Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan-Keylogger.WIN32.Fung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.11.2008, 14:34   #1
Karl Marx
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



Hallo!

Ich hab gestern von meinem Windows(Vista) die Meldung erhalten, dass ich einen "Trojan-Keylogger.WIN32.Fung" auf meinem Computer habe. Ich würde den genauen Text gerne posten nur weiß ich nicht wie ich ihn wieder aufrufe. Probleme hatte ich mit dem Trojaner bisher nicht, außer dass ich glaube dass mein Internet lahmer ist. Lässtige Fenster die sich öffnen hatte ich nicht. Nun habe ich, aber Angst, dass dieses Programm all meine Passwörter speichert und Screenshots von privaten Daten macht.

Ich bin nun mal her gegangen und hab in diesem Forum gesucht ob ich eine Möglichkeit finde, den Trojaner sofort wegzubekommen. Konnte leider nichts finden. Bin daher nach dieser Anleitung vorgegangen:

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
2) Deinstalliere Java über die Systemsteuerung.
3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen! nichts gefunden
4) Run Combofix. Poste den erscheinenden Text.
5) Überprüfe dein System mit SASW.
6) Mache einen letzten Maleware-Check mit Malewarebytes.
7) Räume mit CCleaner auf. (Punkt 1 und 2)
8) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report). Hinweis zum iClean Bericht: Sollten extrem viele 032 und 033 redirected Einträge im log auftauchen so kürze diese bitte damit das log nicht zu lang wird.

Ergebnisse zu den 8 Punkten:

1) erfolgreich deaktiviert
2) Hab ich deinstalliert.
3)Mit Blacklight hab ich nichts gefunden.
4)Combofix läuft unter Vista nicht.

Geändert von Karl Marx (02.11.2008 um 14:41 Uhr) Grund: Bin heut anscheinend verwirrt...

Alt 02.11.2008, 14:37   #2
Karl Marx
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



5)SASW-text:
PHP-Code:
SUPERAntiSpyware Scan Log
http
://www.superantispyware.com

Generated 11/02/2008 at 09:28 AM

Application Version 
4.21.1004

Core Rules Database Version 
3619
Trace Rules Database Version
1603

Scan type       
Complete Scan
Total Scan Time 
00:59:40

Memory items scanned      
243
Memory threats detected   
0
Registry items scanned    
5607
Registry threats detected 
0
File items scanned        
36659
File threats detected     
219

Adware
.Tracking Cookie
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Hansl_Familienname@2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Hansl_Familienname@bs.serving-sys[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Hansl_Familienname@divx.112.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Hansl_Familienname@adtech[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Hansl_Familienname@serving-sys[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Hansl_Familienname@atdmt[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Hansl_Familienname@sevenoneintermedia.112.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Hansl_Familienname@doubleclick[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Hansl_Familienname@ads.sun[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Hansl_Familienname@fastclick[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Hansl_Familienname@atwola[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Hansl_Familienname@memedia[1].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Hansl@fastclick[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@ad.adition[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@xiti[1].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@cracks[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@pornhub[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@spylog[1].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@ads.adbrite[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@zedo[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@clicktorrent[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@advertising[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@smartadserver[1].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@adbrite[1].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@casalemedia[1].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@tradedoubler[1].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@ads.planetactive[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@adserver.easyad[1].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@partners.webmasterplan[1].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@msnportal.112.2o7[1].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@doubleclick[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@www.warezquality[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@indextools[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@atdmt[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@hotlog[1].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@usenext[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@www.crackserver[1].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@ad.zanox[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@ad.yieldmanager[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@crackserver[2].txt
    C
:\Users\Hansl\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl@statcounter[1].txt
    
.doubleclick.net C:\Users\Hansl\AppData\Roaming\Mozilla\Firefox\Profiles\raog6l3x.default\cookies.txt ]
    
C:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads-dev.youporn[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@e-2dj6wgkyoidjsao.stats.esomniture[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@advertising[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@zbox.zanox[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@rotation.sk-media[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@imrworldwide[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@videoegg.adbureau[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.ad4game[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adrevolver[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.gratiscounter[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.netdebit-counter[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ad.yieldmanager[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@traffic.buyservices[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@allesklarcomag.112.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@doubleclick[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.t-online[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.ookla[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@sevenoneintermedia.112.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@wissende.122.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.sexyparty[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@naked[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@smartadserver[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@tracknet.twyn[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ehg-warnerbrothers.hitbox[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ehg-youtube.hitbox[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.auto-bannertausch[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@yadro[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@hmt.connexpromotions[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adserve.shopping[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adserver.easyad[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@clickz.lonelycheatingwives[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@tracking.quisma[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.heias[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@statcounter[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@zanox[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.today-media[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ad.adnet[3].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ehg-linksys.hitbox[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@edsa.122.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ad.adnet[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@webmasterplan[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adserver.onemediagroup[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@tto2.traffictrack[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@stat.dealtime[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@traffic.mpnrs[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ehg-esa.hitbox[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@serv.clicksor[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@media.adrevolver[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@eas.apm.emediate[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@nextag[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@4stats[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@msnportal.112.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.fudder[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@media.adrevolver[3].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.revsci[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@revsci[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.slashcam[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adfarm1.adition[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.adshopping[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@viacom.adbureau[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@revenue[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@hitbox[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@buycom.122.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@livestat.derstandard[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@overture[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@pornhub[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@zanox-affiliate[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@reduxads.valuead[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@paypal.112.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adserver.astronews[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adopt.euroclick[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.teleint[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@usenext[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@toplist[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@stats.channel4[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.tripod.lycos[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ice.112.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@rotator.adjuggler[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@youporn[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@server.iad.liveperson[4].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@server.iad.liveperson[3].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@server.iad.liveperson[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.overclockers[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.fettspielen[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adserver.szene1[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@server3.agmedia[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adserver.filefront[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.etracker[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.googleadservices[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.pornhub[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.pornhub[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@stats.fudder[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@bs.serving-sys[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@casalemedia[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.googleadservices[3].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.googleadservices[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.komplads[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@bluestreak[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@komtrack[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@pop.webfile[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@countomat[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@mediaplex[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adecn[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ehg-systemax.hitbox[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.zanox-affiliate[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@bfast[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.incentaclick[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@chitika[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@atdmt[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.usenext[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@szene1.mediaserver24[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@m1.webstats.motigo[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@azjmp[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@myroitracking[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adbrite[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.quartermedia[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@metacafe.122.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.zzounds[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ad.hbv[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@valueclick[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.zam[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@sexy-party[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ad.bauerverlag[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@youporngay[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@pinnaclesystems.122.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@newstrackindia[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@youporngay[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ad.zanox[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@im.banner.t-online[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adserver.cusoon[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@tribalfusion[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.burstnet[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adserv.flamebox[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@philips.112.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@serving-sys[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@fastclick[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@media.wow-europe[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@realmedia[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@autoscout24.112.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@dynamic.media.adrevolver[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@atwola[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@server.cpmstar[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@stat.onestat[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@incentaclick[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@files.youporn[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@zedo[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@truition.122.2o7[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.counters[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@apmebf[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adserver.71i[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@questionmarket[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adtech[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@statse.webtrendslive[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@specificclick[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@indextools[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adserver.adreactor[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.glispa[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@track.adform[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@xiti[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ad1.clickhype[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adviva[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@adultfriendfinder[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@hbxtracking.sueddeutsche[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www5.addfreestats[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@www.highfi-stats[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@test.koadserver[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@tripod.lycos[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ad.cybnes[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@delivery.ads.coupling-media[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@ads.addynamix[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@traffictrack[2].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@partypoker[1].txt
    C
:\Users\Hansl Familienname\AppData\Roaming\Microsoft\Windows\Cookies\Low\Hansl_Familienname@tradedoubler[1].txt
    C
:\Users\Omma\AppData\Roaming\Microsoft\Windows\Cookies\Low\omma@doubleclick[1].txt
    C
:\Users\Omma\AppData\Roaming\Microsoft\Windows\Cookies\omma@fastclick[2].txt

Trojan
.SystemDriver
    C
:\COMBOFIX\CREG.DAT 
__________________


Alt 02.11.2008, 14:38   #3
Karl Marx
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



6) eine Datei mit Malwarebytes gefunden und gelöscht

7) CC-Cleaner: erledigt

8a)HJT-File:

PHP-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14
:48:51on 02.11.2008
Platform
Windows Vista SP1 (WinNT 6.00.1905)
MSIEInternet Explorer v7.00 (7.00.6001.18000)
Boot modeNormal

