PC-Experience (https://www.pc-experience.de/wbb2/index.php)
- Software Foren: (https://www.pc-experience.de/wbb2/board.php?boardid=17)
-- Windows 9x, NT, 2000, XP: (https://www.pc-experience.de/wbb2/board.php?boardid=18)
--- Keylogger entfernen (https://www.pc-experience.de/wbb2/thread.php?threadid=21380)
Geschrieben von romeo01juergen am 21.05.2006 um 11:20:
Keylogger entfernen
Hallo zusammen!
Ich hab mir vermutlich einen Keylogger eingefangen und weiß nicht wie ihn wieder entfernen soll. Ich habe mein System mit PestPatrol gescannt und dabei wurde dieses lästige Teil gefunden. Ich hab mal auf ein Bild verlinkt damit ihr seht was ich meine:
Bild
Wenn ich diesen Gesellen nun entferne dann kann ich, wenn ich Strg-Alt-Entf drücke, nicht mehr auf den Taskmanager zugreifen. Diese Schaltfläche ist dann ausgegraut. Nach einem zurückspielen aus der Quarantäne gehts aber wieder. Ich habe mein System mit a², Blacklight, Stinger und GData Antivirus gescannt aber ohne Ergebnis. Kann mir jemand von euch helfen diesen Schmarrn wieder los zuwerden?
Ich habe WinXP Home SP2 mit allen Updates und Patches
Edit: Habe auch mit HijackThis gescannt, ebenfalls ohne Ergebnis.
Geschrieben von wolfie am 21.05.2006 um 11:49:
RE: Keylogger entfernen
Hallo romeo01juergen
Versuche den Key Logger zuerst im
abgesicherten Modus (mit Pest Patrol) zu entfernen
und prüfe danach, ob die Strg-Alt-Entf Kombination wieder funktioniert.
Wenn das nicht den erwünschten Erfolg bringt: Bei
Symantec Security Response
gibts eine Removal-Anleitung dazu.
Beachte, dass es sich bei NetSpy um eine installierte Software handelt! Da ist u.a. auch der Autostart manipuliert worden.
Das Ziel ist also, die
Software zu entfernen, nicht nur einzelne Files.
gruss wolfie
Geschrieben von romeo01juergen am 21.05.2006 um 12:26:
Hallo wolfie!
Danke fürs schnelle antworten!
Der erste Lösungsansatz hat nicht funktioniert.
Nun bin ich dabei den 2. Teil abzuarbeiten. Symantec schreibt man solle die Datei "Nsutil.exe" suchen und doppelklicken um die "Software" zu deinstallieren. Nur finde ich die Datei nicht auf meinem Rechner. Was nun? Werde erstmal Antivirus drüberlaufen lassen und mal schauen was passiert.
Geschrieben von wolfie am 21.05.2006 um 12:45:
| Zitat: |
| ... Nur finde ich die Datei nicht auf meinem Rechner. Was nun? |
|
Die Einstellungen im Explorer prüfen! Werden Systemdateien angezeigt?
nsutil.exe ist vermutlich eine "versteckte" Datei.
Überprüfe, ob die bei Symantec gelisteten Einträge in der Registry (Autostart?) und die Dateien tatsächlich vorhanden sind.
Führe notfalls die manuelle Entfernung durch.
Antivirus: Ein Versuch mit dem Online-Scanner oder der Trial-Version von
Kaspersky
lohnt sich!
Ad-aware: Anstelle PestPatrol solltest du evtl. mal
Lavasoft Ad-Aware 1.06
einsetzen.
gruss wolfie
Geschrieben von romeo01juergen am 21.05.2006 um 13:15:
Ad-Aware habe ich auch schon benutzt, leider auch ergebnislos.
Und wegen kaspersky: Ich dachte immer mein GData scannt mit der Kaspersky und der BitDefender Engine?
Geschrieben von wolfie am 21.05.2006 um 13:27:
Ist schon möglich - aber lieber einmal einen Versuch mehr als einen zu wenig
Wie siehts aus mit den Files und Registry-Einträgen? Sind die nun bei dir drauf, oder nicht?
