 Keylogger entfernen |
wolfie 
Stamm-Gast
Dabei seit: 27.02.2005
Beiträge: 104
Herkunft: Schweiz
 |
|
Hallo romeo01juergen
Versuche den Key Logger zuerst im abgesicherten Modus (mit Pest Patrol) zu entfernen
und prüfe danach, ob die Strg-Alt-Entf Kombination wieder funktioniert.
Wenn das nicht den erwünschten Erfolg bringt: Bei Symantec Security Response
gibts eine Removal-Anleitung dazu.
Beachte, dass es sich bei NetSpy um eine installierte Software handelt! Da ist u.a. auch der Autostart manipuliert worden.
Das Ziel ist also, die Software zu entfernen, nicht nur einzelne Files.
gruss wolfie
|
|
21.05.2006 11:49 |
|
|
romeo01juergen
Junior-Mitglied
Dabei seit: 18.02.2004
Beiträge: 184
Herkunft: Niederlausitz
Themenstarter 
|
|
Hallo wolfie!
Danke fürs schnelle antworten!
Der erste Lösungsansatz hat nicht funktioniert.
Nun bin ich dabei den 2. Teil abzuarbeiten. Symantec schreibt man solle die Datei "Nsutil.exe" suchen und doppelklicken um die "Software" zu deinstallieren. Nur finde ich die Datei nicht auf meinem Rechner. Was nun? Werde erstmal Antivirus drüberlaufen lassen und mal schauen was passiert.
|
|
|
21.05.2006 12:26 |
|
|
wolfie
Stamm-Gast
Dabei seit: 27.02.2005
Beiträge: 104
Herkunft: Schweiz
|
|
| Zitat: |
| ... Nur finde ich die Datei nicht auf meinem Rechner. Was nun? |
|
Die Einstellungen im Explorer prüfen! Werden Systemdateien angezeigt?
nsutil.exe ist vermutlich eine "versteckte" Datei.
Überprüfe, ob die bei Symantec gelisteten Einträge in der Registry (Autostart?) und die Dateien tatsächlich vorhanden sind.
Führe notfalls die manuelle Entfernung durch.
Antivirus: Ein Versuch mit dem Online-Scanner oder der Trial-Version von Kaspersky
lohnt sich!
Ad-aware: Anstelle PestPatrol solltest du evtl. mal Lavasoft Ad-Aware 1.06
einsetzen.
gruss wolfie
|
|
|
21.05.2006 12:45 |
|
|
romeo01juergen
Junior-Mitglied
Dabei seit: 18.02.2004
Beiträge: 184
Herkunft: Niederlausitz
Themenstarter
|
|
Ad-Aware habe ich auch schon benutzt, leider auch ergebnislos.
Und wegen kaspersky: Ich dachte immer mein GData scannt mit der Kaspersky und der BitDefender Engine?
|
|
|
21.05.2006 13:15 |
|
|
wolfie
Stamm-Gast
Dabei seit: 27.02.2005
Beiträge: 104
Herkunft: Schweiz
|
|
Ist schon möglich - aber lieber einmal einen Versuch mehr als einen zu wenig 
Wie siehts aus mit den Files und Registry-Einträgen? Sind die nun bei dir drauf, oder nicht?
In der Symantec-Anleitung gibts übrigens ganz am Schluss noch die Erklärung, wie man den Task-Manager wieder enabled!
Viel Spass!
gruss
wolfie
|
|
|
21.05.2006 13:27 |
|
|
romeo01juergen
Junior-Mitglied
Dabei seit: 18.02.2004
Beiträge: 184
Herkunft: Niederlausitz
Themenstarter
|
|
So wie's aussieht habe ich das Teil niccht auf meinem rechner sondern nur einige Registryeinträge. Ich lasse jetzt Norton-Antivirus zuende werkeln und wenn da nichts gefunden wird entferne ich die Registryeinträge und schalte einfach den taskmanager wieder ein. Das dürfte das Problem ja beheben. Schaun mer ma...
