Thema: Keylogger entfernen

xXM!chiXx

hab ich und jetzt ?

Dessen Ergebnisse posten, wie du es vorher schon gemacht hast:

xXM!chiXx

Virustotal. MD5: 0c7a714b8e1d2ead2afc90dcc43bbe18 Spyware.Ardakey Heuristic.LooksLike.Win32.Spyware.J Trojan.Generic.1813812
das ist das CCXC.exe oda wie das heisst

Weiteres gebe ich dir dann noch Bescheid

Virustotal. MD5: 869ccf9477da1a61d821c67a54038463 Infostealer Trojan.Spy.MSIL.Agent.JA.1 Spyware.5989
WolfTeam MultiHack.exe

bLacK_dRaSanG

Die Anleitung stimmte nicht ganz, der Code-Tags wäre der sechste Button von rechts gewesen. Aber ist glücklicherweise in diesem Forum auch eher egal .

Deinstalliere unter Start-->Systemsteuerung-->Software mal diese Programme:

• Askbar

• SweetIM

• MyWebSearch

Die Namen müssen nicht genau die oben genannten entsprechen.

Diese Einträge fixt du (diese haben entweder ein Fragezeichen, ein rotes Kreuz, einige hatten sogar ein grünes Häkchen, hielte ich aber für fragwürdig):

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com/?o=15015&l=dis

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s         

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - H:\Programme\AskSearch\bin\DefaultSearch.dll (file missing)

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - H:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - H:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - H:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - H:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll (file missing)

O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - H:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - H:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll (file missing)

O4 - HKLM\..\Run: [SweetIM] H:\Programme\SweetIM\Messenger\SweetIM.exe

O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 H:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 H:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [windowstest] H:\WINDOWS\system32:2moonsHack.exe

O4 - HKLM\..\Run: [CCXC Agent] H:\WINDOWS\system32\28463\CCXC.exe

O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\Windows.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [Microsoft] H:\Programme\Microsoft\WolfTeam MultiHack.exe

O4 - HKCU\..\Run: [dcmdulb] "h:\dokumente und einstellungen\michel\lokale einstellungen\anwendungsdaten\dcmdulb.exe" dcmdulb


O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCfox000

Man fixt, indem man Hijackthis startet und auf "Do a system scan only" klickt.
Nun sucht man den oben angegebende Eintrag und markiert, das leere weiße Kästchen mit einen Haken, neben den entsprechenden Eintrag.
Schließlich klickt man auf "Fix checked"

Folgende Dateien solltest du mal auf VirusTotal - Free Online Virus and Malware Scan hoch laden:

Code:

h:\dokumente und einstellungen\michel\lokale einstellungen\anwendungsdaten\dcmdulb.exe

H:\Programme\Microsoft\WolfTeam MultiHack.exe

C:\WINDOWS\System32\Windows.exe

H:\WINDOWS\system32\28463\CCXC.exe

H:\WINDOWS\system32:2moonsHack.exe

Und poste die Ergebnisse (Beispiel im Anhang) und ein neues Hijackthis-Logfile.

Jenachdem was virustotal.com preisgibt, wirst du wohl abwägen müssen, ob eine Reinigung noch sinnvoll ist...
Ansonsten muss Windows neuinstalliert werden....

mfg
bLacK_dRaSanG

den 2moonsHack.exe gibs net

Virustotal. MD5: dcc12f07b835297e244e44ba3081cae6 Heuristic.BehavesLike.Win32.Spyware.I Trojan.Hrup!IK Trojan.Hrup
dmcdulb.exe oda so

xXM!chiXx

den 2moonsHack.exe gibs net

Achte darauf, dass die Datei "system32:2moonsHack.exe" heißt. Es täuscht nur vor, dass es sich im Ordner "System32" befinde, sondern es befindet sich eigentlich im Ordner "Windows" mit den Namen "system32:2moonsHack.exe" .

achso ups >)

"der angegebene dateiname ist ungueltig T_T"

und wie mach ich das,das ich ALLE .exe dateien nicht mit editor (.txt)offne

xXM!chiXx

"der angegebene dateiname ist ungueltig T_T"

Das erklärt die Funktion des Doppelpunktes .
Nenne sie einfach in irgendwas gültiges um und lade es dann hoch .

