Keyloggerverdacht

DangerousRaver · 11. Juni 2009

Heyho,
hatte mir Programm geladen und habe nun einen Verdacht auf einen Keylogger, da sich bei jedem Neustart meines PC's die Keygen.exe öffnet, obwohl ich diese schon längst gelöscht habe (das Programm inklusive Setup+Keygen natürlich auch). außerdem befindet sich nun ein svchost.exe außerhalb der System-Dir's von Windows, die ich aber nicht finde.

Zitat von Wigberg: ↑

[...]und integriertem keylogger getarnt als svchost.exe unter %appdata%...

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

angeblich soll diese @ K:\Dokumente und Einstellungen\DangerousRaver\anwendungsdaten\svchost.exe sein, habe jedoch versteckte Dateien anzeigen lassen etc. aber ich finde sie einfach nicht.
Ich schätze, dass diese der Keylogger ist, da diese als schädlich angezeigt wurde, als ich mein Logfile mal selber ausgewertet habe.

Kann ich noch irgendwas machen? Evtl möchte mal jemand über mein Logfile schauen - formatieren will ich eigentlich vermeiden..

Log:

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:51, on 11.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
K:\WINDOWS\System32\smss.exe
K:\WINDOWS\system32\winlogon.exe
K:\WINDOWS\system32\services.exe
K:\WINDOWS\system32\lsass.exe
K:\WINDOWS\system32\svchost.exe
K:\WINDOWS\System32\svchost.exe
K:\WINDOWS\system32\spoolsv.exe
K:\Programme\avira\antiVir Desktop\sched.exe
K:\Programme\avira\antiVir Desktop\avguard.exe
K:\Programme\Gemeinsame Dateien\apple\Mobile Device Support\bin\appleMobileDeviceService.exe
K:\Programme\Java\jre6\bin\jqs.exe
K:\WINDOWS\System32\svchost.exe
K:\WINDOWS\system32\nvsvc32.exe
K:\WINDOWS\System32\svchost.exe
K:\WINDOWS\system32\PnkBstra.exe
K:\WINDOWS\Explorer.EXE
K:\Programme\alcohol Soft\alcohol 120\StarWind\StarWindServiceaE.exe
K:\WINDOWS\system32\svchost.exe
K:\WINDOWS\system32\RUNDLL32.EXE
K:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
K:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
K:\Programme\analog Devices\Core\smax4pnp.exe
K:\Programme\analog Devices\SoundMaX\Smax4.exe
K:\WINDOWS\system32\rundll32.exe
K:\Programme\Winamp\winampa.exe
K:\Programme\avmwlanstick\FRITZWLaNMini.exe
K:\Programme\iTunes\iTunesHelper.exe
K:\Programme\Logitech\GamePanel Software\LCD Manager\applets\LCDCountdown.exe
K:\Programme\Java\jre6\bin\jusched.exe
K:\Programme\Logitech\GamePanel Software\LCD Manager\applets\LCDPop3.exe
K:\Programme\avira\antiVir Desktop\avgnt.exe
K:\Programme\Logitech\GamePanel Software\LCD Manager\applets\LCDClock.exe
K:\Programme\HP\HP Software Update\HPWuSchd2.exe
K:\Programme\Logitech\GamePanel Software\LCD Manager\applets\LCDMedia.exe
K:\Programme\Unlocker\Unlockerassistant.exe
K:\programme\steam\steam.exe
K:\Programme\Windows Live\Messenger\msnmsgr.exe
K:\Programme\DaEMON Tools Lite\daemon.exe
K:\Programme\Creative\Shared Files\CamTray.exe
K:\Programme\Logitech\SetPoint II\SetpointII.exe
K:\Programme\Gemeinsame Dateien\Logishrd\KHaL2\KHaLMNPR.EXE
K:\Programme\iPod\bin\iPodService.exe
K:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ICQLite\ICQ.exe
K:\WINDOWS\system32\wscntfy.exe
K:\WINDOWS\system32\wuauclt.exe
K:\Dokumente und Einstellungen\DangerousRaver\anwendungsdaten\svchost.exe
K:\Programme\Last.fm\LastFM.exe
K:\Programme\Xfire\Xfire.exe
K:\Programme\VideoLaN\VLC\vlc.exe
K:\Programme\Opera\opera.exe
K:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = yodl.de - die Suchmaschine f�r alles!

