:54 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Wed Dec 14 16:26:55 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Dokumente\discountsurfer\uninstaller.exe
Wed Dec 14 16:26:55 2005 => System found infected with midaddle Spyware/Adware (uninstaller.exe)! Action taken: No Action Taken.


Danke

Alt 14.12.2005, 18:30   #7
Rene-gad
 
FamilyKeyLogger legitimer Prozeß? - Standard

FamilyKeyLogger legitimer Prozeß?



@bat-man
HJT-Log sieht sauber aus.
Zitat:
Die escan-log hat 3 MB (??), krieg ich hier nicht rauf
Wer lesen kann, hat bestimmt Vorteile .
Zitat:
....[5] Rechtsklick auf die Find.rar -> Ziel speichern unter… z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.
An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.
Sollten Probleme beim Ausführen der Find.bat auftreten, dann lies bitte folgenden Thread von Haui durch.
Lade bitte Clearprog herunter und leere alle Temp-Ordner. Was die Datei C:\Dokumente und Einstellungen\All Users\Dokumente\discountsurfer\uninstaller.exe betrifft - vermute Fehlalarm. Bitte bei www.virustotal.com überprüfen.

Alt 14.12.2005, 20:01   #8
bat-man
 
FamilyKeyLogger legitimer Prozeß? - Standard

FamilyKeyLogger legitimer Prozeß?



[QUOTE=Rene-gad]@bat-man

Wer lesen kann, hat bestimmt Vorteile .

Öh, da könnte natürlich was dran sein (wobei die Fußnotentechnik für ein Forum meines Wissens auch sehr ungewöhnlich (akademisch?) ist);
:-) sorry und danke .
Entspricht aber doch der unter "Alternative" dargelegten Vorgehensweise.
Es waren nur diese 3 Meldungen, die wie unten wiedergegeben lauten.

Der Witz ist, daß ich nach Anwendung von kill.exe und einem neuerlichen Scan mit escan im abgesicherten Modus (wie auf diesen Seiten beschrieben) nichts mehr finden kann. Nach einem erneuten Start im regulären Modus, ist jedenfalls aber dieser nervige FamilyKeyLogger wieder da!=> ???

Geändert von bat-man (14.12.2005 um 20:17 Uhr)

Alt 15.12.2005, 06:40   #9
Rene-gad
 
FamilyKeyLogger legitimer Prozeß? - Standard

FamilyKeyLogger legitimer Prozeß?



@bat-man
Hast du die Temp-Ordner mit ClearProg bereinigt?
Hast du die Datei bei VIRUSTOTAL überprüft?
Sorry, ich kenne mich mit TuneUp nicht wirklich aus. Gibt es auch 'ne Info, wo die verdachtige Datei od. Registry-Eintrag ist?

Alt 15.12.2005, 07:24   #10
stupormundi
 
FamilyKeyLogger legitimer Prozeß? - Standard

FamilyKeyLogger legitimer Prozeß?



Servus @all!
Da Fledermaus-Mann hier ebenfalls umtriebig ist, kann ich wohl davon ausgehen, das der thread http://www.trojaner-board.de/showthread.php?t=24515 in die Tonne wandert?!
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 15.12.2005, 08:13   #11
bat-man
 
FamilyKeyLogger legitimer Prozeß? - Standard

FamilyKeyLogger legitimer Prozeß?



Hallo,

ja habe die WindowsTemp-Ordner gelöscht (oder muß ich alle? Sind dann auch meine Lesezeichen weg?).
Prüfung bei virustotal scheitert, erhalte immer den Hinweis, ich solle 30s warten und dann kommt nichts mehr.

Als Pfad wird angegeben: C:\WINDOWS\system32\cisvc.exe
Nehme mal an, ich sollte das nicht einfach löschen?

Danke und Gruß

Alt 15.12.2005, 08:32   #12
Rene-gad
 
FamilyKeyLogger legitimer Prozeß? - Standard

FamilyKeyLogger legitimer Prozeß?



@bat-man
Zitat:
ja habe die WindowsTemp-Ordner gelöscht (oder muß ich alle? Sind dann auch meine Lesezeichen weg?).
Seit wann sind die Lesezeichen in einem Temp-Ordner angelegt?
Am Besten leerst du alle Temp-Ordner samt Temporary Internet File Ordner vom Internet Explorer.
Zitat:
Prüfung bei virustotal scheitert, erhalte immer den Hinweis, ich solle 30s warten und dann kommt nichts mehr.
Versuche dann bei http://virusscan.jotti.org/ oder kopiere die Datei nach Desktop oder Eingene Dateien und versuche nochmal.
Zitat:
Als Pfad wird angegeben: C:\WINDOWS\system32\cisvc.exe
Nehme mal an, ich sollte das nicht einfach löschen?
Kommt mir komisch vor, könnte auch ein Fehlalarm vermuten. Kopiere die Datei nach Desktop oder Eingene Dateien und versuche sie online zu scannen.
Alternative Adresse: http://www.kaspersky.com/de/virusscanner

Antwort

Themen zu FamilyKeyLogger legitimer Prozeß?
kritisch, melde, meldet, tuneup



Ähnliche Themen: FamilyKeyLogger legitimer Prozeß?


  1. WinXP: wiederkehrender Prozeß mit 6 Zeichen
    Plagegeister aller Art und deren Bekämpfung - 30.09.2009 (6)
  2. IEXPLORE.EXE Prozeß frißt CPU obwohl Explorer nicht aktiv ist!
    Log-Analyse und Auswertung - 24.03.2007 (1)
  3. FamilyKeyLogger
    Log-Analyse und Auswertung - 28.02.2006 (3)
  4. prozeß localsec.exe
    Plagegeister aller Art und deren Bekämpfung - 02.11.2004 (4)

Zum Thema FamilyKeyLogger legitimer Prozeß? - Hallo, der TuneUp 2006 Prozeßmanager meldet immer einen Prozeß "FamilyKeyLogger" ist der legitim? Oder kritisch? Und wenn ja, wie werde ich das los? Danke - FamilyKeyLogger legitimer Prozeß?...
Archiv
Du betrachtest: FamilyKeyLogger legitimer Prozeß? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.