|
|
|
21.05.2006 13:37 |
|
|
Joinie
Premium Member
Dabei seit: 25.04.2005
Beiträge: 1.743
Herkunft: Krefeld
|
|
| Zitat: |
| So wie's aussieht habe ich das Teil niccht auf meinem rechner sondern nur einige Registryeinträge |
|
die Registry befindet sich auf einem anderen Rechner? eher nicht
du schreibst von Gdata und nun von Norton, welchen Virenscanner hast du denn nun installiert? hoffentlich nicht beide, denn die würden sich gegenseitig behindern!
achte bei der Beseitigung auf folgende Punkte:
1. deaktiviere deine Systemwiederherstellung!
2. entferne mit diesem Tool
den ganzen Müll aus dem Temp-Ordner und Papierkorb
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren
4. arbeite die Anleitung von Symantec ab
5. wenn du alles soweit fertig hast, mach mal bitte ein Logfile mit hijackthis: klick
__________________
MfG
Joinie
|
|
|
21.05.2006 13:43 |
|
|
romeo01juergen
Junior-Mitglied
Dabei seit: 18.02.2004
Beiträge: 184
Herkunft: Niederlausitz
Themenstarter
|
|
So, nun nochmal ganz in Ruhe. Normalerweise benutze ich GData Antivirus. Das hab ich vorhin abgeschaltet um mit Norton zu scannen. Norton hat aber nichts gefunden. Schön wär's ja wenn sich eine saubere registry (sicherung) auf einem anderen Rechner befinden würde
Ich habe jetzt die vorhandene Registry nach allen relevanten Einträgen durchsucht aber auch ohne Erfolg. Habe dann mit PestPatrol nochmal den Reg-Schlüssel entfernt und den Taskmanager wieder auf Enabled gestellt (laut Symantec). Nach erneutem suchen mit PP wurde wieder der Eintrag angezeigt. Sehr seltsam...
|
|
|
21.05.2006 14:47 |
|
|
Joinie
Premium Member
Dabei seit: 25.04.2005
Beiträge: 1.743
Herkunft: Krefeld
|
|
hast du Punkt 1-5 abgearbeitet?
weil ich sehe auch kein Logfile von Hijackthis 
__________________
MfG
Joinie
|
|
|
21.05.2006 14:52 |
|
|
romeo01juergen
Junior-Mitglied
Dabei seit: 18.02.2004
Beiträge: 184
Herkunft: Niederlausitz
Themenstarter
|
|
Habe alles getan was Joinie geschrieben hat. Hier der Hijackthisreport:
|
|
|
21.05.2006 15:02 |
|
|
Cerberus
Chefredakteur
Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
|
|
Hallo romeo01juergen
das Logfile ist sauber, ich vermute, das du dir den Trojaner über deinen Filesharing Client "besorgt" hast...
du solltest ein paar Dinge bei der Beseitigung beachten:
- alle Aktionen immer im abgesicherten Modus und bei deaktivierter Systemwiederherstellung dürchführen!
- die von Symantec aufgeführten Registry Einträge auf jeden Fall manuell entfernen und nicht mit Pest Patrol!
- ich kann dir nur dringend dazu raten, eine Test Version des neuen Kaspersky 6.0 Virenscanner einzusetzen, denn die Engine ist neu und bietet wesentlich mehr, als alle Vorgänger (auch diejenigen, die von anderen Firmen wie Gdata usw. eingesetzt werden): klick
also runter mit Gdata >Kaspersky installieren >aktualisieren >alle Schutzkomponenten aktivieren
- lass nach der Registry Bereinigung Kaspersky über das komplette System laufen
- beachte zu diesem Thema auch diesen Artikel
und schau dir mit Autoruns genau an, was bei dir im Autostart läuft. Vorher mal mit Reg.exe mögliche Einträge verifizieren, genau wie im Artikel beschrieben.