Running processes
:
C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C
:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C
:\Program Files (x86)\Portrait Displays\Pivot Software\wpCtrl.exe
C
:\Program Files (x86)\Portrait Displays\HP My Display\dthtml.exe
C
:\Program Files (x86)\QuickTime\qttask.exe
C
:\Program Files (x86)\Winamp\winampa.exe
C
:\Program Files (x86)\Portrait Displays\Pivot Software\floater.exe
C
:\Program Files (x86)\Internet Explorer\ieuser.exe
C
:\Program Files (x86)\uTorrent\uTorrent.exe
C
:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R0 
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page about:blank
R1 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL http://go.microsoft.com/fwlink/?LinkId=69157
R1 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL http://go.microsoft.com/fwlink/?LinkId=54896
R1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page http://go.microsoft.com/fwlink/?LinkId=54896
R0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page http://go.microsoft.com/fwlink/?LinkId=69157
R0 HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant 
R0 HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch 
R0 HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName 
R3 URLSearchHookYahooToolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!

\
Companion\Installs\cpn\yt.dll
O2 
BHOYahooToolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll
O2 
BHOAcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 
BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 BHOWindows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows 

Live
\WindowsLiveLogin.dll
O2 
BHOGoogle Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files (x86)\google\googletoolbar2.dll
O2 
BHOGoogle Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\4.1.805.4472

\swg.dll
O2 
BHOWindows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files (x86)\Windows Live Toolbar\msntb.dll
O3 
Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files (x86)\google\googletoolbar2.dll
O3 
ToolbarWindows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files (x86)\Windows Live Toolbar\msntb.dll
O3 
ToolbarYahooToolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll
O4 
HKLM\..\Run: [avgnt"C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 
HKLM\..\Run: [PivotSoftware"C:\Program Files (x86)\Portrait Displays\Pivot Software\wpctrl.exe"
O4 HKLM\..\Run: [DT HPW"C:\Program Files (x86)\Portrait Displays\HP My Display\DTHtml.exe" -startup_folder
O4 
HKLM\..\Run: [QuickTime Task"C:\Program Files (x86)\QuickTime\qttask.exe" -atboottime
O4 
HKLM\..\Run: [WinampAgent"C:\Program Files (x86)\Winamp\winampa.exe"
O4 HKLM\..\Run: [StartCCC"C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 
HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /install /silent
O4 - HKCU\..\Run: [swg] C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files (x86)\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdS7_0_0
O4 - HKCU\..\Run: [AlcoholAutomount] "
C:\Program Files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Steam] C:\Program Files (x86)\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files (x86)\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files (x86)\RALINK\Common\RaUI.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files (x86)\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ\ICQ6\ICQ.exe
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files (x86)\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files (x86)\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files (x86)\Common Files\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32

\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common 

Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files (x86)\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120

\StarWind\StarWindServiceAE.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file 

missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media 

Player\wmpnetwk.exe (file missing)

--
End of file - 9264 bytes 
__________________

Alt 02.11.2008, 14:39   #4
Karl Marx
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



8b)I-Clean Log vollständig, da ich nicht ganz gecheckt habe, was ich löschen soll