In der Symantec-Anleitung gibts übrigens ganz am Schluss noch die Erklärung, wie man den Task-Manager wieder enabled!
Viel Spass!
gruss
wolfie
Geschrieben von romeo01juergen am 21.05.2006 um 13:37:
So wie's aussieht habe ich das Teil niccht auf meinem rechner sondern nur einige Registryeinträge. Ich lasse jetzt Norton-Antivirus zuende werkeln und wenn da nichts gefunden wird entferne ich die Registryeinträge und schalte einfach den taskmanager wieder ein. Das dürfte das Problem ja beheben. Schaun mer ma...
Geschrieben von Joinie am 21.05.2006 um 13:43:
| Zitat: |
| So wie's aussieht habe ich das Teil niccht auf meinem rechner sondern nur einige Registryeinträge |
|
die Registry befindet sich auf einem anderen Rechner? eher nicht
du schreibst von Gdata und nun von Norton, welchen Virenscanner hast du denn nun installiert? hoffentlich nicht beide, denn die würden sich gegenseitig behindern!
achte bei der Beseitigung auf folgende Punkte:
1. deaktiviere deine Systemwiederherstellung!
2. entferne mit
diesem Tool
den ganzen Müll aus dem Temp-Ordner und Papierkorb
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren
4. arbeite die Anleitung von Symantec ab
5. wenn du alles soweit fertig hast, mach mal bitte ein Logfile mit hijackthis:
klick
Geschrieben von romeo01juergen am 21.05.2006 um 14:47:
So, nun nochmal ganz in Ruhe. Normalerweise benutze ich GData Antivirus. Das hab ich vorhin abgeschaltet um mit Norton zu scannen. Norton hat aber nichts gefunden. Schön wär's ja wenn sich eine saubere registry (sicherung) auf einem anderen Rechner befinden würde
Ich habe jetzt die vorhandene Registry nach allen relevanten Einträgen durchsucht aber auch ohne Erfolg. Habe dann mit PestPatrol nochmal den Reg-Schlüssel entfernt und den Taskmanager wieder auf Enabled gestellt (laut Symantec). Nach erneutem suchen mit PP wurde wieder der Eintrag angezeigt. Sehr seltsam...
Geschrieben von Joinie am 21.05.2006 um 14:52:
hast du Punkt 1-5 abgearbeitet?
weil ich sehe auch kein Logfile von Hijackthis
Geschrieben von romeo01juergen am 21.05.2006 um 15:02:
Habe alles getan was Joinie geschrieben hat. Hier der Hijackthisreport:
Geschrieben von Cerberus am 21.05.2006 um 15:37:
Hallo romeo01juergen
das Logfile ist sauber, ich vermute, das du dir den Trojaner über deinen Filesharing Client "besorgt" hast...
du solltest ein paar Dinge bei der Beseitigung beachten:
- alle Aktionen
immer im abgesicherten Modus und bei
deaktivierter Systemwiederherstellung dürchführen!
- die von Symantec aufgeführten Registry Einträge auf jeden Fall
manuell entfernen und
nicht mit Pest Patrol!
- ich kann dir nur dringend dazu raten, eine Test Version des neuen Kaspersky 6.0 Virenscanner einzusetzen, denn die Engine ist neu und bietet wesentlich mehr, als alle Vorgänger (auch diejenigen, die von anderen Firmen wie Gdata usw. eingesetzt werden):
klick
also runter mit Gdata >Kaspersky installieren >aktualisieren >alle Schutzkomponenten aktivieren
- lass
nach der Registry Bereinigung Kaspersky über das
komplette System laufen
- beachte zu diesem Thema auch
diesen Artikel
und schau dir mit
Autoruns genau an, was bei dir im Autostart läuft. Vorher mal mit
Reg.exe mögliche Einträge verifizieren, genau wie im Artikel beschrieben.
Cerberus
Geschrieben von romeo01juergen am 22.05.2006 um 15:05:
So, da bin ich wieder!
