Rootkitkeylogger auf externer Festplatte?

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von G33z4RR, 29. März 2011 .

Schlagworte:
  1. 29. März 2011
    Hey Leute,
    zu meinem Problem: mein Paypal Acc. wurde heute morgen um 1300 euro erleichtert, habe mich inzwischen mit paypal in verbindung gesetzt und gehe gleich zur bank, um einen chargeback zu durchführen.

    ich denke, dass ich mir von irgendwo einen keylogger eingefangen habe, trotz sicherem surfen + kaspersky 2011. ich werde mein system wohl oder übel neu draufpacken, gibt ja keine andere möglichkeit.

    zu meinen fragen:
    wie kann ich auf windows 7 rootkit entries anschauen? habe mir den sticky angeschaut doch nichts gescheites gefunden, was auf windows 7 klappt bzw. noch online ist.

    meine 2., wichtigere frage:
    können sich keylogger auf externen festplatten verbreiten? wenn ja, dann hab ich ein dickes problem...

    Mfg
     
    + Multi-Zitat Zitieren
  3. 29. März 2011
    AW: Rootkitkeylogger auf externer Festplatte?

    Naja es könnte auch ein trojaner sein, und dieser kann sich theoretisch überall verstecken, am besten ist es mit einem Live-os onlinebanking zu machen (z.b Ubuntu) am besten erstmal komplett virenscan machen und hijackthis log posten
     
    + Multi-Zitat Zitieren
  4. 29. März 2011
    AW: Rootkitkeylogger auf externer Festplatte?

    Wenn Autorun aus ist, dann nicht.

    Ansonsten, verwendest du die Passwort Speicherungs Funktion von deinem Webbrowser?
    Wenn ja, weisst du warum dein Passwort weg ist. Ansonsten, kahm in letzter zeit irgendeine
    mergwuerdige "paypal" email?
     
    + Multi-Zitat Zitieren
  5. 29. März 2011
    AW: Rootkitkeylogger auf externer Festplatte?

    Kaspersky hat nichts gefunden, ist die aktuellste Version... Ich sollte noch einen anderen Virenscanner installieren, denk ich mal...
    Ich speicher nur Browserpasswörter, die "relativ" unwichtig sind, sprich RR, andere Foren, uswusf., aber nicht paypal.

    Danke für eure Hilfe, bedeutet mir wirklich sehr viel.


    Hier ein HijackThis Logfile:
    Code:
    Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:59:51, on 29.03.2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\User\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\ievkbd.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: GamePlayLabsBHO - {984A9162-8891-4D19-8CFE-17648BB4E1EC} - C:\Users\User\AppData\Local\GamePlayLabs Plugin\BHO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - C:\Program Files (x86)\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7476 bytes
     
    + Multi-Zitat Zitieren
  6. 29. März 2011
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Rootkitkeylogger auf externer Festplatte?

    In diesem Fall würde ich mir bei Paypal den Hardware-Token bestellen oder per Handy mir zusätzlich die Codes zusenden lassen. Danach musst du ein mal das Kennwort eingeben + den Code eingeben. Der Code wird immer neu generiert.

    Genau so wie beim Online-Banking, da gibt es auch solche Möglichkeiten.


    Was man in deinem Fall tun sollte:
    Erst ein mal keine Panik!! Kühlen Kopf bewahren.


    Schritt 1:
    Alle Kennwörter ändern.

    Dies solltest du mit einer Linux Live-CD machen. Knoppix oder eine andere LiveCD auf CD brennen und danach von ihr booten. Vor dem booten am besten alle internen und externen Datenträger raus nehmen.


    Schritt 2:
    Den PC und alle externen Datenträger noch mal scannen. Dazu nimm am besten verschieden Antivirenscanner. Kaspersky, Avira, GData und AVG. Alle Scanner am besten nacheinander installieren und laufen lassen.


    Weitere Programme:
    Malwarebytes
    ComboFix
    Hitman Pro 3.5
    F-Secure Blacklight
    Sophos Anti-Rootkit
    N0S's FXP Tool ==> Sich mal die Dienste anschauen


    LIVE-CD Scanner:
    Dr. Web Live-CD
    Auf CD brennen, von ihr booten und dann den Scan durchführen.


    WICHTIG:
    Egal ob die Scans positive oder negative ausfallen, würde ich in deinem Fall den Rechner neu aufsetzen. Die Scans dienen nur dazu, damit du eventuell weiß welche Datenträger infiziert sind.


    Schritt 3:
    Eine Sicherung mit Hilfe einer LIVE-CD durchführen. Wirklich nur die wichtigsten Dateien auf einen 100% sauberen Datenträger kopieren. Alle restlichen Datenträger + Betriebssystem formatieren.

    Es gibt natürlich noch andere Möglichkeiten, aber das ist die beste Möglichkeit für Laien und von der Ferne aus.


    Edit:
    Eventuell ist es auch keine Infizierung. Vielleicht hat jemand dein Passwort erraten? Bekannte oder Fremde. Daher starke Passwörter aussuchen.

    Grüße
    Kirill
     
    + Multi-Zitat Zitieren
  7. 29. März 2011
    AW: Rootkitkeylogger auf externer Festplatte?

    In der Aktuellen c't ist auch ein Livesystem dabei, welches genau zum Zweck der desinfektion erstellt wurde. Damit würde ich mal den PC scannen.
     
    + Multi-Zitat Zitieren
  8. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten