Hallo,
du hast dir leider einen üblen Keylogger eingehandelt.

Zitat:

C:\WINDOWS\system32\bpk.exe
O4 - HKLM\..\Run: [bpk] C:\WINDOWS\system32\bpk.exe

BPK.exe Perfect Keylogger

Das sieht nicht gut aus. Dein System ist kompromittiert und nicht mehr sicher. Ich würde dir zum Neuaufsetzen raten.

Gruss

Zitat:

Zitat von felixx65

Das sieht nicht gut aus. Dein System ist kompromittiert und nicht mehr sicher. Ich würde dir zum Neuaufsetzen raten.

Wenn von Keyloggern die Rede ist, sollte man vor allem auch dazu raten, die Passwörter nach dem Neuaufsetzen zu ändern und das online-banking im Auge zu behalten!

In diesem Fall würde ich allerdings erstmal dazuraten besagte Datei bei virustotal hochzuladen und das Ergebnis hier zu posten. Außerdem würde mich interessieren, ob das Programm selbst installiert wurde, da es scheinbar auch als "legitimes" Programm verwendet werden kann, als da heißt es wurde nicht zwangsläufig von einem Unbekannten installiert.
Und last but not least wäre es schön wenn man noch den genauen Pfad der csrss erfahren könnte.
lg myrtille

*leise den finger heb*

Wär es nicht doch besser, erstmal die Datei bei Virustotal auswerten zu lassen?

Zitat:

Zitat von cosinus

*leise den finger heb*

Wär es nicht doch besser, erstmal die Datei bei Virustotal auswerten zu lassen?

Richtig..

Außerdem ist bei einem reinen keylogger nicht gleich das gesamte System verseucht, sondern es worden halt Tastureingaben jeglicher Art gespeichert.


@ramses

Um wirklich auszuschließen das dein System "nur" diesen keylogger enthält, schlage ich dir noch folgende Überprüfungen vor:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\bpk.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.



Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung*


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.


Gruß
Sunny

Zitat:

Zitat von myrtille

Wenn von Keyloggern die Rede ist, sollte man vor allem auch dazu raten, die Passwörter nach dem Neuaufsetzen zu ändern und das online-banking im Auge zu behalten!

Jepp, Passwörter und online-banking sollte man auch erneuern bzw. prüfen.

Zitat:

In diesem Fall würde ich allerdings erstmal dazuraten besagte Datei bei virustotal hochzuladen und das Ergebnis hier zu posten. Außerdem würde mich interessieren, ob das Programm selbst installiert wurde, da es scheinbar auch als "legitimes" Programm verwendet werden kann, als da heißt es wurde nicht zwangsläufig von einem Unbekannten installiert.
Und last but not least wäre es schön wenn man noch den genauen Pfad der csrss erfahren könnte.
lg myrtille

Im Prinzip richtig, allerdings wer kann auschließen, das bei einer Desinfektion das System nicht schon verändert wurde? Ich hätte kein gutes Gefühl, wenn ich einen Keylogger auf dem System gehabt hätte. Würde besser schlafen, wenn mein System wieder komplett sauber wäre.

LG Felixx

Zitat:

Zitat von felixx65

Würde besser schlafen, wenn mein System wieder komplett sauber wäre.

<Richtig DU würdest besser schlafen, aber ob der TO ohne Neuinstallation auch schläft?! ... >

Sorry, wenn ich diesen alten Thread noch mal hoch hole. Wollte in diesem Zusammenhang allerdings keinen neuen aufmachen.

Da hier von csrss die Rede ist, ich habe im Taskmanager einen Prozess laufen, der sich csrss.exe nennt. Dieser lässt sich auch nicht beenden. Beim Aufrufen in der Suche bei Vista wird mir diesbezüglich Clientserver- Laufzeitprozess angezeigt.
Kann mir jemand sagen, was es damit auf sich hat?