Druckversion des Themas
Rokop Security _ HijackThis-Logs _ Zeitraffer beim Tippen - Keyloggergefahr?
Geschrieben von: approx26 20.03.2008, 12:52
Hallo Leute,
in letzter Zeit habe ich eine Verzögerung beim Tippen bemerkt. Als ich noch mit dem Spyware Doctor einen Scan hab machen lassen wurde ein keylogger entdeckt, konnte sie aber nicht löschen, weil Trial-Version. Habe mit dutzend anderen Programmen: Spy.Search & Destroy, Spy. Terminator, und einem Anti-Keylogger Scans durchgeführt, aber NICHTS wurde gefunden.
Was meint ihr dazu?
Danke im Voraus
Grüße
Geschrieben von: Rene-gad 20.03.2008, 13:13
ZITAT(approx26 @ 20.03.2008, 12:51)
Was meint ihr dazu?
Sorry, meine Glaskugel ist heute bei der technischen Untersuchung und meine Kaffeetasse habe ich grade gespült
. Vllt. kannst Du mindestens den HJT-Log erstellen? Danke.
Geschrieben von: Stefan 20.03.2008, 18:26
Ein paar Infos zur verwendeten Tastatur wären auch nicht schlecht.
Handelt es sich eventuell um eine kabellose Tastatur?
Wie sieht z.B. die Prozessorauslastung durch verschiedene Anwendungen lt. Taskmanager aus?
Ich meine, es muss ja nicht immer an Malware liegen.
Geschrieben von: approx26 25.03.2008, 12:24
Hi nochmal,
@ Stefan
Ich benutze meine Laptop-Tastatur. Soweit ist auch meine Prozessorleistung im Rahmen. Kann also nicht daran liegen.
@ Rene-gad
Hoffe, du kannst auch ohne Glaskugel das Schicksal meines Rechners bestimmen.
Hier der LOG
MfG an Alle
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:18:34, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
QUELLTEXT
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\z-defrag\Z-defrag.EXE
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Symantec\Norton AntiBot\agent\bin\NABMonitor.exe
C:\Programme-2\Proximotron 4.51\Proxomitron.exe
C:\Programme\Mozilla Firefox 3 Beta 2\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme2\HiJack2.0.2\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Z-defragRAM] C:\Programme\z-defrag\Z-defrag.EXE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [NortonAntiBot] "C:\Programme\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe"
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{29B21E9A-1D3F-47A4-956C-1F484FA50D02}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{70330A53-2D64-4691-BCF5-9809611FD23B}: NameServer = 0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{29B21E9A-1D3F-47A4-956C-1F484FA50D02}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
Geschrieben von: Rene-gad 25.03.2008, 12:53
ZITAT(approx26 @ 20.03.2008, 12:51)
NICHTS wurde gefunden.
Dem Log nach gibt es auch keine Malware-Aktivitäten. Wann entsteht diese Verzögerung: Beim Eintippen der Web-Adressen im Browser, im Word etc.? Versuche mal, 00THotkey zu deaktivieren. http://www.processlibrary.com/de/directory/files/00thotkey
Geschrieben von: approx26 26.03.2008, 22:00
ZITAT
Versuche mal, 00THotkey zu deaktivieren
Ich hab das mal deaktiviert, hinterher konnte ich einige Funktionen nicht mehr benutzen.
Das Verzögern kommt mehrheitlich bei Browseraktivitäten vor.
Danke für die webadresse. Werde ich wohl noch öfter brauchen.
MfG
Geschrieben von: Sasser 26.03.2008, 22:24
Da du ja den Spyware Terminator nutzt, findet der nichts ?
Sonst mal hier die 30 Tage Demo runterladen und die Prozesse mit Auswertung ansehen.: http://www.chip.de/downloads/Security-Task-Manager-1.7_18274692.html
Als Kaufversion hast du dann auch einen Keylocker-Blocker dabei. Und natürlich vieles mehr, ua. ein Registry-Warner etc.. schau selbst.
Ach ja den Fund von Spyware Doktor den würd ich mal googeln...man weiß ja nie.
Geschrieben von: Denny 27.03.2008, 23:28
ZITAT(Sasser @ 26.03.2008, 22:23)
Als Kaufversion hast du dann auch einen Keylocker-Blocker dabei.
Na ob der noch up-to-date ist
http://www.firewallleaktester.com/aklt.htm
Geschrieben von: approx26 28.03.2008, 17:11
Danke nochmal für die Tips
Geschrieben von: fjg 03.04.2008, 06:57
Guten Morgen zusammen,
@approx26
mein Tipp:
"Miracel Wipp"
Aber im Ernst:
http://info.prevx.com/downloadcsi.asp
Temp. Dateien löschen (und ev. deine Autostarteinträge reduzieren) !
MfG
Franz
Geschrieben von: warzenjoe 08.04.2008, 05:12
ZITAT(approx26 @ 26.03.2008, 22:59)
Danke für die webadresse. Werde ich wohl noch öfter brauchen.
<Offtopic an>
Jep, die ist nicht schlecht. In English um etwas herauszufinden, in Deutsch um wieder mal herzlich zu lachen:
http://www.processlibrary.com/de/directory/files/apoint/
<Offtopic aus>
CU, WJ
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)