keylogger - Prozess (PID:0): kernel mode memory patch

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von cylon, 6. April 2010 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 6. April 2010
    hoffe richtige Abteilung, ansonsten bitte schieben.

    mein Kaspersky zeigt mir folgendes an:
    Unbekanntes Programm versucht, über die Tastatur eingegebene Daten abzufangen (KEYLOGGER) Treiberdatei: kernel mode memory Patch
    Potenziell gefährliches Programm
    KEYLOGGER
    Prozess (PID:0):
    kernel mode memory patch

    Problem: meine Auswahlmöglichkeiten sind nur:
    -> Erlauben
    -> zu Ausnahmen hinzufügen

    Keine Funktion für blocken, löschen oder ähnliches

    Was kann ich tun? Bitte einfach, ganz einfach für einen PC-Doofi erklären
    Danke vorab.
     
  2. 6. April 2010
    AW: keylogger-Problem

    Was hast du denn ausgeführt oder hast du nichts ausgeführt?
    Manche Programme werden von Kas fälschlicherweise als Keylogger erkannt.


    Poste uns aber doch bitte mal ein Hijackthis Log von deinem System.
     
  3. 7. April 2010
    AW: keylogger-Problem

    Wichtig bei sowas : Sofort Inet verbindung kappen und dann erst nach dem Übeltäter suchen sonst sind deine Daten schon weg und du findest dann erst heraus was passiert ist.
     
  4. 7. April 2010
    AW: keylogger-Problem

    der Hinweis kam Plötzlich, habe nichts neu installiert, oder so.

    Sorry, was ist denn Hijackthis Log?

    schonmal danke vorab
     
  5. 7. April 2010
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: keylogger-Problem

    http://hijackthis.de/

    oben auf Direktdownload klicken und hier ist die Anleitung dafür http://www.trojaner-board.de/51130-anleitung-hijackthis.html

    Kompletten Log bitte im Quote/Spoiler posten

    Anschliessend gleich das hier durchführen. Anleitungen sind dabei!

    Komplette Logs bitte im Quote/Spoiler posten

    Müsste eigentlich in den Bereich "Hijackthis & Trojaner entfernen"

    Gruß R0cka
     
  6. 7. April 2010
    AW: keylogger-Problem

    So habs gemacht

    Spoiler
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 08:23:51, on 07.04.2010
    Platform: Unknown Windows (WinNT 6.01.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskhost.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
    C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
    C:\Program Files\OO Software\Defrag\oodtray.exe
    C:\Program Files\Logitech\SetPointP\SetPoint.exe
    C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE
    C:\Program Files\Mozilla\firefox.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Windows\system32\SearchFilterHost.exe
    C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
    O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
    O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
    O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
    O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
    O4 - HKLM\..\Run: [OODefragTray] C:\Program Files\OO Software\Defrag\oodtray.exe
    O4 - HKLM\..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming
    O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
    O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
    O13 - Gopher Prefix:
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
    O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe
    O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
    O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
    O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\Program Files\OO Software\Defrag\oodag.exe
    O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
    O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
    O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
    O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
    O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

    --
    End of file - 6459 bytes


    Malwarebytes' Anti-Malware 1.45
    Malwarebytes | Free Anti-Malware & Internet Security Software

    Datenbank Version: 3930

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    07.04.2010 09:21:32
    mbam-log-2010-04-07 (09-21-32).txt

    Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
    Durchsuchte Objekte: 291353
    Laufzeit: 48 Minute(n), 20 Sekunde(n)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    (Keine bösartigen Objekte gefunden)

    So, hoffe es hilft...
     
  7. 7. April 2010
    AW: keylogger-Problem

    sauber... denk eher falscher alarm... steig ma auf ein anderes virenprogramm um. antivir schlägt oft falsch an...
     
  8. 7. April 2010
    AW: keylogger-Problem

    habe Kaspersky Internet Security 2010

    danke erstmal an alle. Belohnung folgt sofort....

    Warte aber noch ab, ob noch jemand was postet
     
  9. 7. April 2010
    AW: keylogger - Prozess (PID:0): kernel mode memory patch

    Das nächste mal wenn du sowas hast :

    Start - Ausführen - cmd - netstat -a .

    Da siehst du die ausgehenden Verbindungen.
    Wenn du unbekannte Webserver erkennst oder ne dyn IP wie z.B "Hack0000r1337@no.ip.biz" oder sowas kannste dir sicher sein :

    You are ed :lol:
     
  10. 7. April 2010
    AW: keylogger - Prozess (PID:0): kernel mode memory patch

    jo aber am besten vorher nen reboot. denn wenn man ein oder zwei progs ausgeführt hat dann sind die auch meistens mit iwas verbunden usw.
     
  11. 7. April 2010
    AW: keylogger - Prozess (PID:0): kernel mode memory patch

    Danke nochmals, BW raus
    closed
     
  12. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.