R3 - URLSearchHook: Winamp Search Class - {57BCa5Fa-5DBB-45a2-B558-1755C3F6253B} - K:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {5C255C8a-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live anmelde-Hilfsprogramm - {9030D464-4C02-4aBF-8ECC-5164760863C6} - K:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: K:\WINDOWS\system32\sjg9s8guigjs.dll - {B2Ba40a2-74F0-42BD-F434-12345a2C8953} - K:\WINDOWS\system32\sjg9s8guigjs.dll (file missing)
O3 - Toolbar: Winamp Toolbar - {EBF2Ba02-9094-4c5a-858B-BB198F3D8DE2} - K:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE K:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE K:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X IDE Setup] K:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] K:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Launch LCDMon] "K:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "K:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Kernel and Hardware abstraction Layer] KHaLMNPR.EXE
O4 - HKLM\..\Run: [SoundMaXPnP] K:\Programme\analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMaX] "K:\Programme\analog Devices\SoundMaX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroFilterCheck] K:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Bluetoothauthenticationagent] rundll32.exe bthprops.cpl,,Bluetoothauthenticationagent
O4 - HKLM\..\Run: [QuickTime Task] "K:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Winampagent] K:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [aVMWlanClient] K:\Programme\avmwlanstick\FRITZWLaNMini.exe
O4 - HKLM\..\Run: [iTunesHelper] "K:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "K:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [adobe Reader Speed Launcher] "K:\Programme\adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "K:\Programme\avira\antiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] K:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Unlockerassistant] "K:\Programme\Unlocker\Unlockerassistant.exe"
O4 - HKCU\..\Run: [Steam] "k:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [alcoholautomount] "K:\Programme\alcohol Soft\alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [alcohol__.exe autorun] K:\Programme\alcohol Soft\alcohol 120\alcohol__.exe /startup
O4 - HKCU\..\Run: [] K:\DOKUME~1\DaNGER~1\LOKaLE~1\Temp\hamiu.exe
O4 - HKCU\..\Run: [Windows Resurections] K:\DOKUME~1\DaNGER~1\LOKaLE~1\Temp\hamiu.exe
O4 - HKCU\..\Run: [msnmsgr] "K:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DaEMON Tools Lite] "K:\Programme\DaEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Creative WebCam Tray] "K:\Programme\Creative\Shared Files\CamTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] K:\WINDOWS\system32\CTFMON.EXE (User 'LOKaLER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] K:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] K:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFaULT\..\Run: [CTFMON.EXE] K:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: &Winamp Search - K:\Dokumente und Einstellungen\all Users\anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-a3Ba-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-a3Ba-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - K:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - K:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6414512B-B978-451D-a0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1234799965953
O16 - DPF: {D0C0F75C-683a-4390-a791-1aCFD5599aB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - K:\PROGRa~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2Ba40a2-74F0-42BD-F434-12345a2C8953} - K:\WINDOWS\system32\sjg9s8guigjs.dll (file missing)
O23 - Service: avira antiVir Planer (antiVirSchedulerService) - avira GmbH - K:\Programme\avira\antiVir Desktop\sched.exe
O23 - Service: avira antiVir Guard (antiVirService) - avira GmbH - K:\Programme\avira\antiVir Desktop\avguard.exe
O23 - Service: apple Mobile Device - apple Inc. - K:\Programme\Gemeinsame Dateien\apple\Mobile Device Support\bin\appleMobileDeviceService.exe
O23 - Service: Firebird Server - MaGIX Instance (FirebirdServerMaGIXInstance) - MaGIX® - K:\Programme\MaGIX\Common\Database\bin\fbserver.exe
O23 - Service: iPod-Dienst (iPod Service) - apple Inc. - K:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - K:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIa Display Driver Service (NVSvc) - NVIDIa Corporation - K:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstra - Unknown owner - K:\WINDOWS\system32\PnkBstra.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CaCE Technologies - K:\Programme\WinPcap\rpcapd.exe
O23 - Service: StarWind aE Service (StarWindServiceaE) - Rocket Division Software - K:\Programme\alcohol Soft\alcohol 120\StarWind\StarWindServiceaE.exe

--
End of file - 8594 bytes

Lg

PS: BW gibts natürlich für jeden hilfreichen Post!

