Hilfe: ev Keylogger

[newcode]

moin,
bei mir kahm gerade eine meldung von Kaspersky, habe heute eigentlich nichts grosses getan ausser diese software heruntergeladen & installiert:

Labtec® wireless desktop optical
Description:Wireless Desktop Software v3.0Supported Operating Systems:Windows XP, 2000, 98, MEFile Size:10.6MbDownload File:wireless_desktop_v3.0.exe

weiss vll jemand was das sein könnte??

hier ein Bild von Kaspersky:



(wo befindet sich die Datei womöglich? Kaspersky zeigt den Pfad nicht genau.. denke C:\Windows\System32\Drivers\...)

Danke für eure Hilfe.

[Shini]

HijackThis - Download - CHIP Online
lad dir die software und scann dein system. anschließend kannst du die logfile auswerten lassen
-> HijackThis Logfileauswertung

[AlterHacker]

Kaspersky zeigt dir an, das es sich als Keyboard-driver quasi eingeklinkt hat.
Versuchs mal mit Icesword loszuwerden ;-)

[newcode]

Seht ihr vll was merkwürdiges darunter?

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 08:10:34, on 04.08.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
F:\Programme\Net Tools\CPU.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\rundll32.exe
F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
F:\desktoplinks\DL\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [CPU Monitor by M.A.B.] F:\Programme\Net Tools\CPU.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA ~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPE R~1\KASPER~1\kloehk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6421 bytes

?

[hAgBaRd2ooo]

Ich denke eher es handelt sich um einen Fehlalarm, ich kann spontan nichts auffällig im HiJackThis Log finden. Hast du schon mal versucht diese Log-Datei zu suchen, also per Standardsuche ? Vielleicht findet dein PC die Datei ja auch so.

Ansonsten vielleicht nochmal googlen nach dem Namen der Logdatei^^
Viel Glück weiterhin.



MfG
hAgi

[AlterHacker]

Und vielleicht würde es nicht verkehrt sein, auch mal auf meinen Beitrag einzugehen (:
Wenn das "Programm" wirklich Tastaturtreiber-evil ist wirst du es im Icesword sehen.

[newcode]

Ich denke eher es handelt sich um einen Fehlalarm, ich kann spontan nichts auffällig im HiJackThis Log finden. Hast du schon mal versucht diese Log-Datei zu suchen, also per Standardsuche ? Vielleicht findet dein PC die Datei ja auch so.

Ansonsten vielleicht nochmal googlen nach dem Namen der Logdatei^^
Viel Glück weiterhin.



MfG
hAgi

das mache ich eigentlich schon die ganze zeit, diese datei selbst suchen .. finde bisschen schlecht von kaspersky das die Datei nicht wirklich angegeben wird (Pfad).

Habe auch bei den Ordneroptionen das Feld "Inhalte von Systemordnern anzeigen" & "Alle Dateien und Ordner anzeigen" ausgewählt.
Bei kaspersky wird angegeben "\DRIVER\KBFILTER\"
Glaube aber nicht das es sich um

C:\Windows\System32\drivers\kbfilter.sys
..handelt die Datei hat wie im Internet Angegeben die entsprechende Grösse (12'964 Bytes).

Und vielleicht würde es nicht verkehrt sein, auch mal auf meinen Beitrag einzugehen (:
Wenn das "Programm" wirklich Tastaturtreiber-evil ist wirst du es im Icesword sehen.

Habe von Chip Icesword geladen (IceSword - Download - CHIP Online) Nach dem Entpacken beim Ausführen kommen bei mir 2 Messageboxen:

Initialize failed, error code: 1.

Initialize failed.

[AlterHacker]

Als admin gestartet?
Wenn ja ist das schonmal verdächtig.
Dann lass RootKit Hook Analyzer vorher drüberlaufen, das zeigt dir auch gehookte Funktionen / Treiber etc an.

[newcode]

Als admin gestartet?
Wenn ja ist das schonmal verdächtig.
Dann lass RootKit Hook Analyzer vorher drüberlaufen, das zeigt dir auch gehookte Funktionen / Treiber etc an.

Ja, ich bin als Admin drin.

habe ich gerade getan, bei "Services" ist Jeder eintrag Rot ganz unten steht 283 Kernel Hooks found so sieht eine "printscreen-Seite" von 6 aus:



Wenn ich oben auf "Modules" klicke sind die dortigen einträge alle weiss.

Ich bin gerade an einer Vollständigen Untersuchung mit kaspersky.

[AlterHacker]

Hast du zufällig TuneUp drauf? Also n anderen Bootscreen?
Weil daher könnten die redirections kommen. Versuch mal den "normalen" Kernel zu booten (auswahlmenu vorm windows-start)