Cerberus
|
|
|
21.05.2006 15:37 |
|
|
Joinie
Premium Member
Dabei seit: 25.04.2005
Beiträge: 1.743
Herkunft: Krefeld
|
|
schon mal auf die Idee gekommen, das dein System einfach sauber ist?
Pest Patrol wäre nicht das erste Spyware Proggie, das Unsinn anzeigt
frag doch mal beim Support von Pest Patrol nach
__________________
MfG
Joinie
|
|
|
22.05.2006 15:40 |
|
|
romeo01juergen
Junior-Mitglied
Dabei seit: 18.02.2004
Beiträge: 184
Herkunft: Niederlausitz
Themenstarter
|
|
Hallo,
Ich glaube nicht das das System sauber ist weil ich grade mit AOL Privacy Protection gescannt habe und dabei der besagte Reg-Schlüssel wieder bemängelt wurde.
|
|
|
23.05.2006 00:20 |
|
|
wolfie
Stamm-Gast
Dabei seit: 27.02.2005
Beiträge: 104
Herkunft: Schweiz
|
|
| Zitat: |
Original von romeo01juergen
... und dabei der besagte Reg-Schlüssel wieder bemängelt wurde. |
|
Ich nehme an, das bedeutet, der Key ist wieder da.
Dann poste hier bitte eine Liste der laufenden Prozesse. Nimm dazu den Process Explorer
und eine Liste der Autostarts, z.B. mit MSConfig oder besser mit Sysinternals Autoruns 8.51 (findest du zum Download auf demselben Link)
gruss wolfie
|
|
|
23.05.2006 07:46 |
|
|
romeo01juergen
Junior-Mitglied
Dabei seit: 18.02.2004
Beiträge: 184
Herkunft: Niederlausitz
Themenstarter
|
|
|
|
23.05.2006 10:55 |
|
|
Kometeus
neu im Forum
Dabei seit: 28.04.2006
Beiträge: 1
Herkunft: Deutschland
|
|
Hallo!
Schöner Misst, wenn soetwas passiert.
Versuche es doch einmal mit "a-squared", dass ersteinmal als Freeware.
http://www.emsisoft.de/de/software/free/
Alles so durchführen wie es erklärt ist und dann mit dem aktualisierten Programm den Rechner scannen.
Viel Erfolg!
|
|
|
23.05.2006 13:12 |
|
|
romeo01juergen
Junior-Mitglied
Dabei seit: 18.02.2004
Beiträge: 184
Herkunft: Niederlausitz
Themenstarter
|
|
Hallo Kometeus!
Ich habe mit a-squared nach Anleitung gescannt aber es wurde nichts gefunden
|
|
|
23.05.2006 13:16 |
|
|
Joinie
Premium Member
Dabei seit: 25.04.2005
Beiträge: 1.743
Herkunft: Krefeld
|
|
also
in einem Punkt sind wir uns sicher alle einig, im Autostart sitzt das Teil nicht und warum in diesem Pfad der Registry ist höchst eigenartig
trotzdem würde mich mal interessieren, was denn die Programme wie Pest Patroleigentlich konkret melden, wenn sie sich melden
ich hoffe du hast Kaspersky 6.0 noch drauf, denn dann hätte ich einen Vorschlag:
- Kaspersky 6.0 sichert ja auch die Registry ab (Proaktiver Schutz >alles aktivieren), also lösch doch mal wieder den bewußten Eintrag in der Registry >starte den Rechner neu und dann bin ich gespannt, was Kaspersky meldet, denn eine Änderung in der Registry wird bei mir sofort angezeigt und Kaspersky fragt ab, was geschehen soll: erlauben oder verbieten! und wenn ich verbiete, wird dort auch nichts manipuliert
außerdem erfahren wir so hoffentlich etwas mehr über den Eindringling, denn Kaspersky zeigt Informationen an
__________________
MfG
Joinie
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Joinie: 23.05.2006 13:54.
|
|
|
23.05.2006 13:53 |
|
|
|
|
  |
Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2023 PC-Experience.de |
|