PHP-Code:
iclean log 02.11.2008 15:05:51

Windows Vista SP1
Kernel functions unavailable

Processes
---------
424 smss.exe smss.exe
500 
csrss.exe csrss.exe
536 
wininit.exe Windows-Startanwendung
556 
csrss.exe csrss.exe
592 
services.exe Anwendung für Dienste und Controller
604 
lsass.exe lsass.exe
612 
lsm.exe Lokaler Sitzungs-Manager-Dienst
740 
winlogon.exe Windows-Anmeldeanwendung
824 
svchost.exe Hostprozess für Windows-Dienste
904 
svchost.exe Hostprozess für Windows-Dienste
956 
svchost.exe Hostprozess für Windows-Dienste
200 
Ati2evxx.exe Ati2evxx.exe
256 
svchost.exe Hostprozess für Windows-Dienste
440 
svchost.exe Hostprozess für Windows-Dienste
432 
svchost.exe Hostprozess für Windows-Dienste
608 
audiodg.exe Windows Graphisolierung für Audiogeräte 
548 
SLsvc.exe SLsvc.exe
1048 
svchost.exe Hostprozess für Windows-Dienste
1228 
svchost.exe Hostprozess für Windows-Dienste
1388 
Ati2evxx.exe Ati2evxx.exe
1488 
spoolsv.exe spoolsv.exe
1528 
avguard.exe avguard.exe
1540 
svchost.exe Hostprozess für Windows-Dienste
1940 
dwm.exe dwm.exe
1964 
explorer.exe Windows-Explorer
2004 
taskeng.exe Aufgabenplanungsmodul
1336 
MSASCui.exe MSASCui.exe
1784 
RAVCpl64.exe HD Audio Control Panel
1628 
C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe GoogleToolbarNotifier (Signed)
2232 sched.exe sched.exe
2396 
DTSRVC.exe DTSRVC.exe
2436 
GoogleUpdaterService.exe GoogleUpdaterService.exe
2580 
LSSrvc.exe LSSrvc.exe
2624 
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe Antivirus System Tray Tool
2636 
C:\Program Files (x86)\Portrait Displays\Pivot Software\wpCtrl.exe C:\Program Files (x86)\Portrait Displays\Pivot Software\wpCtrl.exe (Signed)
2664 PnkBstrA.exe PnkBstrA.exe
2672 
C:\Program Files (x86)\Portrait Displays\HP My Display\dthtml.exe HP My Display
2684 
C:\Program Files (x86)\QuickTime\qttask.exe C:\Program Files (x86)\QuickTime\qttask.exe
2692 
PnkBstrB.exe PnkBstrB.exe
2700 
C:\Program Files (x86)\Winamp\winampa.exe C:\Program Files (x86)\Winamp\winampa.exe
2724 
svchost.exe Hostprozess für Windows-Dienste
2732 
MOM.exe Catalyst Control CenterMonitoring program
2760 
StarWindServiceAE.exe StarWindServiceAE.exe
2780 
svchost.exe Hostprozess für Windows-Dienste
2852 
svchost.exe Hostprozess für Windows-Dienste
2896 
SearchIndexer.exe Microsoft Windows Search-Indexerstellung
2956 
C:\Program Files (x86)\Portrait Displays\Pivot Software\floater.exe C:\Program Files (x86)\Portrait Displays\Pivot Software\floater.exe (Signed)
3152 WmiPrvSE.exe WMI Provider Host
3176 
wmpnscfg.exe wmpnscfg.exe
3212 
CCC.exe Catalyst Control CentreHost application
3304 
wmpnetwk.exe wmpnetwk.exe
3532 
unsecapp.exe unsecapp.exe
3860 
taskeng.exe Aufgabenplanungsmodul
3024 
conime.exe Console IME
3424 
SUPERAntiSpyware.exe SUPERAntiSpyware.exe
276 
taskeng.exe Aufgabenplanungsmodul
2748 
C:\Program Files (x86)\uTorrent\uTorrent.exe µTorrent (Signed)
3672 SearchProtocolHost.exe Microsoft Windows Search Protocol Host
1960 
notepad.exe Editor
5088 
C:\Program Files (x86)\Mozilla Firefox\firefox.exe Firefox (Signed)
4272 C:\Users\Peter Familienname\Downloads\iclean.exe Interactive Cleaner
2340 
SearchFilterHost.exe Microsoft Windows Search Filter Host
4516 
smss.exe COM Surrogate

Services
--------
=
AeLookupSvc
=AntiVirScheduler
=AntiVirService
=Appinfo
=Ati External Event Utility
=AudioEndpointBuilder
=AudioSrv
=BFE
=BITS
=Browser
=CryptSvc
=DcomLaunch
=Dhcp
=Dnscache
=DPS
=DTSRVC
=EapHost
=EMDMgmt
=Eventlog
=EventSystem
=fdPHost
=FDResPub
=gpsvc
=gusvc
=IKEEXT
=iphlpsvc
=KeyIso
=KtmRm
=LanmanServer
=LanmanWorkstation
=LightScribeService
=lmhosts
=MMCSS
=MpsSvc
=Netman
=netprofm
=NlaSvc
=nsi
=PcaSvc
=PlugPlay
=PnkBstrA
=PnkBstrB
=PolicyAgent
=ProfSvc
=RasMan
=RpcSs
=SamSs
=Schedule
=seclogon
=SENS
=ShellHWDetection
=slsvc


=Spooler
=SSDPSRV
=SstpSvc
=StarWindServiceAE
=stisvc
=SysMain
=TabletInputService
=TapiSrv
=TermService
=Themes
=TrkWks
=upnphost
=UxSms
=UxTuneUp
=W32Time
=WdiSystemHost
=WebClient
=WerSvc
=WinDefend
=Winmgmt
=Wlansvc
=WMPNetworkSvc
=WPDBusEnum
=wscsvc
=WSearch
=wuauserv
=wudfsvc