Anzeige

SabRina · 11. Juni 2009

AW: Keyloggerverdacht

ist wahrscheinlich ein trojaner.

K:\Dokumente und Einstellungen\DangerousRaver\Anwendungsdaten\svchost.exe

da hat die nichts zu suchen.
Starte den PC im abgesicherten Modus, und dann lass man die Virenscanner laufen.

Außerdem noch Spybot S&D.

achja. das hier unbedingt fixen:

K:\Dokumente und Einstellungen\DangerousRaver\Anwendungsdaten\svchost.exe

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: K:\WINDOWS\system32\sjg9s8guigjs.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - K:\WINDOWS\system32\sjg9s8guigjs.dll (file missing)

O4 - HKCU\..\Run: [] K:\DOKUME~1\DANGER~1\LOKALE~1\Temp\hamiu.exe

O4 - HKCU\..\Run: [Windows Resurections] K:\DOKUME~1\DANGER~1\LOKALE~1\Temp\hamiu.exe

O8 - Extra context menu item: &Winamp Search - K:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - K:\Programme\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - K:\Programme\Messenger\msmsgs.exe (file missing)

O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - K:\WINDOWS\system32\sjg9s8guigjs.dll (file missing)

KingLui · 11. Juni 2009

AW: Keyloggerverdacht

K:\Dokumente und Einstellungen\DangerousRaver\Anwendungsdaten\svchost.exe

Art

fixen und löschen

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - K:\Programme\Messenger\msmsgs.exe (file missing)

fix

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - K:\Programme\Messenger\msmsgs.exe (file missing)

fix

O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

fix

O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

fix

O8 - Extra context menu item: &Winamp Search - K:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

fix

DangerousRaver · 11. Juni 2009

AW: Keyloggerverdacht

BW ist für eure Hilfe schonmal raus

Alles gefixxt und Avira drüberlaufen lassen
Jedoch findet er diese svchost.exe nicht
Wenn ich in der Explorerleiste direkt "K:\Dokumente und Einstellungen\DangerousRaver\Anwendungsdaten\svchost.exe" angebe, öffnet er diesen Keygen... Aber wenn ich in das Verzeichnis gehe finde ich die Datei einfach nicht (ist auch nicht als Versteckt angezeigt) und per cmd kann ich die irgendwie auch nicht löschen

"K:\Dokumente und Einstellungen\DangerousRaver\Anwendungsdaten\svchost.exe konnte nicht gefunden werden"

Edit: Hier mal ein Screenshot. Wenn ich per Taskmanager den Prozess svchost, der auf "DangerousRaver" läuft, schließe, öffnet er sich immer wieder neu. Dann kommt auch immer dieser Keygen...

{bild-down: https://www1.xup.in/exec/ximg.php?fid=68395081}

KingLui · 11. Juni 2009

AW: Keyloggerverdacht

versteckte dateien angezeigt ? im abgesicherten modus geschaut ?

DangerousRaver · 11. Juni 2009

AW: Keyloggerverdacht

closed , ich formatiere einfach.... finde keine lösung

Ja, auch im abgesicherten Modus mit "Versteckte Dateien anzeigen" finde ich ihn nicht. Aber wenn ich direkt drauf zugreife (siehe Screenshot) kann ich den öffnen...

Evtl kann ich den Prozess irgendwie blocken, dass er sich nicht neu öffnen kann, sobald ich ihn per dem Task Manager geschlossen habe?

Edit: Per Hijackthis kann ich auf den Prozess zugreifen.. Screenshot folgt
Edit2: Angeblich versteckt, aber wieso sehe ich den nicht wenn ich "Versteckte Dateien Anzeigen" aktiviere? Evtl kann ich ihn irgendwie über HiJackThis löschen?

Bild

Nützliche Suchen

Keyloggerverdacht

Videos zum Themenbereich