Wenn du auf Start --> Ausführen gehst und dort "regedit" eingibst, wird es dann auch im Editor geöffnet? Wenn ja was passiert, wenn du stattdessen "regedit.cmd" eingibst?
Erscheint dann sowas ähnliches, wie im Anhang?

ja er zeigt es im editor und nein .cmd geht nicht
ungueltig oda so ....

ach und in Crossfire hat er jetzt meinen Account gehackt T_T_T_T_T und jetzt komm ich net mehr rein wie krieg ich mein password wieder ?

xXM!chiXx

ja er zeigt es im editor und nein .cmd geht nicht
ungueltig oda so ....

Gehe mal auf Arbeitsplatz --> Extras --> Ordneroptionen... --> Dateitypen --> Suche dort unter "Erweiterung" die Endung EXE aus (falls vorhanden). Wenn sie vorhanden ist, lösche sie .

Falls es schon mit Passwortklau etc. voran geht, dann solltest du doch vielleicht formatieren....

Wie sieht es mit diesen system32:2moonsHack.exe aus?

1. nicht vorhanden
2. meinste echt ?
3. nicht gefunden

Wie ich schon schrieb, machen die Reparaturversuche bei so einem kompromitiertem System keinen Sinn. Das wieder völlig frei von Schädlingen zu bekommen scheitert meist (wenn ev. auch unerkannt) daran, dass auch systeminterne Dateien vom Betriebssystem infiziert sind (Rootkits).

Neuinstallation mit kompletter Formatierung der Festplatte(n)...

xXM!chiXx

1. nicht vorhanden
2. meinste echt ?
3. nicht gefunden

1. Bennen die Datei H:\Windows\regedit.exe in H:\Windows\regedit.cmd um.
Gehe dann auf Start --> Ausführen --> tippe "regedit.cmd" ein.

Und ändere die Einstellung.

Code:

HKEY_CLASSES_ROOT\.exe
Wert = (Standard) "exefile"

HKEY_CLASSES_ROOT\exefile\shell\open\command 
 Wert = (Standard) "%1 %*"

Werte kann man mit einem Rechtsklick auf den Wert und dann auf Ändern ändern...

2. Ich persönlich schlage sowas ungerne vor, weil sich häufig noch was retten lässt. Aber wenn man den Schaden klein halten möchte, dann bleibt es doch der einzige Weg. Falls man doch ne Bereinigung versuchen sollte, dann melde dich nirgends mehr am infizierten PC. Falls du gerade mit einen anderen PC schreibst, dann kappe die Internetverbindung vom infzierten PC, wenn sie nicht benötigt wird . Zudem deutete die Windows.exe auf rootkits hin

Btw. Mit der Reinigung richtig beginnen, könnten wir sowieso erst, wenn man das mit den .exe hinbekommt .

wie gehtn das zweite ?????

komm vllt morgen wida also brb

xXM!chiXx

wie gehtn das zweite ?????

Was meinst du jetzt genau?

Unter Punkt 2. steht nur geschwaffel . Was dir eigentlich helfen sollte, wäre Punkt 1.

das mit Punkt 1 das geht nicht also iich hab das so aber das mit den .exe oeffen sich imma noch im editor

Mit dem von bLacK_dRaSanG beschriebenen Punkt 2 ist ein eventuell bei Dir installiertes Rootkit gemeint. Was ein Rootkit ist und welche Arten es gibt kannst Du in dem Link in meinem Beitrag #54 nachlesen.

Rootkits kann man nur mit einer Neuinstallation sicher entfernen.