Registry
--------
000=HKCU\RunAlcoholAutomount="c:\program files (x86)\alcohol soft\alcohol 120\axcmd.exe" /automount
000
=HKCU\RunSteam=c:\program files (x86)\valve\steam\\steam.exe
000
=HKCU\RunSUPERAntiSpyware=c:\program files (x86)\superantispyware\superantispyware.exe
000
=HKCU\Runswg=c:\program files (x86)\google\googletoolbarnotifier\googletoolbarnotifier.exe
000
=HKCU\RunupdateMgr=c:\program files (x86)\adobe\acrobat 7.0\reader\adobeupdatemanager.exe
000
=HKLM\Runavgnt="c:\program files (x86)\avira\antivir personaledition classic\avgnt.exe" /min
000
=HKLM\RunDT HPW="c:\program files (x86)\portrait displays\hp my display\dthtml.exe" -startup_folder
000
=HKLM\RunPivotSoftware="c:\program files (x86)\portrait displays\pivot software\wpctrl.exe"
000=HKLM\RunQuickTime Task="c:\program files (x86)\quicktime\qttask.exe" -atboottime
000
=HKLM\RunStartCCC="c:\program files (x86)\ati technologies\ati.ace\core-static\clistart.exe" msrun
000
=HKLM\RunWinampAgent="c:\program files (x86)\winamp\winampa.exe"
020=SSODLWebCheck=(null)
030=BHO: {02478D38-C3F9-4EFB-9B51-7695ECA05670}=c:\program files (x86)\yahoo!\companion\installs\cpn\yt.dll (YahooToolbar Helper)
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=c:\program files (x86)\adobe\acrobat 7.0\activex\acroiehelper.dll (AcroIEHlprObj Class)
030=BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045}=(null) ()
030=BHO: {9030D464-4C02-4ABF-8ECC-5164760863C6}=c:\program files (x86)\common files\microsoft shared\windows live\windowslivelogin.dll (Windows Live 

Anmelde
-Hilfsprogramm)
030=BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\program files (x86)\google\googletoolbar2.dll (Google Toolbar Helper)
030=BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=c:\program files (x86)\google\googletoolbarnotifier\4.1.805.4472\swg.dll (Google Toolbar Notifier BHO)
030=BHO: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}=c:\program files (x86)\windows live toolbar\msntb.dll (Windows Live Toolbar Helper)
031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=c:\program files (x86)\google\googletoolbar2.dll
031
=Toolbar: {855F3B16-6D32-4FE6-8A56-BBB695989046}=(null)
031=Toolbar: {F2CF5485-4E02-4F68-819C-B92DE9277049}=(null)
031=ToolbarITBar7Layout=(null)
031=Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F}=c:\program files (x86)\google\googletoolbar2.dll
031
=Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}=c:\program files (x86)\yahoo!\companion\installs\cpn\yt.dll

Startup Folders
---------------
Commondesktop.ini
Common
ralink wireless utility.lnk -> C:\PROGRA~2\RALINK\Common\RaUI.exe
Personal
desktop.ini 

Alt 02.11.2008, 14:43   #5
Karl Marx
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



Bitte seit mir nicht böse, wenn das nun zu genau war oder wieder eine der goldenen Regeln verletzt habe. Hab mit Foren nicht wirklich erfahrung.

Hab mir sehr viel Mühe gegeben. Danke für eure Hilfe im Voraus!

Ganz liebe Grüße

Karli


Alt 02.11.2008, 17:55   #6
awlmightey
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



ich hab auch keinen wirklichen plan wie das hier geht, sorry!!!

bei mir war es so: http://www.trojaner-board.de/63459-t...in32-fung.html


btw, mein hijack report sieht ganz anders aus als deiner!?


ich hab diese auffälligkeit bei den laufenden prozessen selber bemerkt. dachte mir wieso sollte etwas aus meinen user files und dann auch noch was aus einem temp ordner von google laufen. kam mir fragwürdig vor. seit dem ich das gelöscht habe gibt es keine auffälligkeit mehr. habe aber jetzt richtig angst da noch viel mehr auf dem pc zu haben.

mehr hilfe kann ich leider nicht geben.

