| |
| |||||||
Log-Analyse und Auswertung: KeyloggerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
30.10.2008, 22:28
| #1 |
 |  KeyloggerCode:
ATTFilter Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1340
Windows 5.1.2600 Service Pack 2
30.10.2008 22:25:58
mbam-log-2008-10-30 (22-25-58).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 217259
Laufzeit: 1 hour(s), 46 minute(s), 1 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
Online Kaspersky geht bei mir nicht... |
|
30.10.2008, 22:41
| #2 |
| /// AVZ-Toolkit Guru   | Keylogger Poste bitte noch ein AVZ log.
__________________
__________________ |
|
30.10.2008, 23:04
| #3 |
| | Keylogger http://rapidshare.com/files/159149078/avz_sysinfo.zip.html
__________________ |
|
31.10.2008, 09:12
| #4 | |
| /// AVZ-Toolkit Guru | KeyloggerDateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
31.10.2008, 10:12
| #5 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| | KeyloggerCode:
ATTFilter SystemHper.dll Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 5/36 (13.89%)
Code:
ATTFilter vffilter.sys Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%)
C:\WINDOWS\System32\Drivers\awusgh18.SYS sowie spyu.sys konnten nicht gefunden werden ... spyu.sys hab ich wie beschrieben gesucht ...aber nichts |
|
31.10.2008, 10:27
| #6 | |
| /// AVZ-Toolkit Guru | KeyloggerZitat:
GMER - Rootkit Detection
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter Files to delete:
C:\WINDOWS\system32\SystemHper.dll
C:\WINDOWS\System32\Drivers\awusgh18.SYS
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________ --> Keylogger |
|
31.10.2008, 10:37
| #7 |
| | KeyloggerCode:
ATTFilter GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-31 10:36:47
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.14 ----
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwClose [0xF7254028]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwCreateKey [0xF7253FE0]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwCreatePagingFile [0xF7247B00]
SSDT F7B562AC ZwCreateThread
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xF72485DC]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xF7254120]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwOpenFile [0xF7247B40]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwOpenKey [0xF7253FA4]
SSDT F7B56298 ZwOpenProcess
SSDT F7B5629D ZwOpenThread
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwQueryKey [0xF72485FC]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwQueryValueKey [0xF7254076]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwSetSystemPowerState [0xF7253550]
SSDT spzv.sys ZwSetValueKey [0xF72A619A]
SSDT F7B562A7 ZwTerminateProcess
SSDT F7B562A2 ZwWriteVirtualMemory
INT 0x63 ? 89E77BF8
INT 0x63 ? 897C7F00
INT 0x63 ? 897C7F00
INT 0x63 ? 89E77BF8
INT 0x73 ? 89E74BF8
INT 0x73 ? 89E74BF8
INT 0x73 ? 89E74BF8
INT 0x82 ? 89E74BF8
INT 0x84 ? 897C7F00
INT 0xB4 ? 897C7F00
INT 0xB4 ? 897C7F00
---- Kernel code sections - GMER 1.0.14 ----
? spzv.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F668562C 5 Bytes JMP 897C74E0
.text aenvxh8g.SYS F6556384 1 Byte [ 20 ]
.text aenvxh8g.SYS F6556386 35 Bytes [ 00, 68, 00, 00, 00, 00, 00, ... ]
.text aenvxh8g.SYS F65563AA 24 Bytes [ 00, 00, 20, 00, 00, E0, 00, ... ]
.text aenvxh8g.SYS F65563C4 3 Bytes [ 00, 00, 00 ]
.text aenvxh8g.SYS F65563C9 1 Byte [ 00 ]
.text ...
? C:\WINDOWS\System32\Drivers\aenvxh8g.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
---- Kernel IAT/EAT - GMER 1.0.14 ----
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7298048] spzv.sys
---- Devices - GMER 1.0.14 ----
Device \FileSystem\Ntfs \Ntfs 89E721F8
AttachedDevice \Driver\Tcpip \Device\Ip nltdi.sys (NetLimiter Driver/Locktime Software)
Device \Driver\NetBT \Device\NetBT_Tcpip_{A468793C-07AC-4397-A8BE-65D5DEB85F42} 8992B500
Device \Driver\usbohci \Device\USBPDO-0 8984A500
Device \Driver\PCI_PNP4736 \Device\00000051 spzv.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{450A4E0E-EDAE-494E-A4CF-627528DC0720} 8992B500
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89E051F8
Device \Driver\dmio \Device\DmControl\DmConfig 89E051F8
Device \Driver\dmio \Device\DmControl\DmPnP 89E051F8
Device \Driver\dmio \Device\DmControl\DmInfo 89E051F8
Device \Driver\usbohci \Device\USBPDO-1 8984A500
Device \Driver\usbohci \Device\USBPDO-2 8984A500
Device \Driver\usbohci \Device\USBPDO-3 8984A500
Device \Driver\usbohci \Device\USBPDO-4 8984A500
AttachedDevice \Driver\Tcpip \Device\Tcp nltdi.sys (NetLimiter Driver/Locktime Software)
Device \Driver\usbehci \Device\USBPDO-5 89865500
Device \Driver\Ftdisk \Device\HarddiskVolume1 89E751F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89E751F8
Device \Driver\Cdrom \Device\CdRom0 8997A008
Device \FileSystem\Rdbss \Device\FsWrap 89C4FDD8
Device \Driver\Cdrom \Device\CdRom1 8997A008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 89985210
Device \Driver\atapi \Device\Ide\IdePort0 89985210
Device \Driver\atapi \Device\Ide\IdePort1 89985210
Device \Driver\atapi \Device\Ide\IdePort2 89985210
Device \Driver\atapi \Device\Ide\IdePort3 89985210
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 89985210
Device \Driver\sptd \Device\1364237236 spzv.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 8992B500
Device \Driver\NetBT \Device\NetbiosSmb 8992B500
Device \FileSystem\Srv \Device\LanmanServer 89920798
AttachedDevice \Driver\Tcpip \Device\Udp nltdi.sys (NetLimiter Driver/Locktime Software)
AttachedDevice \Driver\Tcpip \Device\RawIp nltdi.sys (NetLimiter Driver/Locktime Software)
Device \Driver\usbohci \Device\USBFDO-0 8984A500
Device \Driver\usbohci \Device\USBFDO-1 8984A500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89941500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89C46B38
Device \Driver\usbohci \Device\USBFDO-2 8984A500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89941500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89C46B38
Device \Driver\usbohci \Device\USBFDO-3 8984A500
Device \FileSystem\Npfs \Device\NamedPipe 89C4FCC8
Device \Driver\usbohci \Device\USBFDO-4 8984A500
Device \Driver\Ftdisk \Device\FtControl 89E751F8
Device \FileSystem\Msfs \Device\Mailslot 89ABEE00
Device \Driver\usbehci \Device\USBFDO-5 89865500
Device \Driver\aenvxh8g \Device\Scsi\aenvxh8g1Port5Path0Target0Lun0 89BF91C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 89E041F8
Device \Driver\JRAID \Device\Scsi\JRAID1 89E731F8
Device \Driver\aenvxh8g \Device\Scsi\aenvxh8g1 89BF91C8
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 89C26700
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 89C26700
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 89C26700
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 89C26700
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 89C26700
Device \FileSystem\Cdfs \Cdfs 897C0500
Device \FileSystem\Cdfs \Cdfs 89A04170
---- Modules - GMER 1.0.14 ----
Module _________ F71A9000-F71C1000 (98304 bytes)
---- Registry - GMER 1.0.14 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF7 0x57 0x7A 0xE9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xE7 0xB2 0x77 0xDA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x7F 0x95 0x00 0x3E ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF7 0x57 0x7A 0xE9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xE7 0xB2 0x77 0xDA ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x7F 0x95 0x00 0x3E ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}@DisplayName Alcohol 120%
Reg HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6@ProductName Alcohol 120%
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CDC8EC6A-9B94-8C90-B578-50CC96908A5B}
---- EOF - GMER 1.0.14 ----
Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\system32\SystemHper.dll" deleted successfully.
Error: file "C:\WINDOWS\System32\Drivers\awusgh18.SYS" not found!
Deletion of file "C:\WINDOWS\System32\Drivers\awusgh18.SYS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
|
|
| Themen zu Keylogger |
| antivir, antivirus, avira, bho, content.ie5, dll, einstellungen, exe, explorer, hijack, hijackthis, hotkey, internet, internet explorer, keylogger, logfile, magix, micro, programme, rundll, scan, security, server, software, system, windows, windows xp |
Hybrid-Darstellung