Ich habe die Registry manuell im abgesicherten Modus durchsucht aber keinen der besagten Einträge gefunden. Desweiteren habe ich nach unsichtbaren Einträgen gesucht wie im Artikel beschrieben - wiederum nichts.
Habe desweiteren mit Autoruns nachgeschaut aber auch nichts.
Ich habe auch manuell nach allen in Frage kommenden Dateien gesucht. Es ist nicht eine davon auf meinem Rechner vorhanden.
Zum Schluß hab ich auch noch Kaspersky 6.0 mit allen Schikanen suchen lassen aber auch Ergebnislos.
Edit. Ich habe mal den Reg-Schlüssel der von PestPatrol immer gefunden wird komplett gelöscht. (siehe
Bild
) Ich weiß zwar nicht ob das gut oder eher schlecht ist, jedenfalls hat PP jetzt nichts mehr zu meckern und der taskManager läßt sich auch wieder aufrufen.
Geschrieben von Joinie am 22.05.2006 um 15:40:
schon mal auf die Idee gekommen, das dein System einfach sauber ist?
Pest Patrol wäre nicht das erste Spyware Proggie, das Unsinn anzeigt
frag doch mal beim Support von Pest Patrol nach
Geschrieben von romeo01juergen am 23.05.2006 um 00:20:
Hallo,
Ich glaube nicht das das System sauber ist weil ich grade mit AOL Privacy Protection gescannt habe und dabei der besagte Reg-Schlüssel wieder bemängelt wurde.
Geschrieben von wolfie am 23.05.2006 um 07:46:
| Zitat: |
Original von romeo01juergen
... und dabei der besagte Reg-Schlüssel wieder bemängelt wurde. |
|
Ich nehme an, das bedeutet, der Key ist wieder da.
Dann poste hier bitte eine Liste der
laufenden Prozesse. Nimm dazu den
Process Explorer
und eine Liste der
Autostarts, z.B. mit MSConfig oder besser mit Sysinternals Autoruns 8.51 (findest du zum Download auf demselben Link)
gruss wolfie
Geschrieben von romeo01juergen am 23.05.2006 um 10:55:
Hier die gewünschten Daten:
klick
und
klick
Geschrieben von Kometeus am 23.05.2006 um 13:12:
RE: Keylogger entfernen
Hallo!
Schöner Misst, wenn soetwas passiert.
Versuche es doch einmal mit "a-squared", dass ersteinmal als Freeware.
http://www.emsisoft.de/de/software/free/
Alles so durchführen wie es erklärt ist und dann mit dem aktualisierten Programm den Rechner scannen.
Viel Erfolg!
Geschrieben von romeo01juergen am 23.05.2006 um 13:16:
Hallo Kometeus!
Ich habe mit a-squared nach Anleitung gescannt aber es wurde nichts gefunden
Geschrieben von Joinie am 23.05.2006 um 13:53:
also
in einem Punkt sind wir uns sicher alle einig, im Autostart sitzt das Teil nicht und warum in diesem Pfad der Registry ist höchst eigenartig
trotzdem würde mich mal interessieren, was denn die Programme wie Pest Patroleigentlich konkret melden, wenn sie sich melden
ich hoffe du hast Kaspersky 6.0 noch drauf, denn dann hätte ich einen Vorschlag:
- Kaspersky 6.0 sichert ja auch die Registry ab (Proaktiver Schutz >alles aktivieren), also lösch doch mal wieder den bewußten Eintrag in der Registry >starte den Rechner neu und dann bin ich gespannt, was Kaspersky meldet, denn eine Änderung in der Registry wird bei mir sofort angezeigt und Kaspersky fragt ab, was geschehen soll: erlauben oder verbieten! und wenn ich verbiete, wird dort auch nichts manipuliert
außerdem erfahren wir so hoffentlich etwas mehr über den Eindringling, denn Kaspersky zeigt Informationen an
Forensoftware: Burning Board , entwickelt von WoltLab GmbH