Alt 02.11.2008, 18:39   #7
Karl Marx
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



Zitat:
bei mir war es so: Trojan-Keylogger.WIN32.Fung
Dürfte momentan ganz schön herumgehen, böses Ding....
Hier im Forum sind in den letzten paar Tagen mindestens 5 Beiträge zu diesem Trojaner entstanden und anscheinend weiß niemand eine Antwort. Ich möcht endlich wieder mein e-banking sorglos verwenden können...

Zitat:
btw, mein hijack report sieht ganz anders aus als deiner!?
Das liegt wahrscheinlich daran, dass ich Vista habe und du XP!

Zitat:
ich hab diese auffälligkeit bei den laufenden prozessen selber bemerkt. dachte mir wieso sollte etwas aus meinen user files und dann auch noch was aus einem temp ordner von google laufen. kam mir fragwürdig vor. seit dem ich das gelöscht habe gibt es keine auffälligkeit mehr. habe aber jetzt richtig angst da noch viel mehr auf dem pc zu haben.
Mir gehts genauso... Hab normalerweise nie einen Virus oder der gleichen, bin voll auf Hilfe angewiesen

Zitat:
mehr hilfe kann ich leider nicht geben.
Danke trotzdem! Ich hoffe es wird bald eine Lösung geben.


LG Karli

Alt 02.11.2008, 18:50   #8
awlmightey
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



hey, hab auch vista64bit.


ich denke auch das wir möglicherweise ein problem haben. war vorhin auf meinem ebay .... ich hoffe keiner mißbraucht meinen acc.
falls noch etwas hier drauf ist, hilft pw ändern bestimmt auch nicht weiter.

Alt 02.11.2008, 19:02   #9
Karl Marx
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



Guten Abend nochmal!

Bin gerade auf diese Seite gestoßen:

http://www.removeonline.com/remove-trojan-keylogger-win32-fung-trojankeyloggerwin32fung-removal-instructions/

Der Downloadlink
Download - Removal Tool for Keylogger.Win32.fung
Lädt lediglich Malwarbytes herunter...

Grundsetzlich finde ich, sieht diese Seite sehr unseriös aus und ich könnt mir vorstellen, dass die direkt mit dem Erfinder des Trojaners zusammenarbeiten.

Andererseits sieht das ganze sehr logisch aus:
Am Anfang steht, dass das ganze nur ein Fake ist, also kein echter Keylogger und dann ist das Removal Tool for Keylogger.Win32.fung nur Malwarbytes. Was ich damit sagen will ist, dass der Trojaner ganricht so kompliziert aufgebaut sein kann, wenn du ihn mit Malwarbytes entfernen kannst. Andererseits ist da wieder die Verschwörungstheorie die ich eben schon angeführt habe...

LG Karli

Alt 02.11.2008, 19:11   #10
Karl Marx
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



Guten Abend!

Ich hab noch ne seite Gefunden auf der das gleiche steht.

http://www.bleepingcomputer.com/malware-removal/remove-trojan-keylogger.WIN32.Fung


Ich denke wir können unbesorgt sein....


LG

Alt 02.11.2008, 19:12   #11
Karl Marx
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



Soweit ichs verstanden hab musst du einfach nur diese datein löschen:
%UserProfile\Application Data\Google\sccmsk.dll
%UserProfile\Application Data\Google\mupd1_2_1165664.exe
%UserProfile\Application Data\Google\mupd1_2_1711951.exe

LG

Alt 02.11.2008, 19:13   #12
awlmightey
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



für den fall sehe ich auch verschwörungstheorien. deshalb habe ich keine der lösungen beachtet. vorallem sind in den meisten beschreibungen ordner und prozesse beschrieben, die ich bei mir nicht finden konnte.

also bei removern wäre ich sehr vorsichtig. frage mich aber auch warum mein avira und der spybot nichts gefunden haben.

hab jetzt mal bei hijack meinen alten verseuchten reoprt rein und diese ws rdw.exe als böse eingestuft. vielleicht hilft es jemandem.

Alt 02.11.2008, 19:15   #13
awlmightey
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



Zitat:
Zitat von Karl Marx Beitrag anzeigen
Soweit ichs verstanden hab musst du einfach nur diese datein löschen:
%UserProfile\Application Data\Google\sccmsk.dll
%UserProfile\Application Data\Google\mupd1_2_1165664.exe
%UserProfile\Application Data\Google\mupd1_2_1711951.exe

LG
diese dateien waren bei mir nie vorhanden bzw lassen sich nicht finden.

Alt 02.11.2008, 19:19   #14
Karl Marx
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



By mir zeigt Malewarebytes aber nur an, dass diese datei entfernt wurde:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO)

Irgendwie sieht mir das nicht danach aus... auch wenn ich keinen google ordner mit dem inhalt der oben angeführten Datein finde.

Ich denk das ganze ist ein Halloween-Schwerz.

Alt 02.11.2008, 19:28   #15
Karl Marx
 
Trojan-Keylogger.WIN32.Fung - Standard

Trojan-Keylogger.WIN32.Fung



das sieht mir hier schon seriöser aus, der user der das postet "floating_red" hat schon 1329 Beiträge in dem Forum und wurde noch nicht gebannt. Falls der Unsinn verzapfen würde, wäre er sicher schon gebannt!

Hast du Malewarebytes schon probiert?

Antwort

Themen zu Trojan-Keylogger.WIN32.Fung
anleitung, beendet, bericht, ccleaner, computer, deaktiviert, ellung, forum, gesucht, hijack, hijackthis, hijackthis log, internet, java, laufwerke, meldung, nichts, ordner, passwörter, probleme, programm, speicher, systemwiederherstellung, trojaner, vista, windows, zu lang, öffnen



Ähnliche Themen: Trojan-Keylogger.WIN32.Fung


  1. Trojaner: Trojan-PSW.Win32.Coced.219 sowie Trojan-BNK.Win32.Keylogger.gen
    Log-Analyse und Auswertung - 24.01.2012 (42)
  2. Trojan-BNK.Win32.Keylogger.gen
    Plagegeister aller Art und deren Bekämpfung - 31.05.2011 (1)
  3. Keylogger Trojan-Spy.Win32.KeyLogger.cqd in Windows32
    Plagegeister aller Art und deren Bekämpfung - 05.08.2010 (1)
  4. Trojan-Keylogger.WIN32.Fung
    Plagegeister aller Art und deren Bekämpfung - 08.11.2008 (2)
  5. Trojan-Keylogger.WIN32.Fung
    Plagegeister aller Art und deren Bekämpfung - 05.11.2008 (6)
  6. Trojan-Keylogger.WIN32.Fung und keine Lösung gefunden
    Log-Analyse und Auswertung - 05.11.2008 (10)
  7. Trojan Keylogger Win 32 Fung
    Plagegeister aller Art und deren Bekämpfung - 03.11.2008 (41)
  8. Trojan Keylogger Win 32 Fung
    Plagegeister aller Art und deren Bekämpfung - 01.11.2008 (4)
  9. Immer noch nicht weg,obwohl ich alle Punkte durchg. bin ->Trojan-Keylogger.WIN32.Fung
    Plagegeister aller Art und deren Bekämpfung - 01.11.2008 (2)
  10. Trojan-Keylogger.WIN32.Fung und seine Folgen
    Log-Analyse und Auswertung - 01.11.2008 (2)
  11. Trojan-Keylogger.WIN32.Fung
    Mülltonne - 01.11.2008 (0)
  12. Trojan.keylogger.win.32.fung
    Mülltonne - 01.11.2008 (0)
  13. trojan.keylogger.win32.fung befall
    Mülltonne - 01.11.2008 (0)
  14. Trojan-Keylogger.WIN32.Fung
    Plagegeister aller Art und deren Bekämpfung - 31.10.2008 (10)
  15. Trojan-Keylogger.WIN32.Fung
    Mülltonne - 29.10.2008 (0)
  16. Trojan-Spy.HTML.Bankfraud.dq - Trojan-Spy.Win32.KeyLogger.aa
    Mülltonne - 08.09.2008 (0)
  17. Trojan-Spy.Win32.KeyLogger.bp & Trojan-Spy.Win32.KeyLogger.cc
    Plagegeister aller Art und deren Bekämpfung - 15.07.2007 (8)

Zum Thema Trojan-Keylogger.WIN32.Fung - Hallo! Ich hab gestern von meinem Windows (Vista) die Meldung erhalten, dass ich einen "Trojan-Keylogger.WIN32.Fung" auf meinem Computer habe. Ich würde den genauen Text gerne posten nur weiß ich nicht - Trojan-Keylogger.WIN32.Fung...
Archiv
Du betrachtest: Trojan-Keylogger.WIN32.Fung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.