PW-Stealer

jendrik94 · 08.12.09, 14:22

Hi,
ich habe letzens ein PW-Stealer auf meinen PC gefunden und auch gelöscht aber er kam wieder.
Mein Problem ist , dass ich glaube es hängt damit zusammen , dass ich immer wenn ich auf Server vom Spiel Counterstrike Source gehe immer nach einer unterschiedlichen Zeit gekickt werde mit der Meldung:No Steam Logon.
Bitte um Hilfe!!!

Fire.Storm · 08.12.09, 15:07

Ändere auf jedenfall mal so schnell es geht alle deine Passwörter.

Was hast du für ein Viren-Programm?
Hat jemand Zugriff auf deinen Rechner?
Ich weiß nämlich nicht wie, wenn niemand den Keylogger manuell installiert hat, zwei mal einer auf deinen PC kommt.

jendrik94 · 08.12.09, 15:19

Zitat:

Zitat von Fire.Storm

Ändere auf jedenfall mal so schnell es geht alle deine Passwörter.

Was hast du für ein Viren-Programm?
Hat jemand Zugriff auf deinen Rechner?
Ich weiß nämlich nicht wie, wenn niemand den Keylogger manuell installiert hat, zwei mal einer auf deinen PC kommt.

Hab Kaspersky 2010 und hatte vorher da war es auch schon noch 2009.
Ne , nicht das ich wüsste hat jemand Zugriff auf meinen Rechner.
Könnte es sein das der Keylogger in irden ein Ordner ist.
Das hauptsächlichste Problem ist ja das mit Css und No steam Logon , es geht nur wenn ich Freunde auf offline stelle.
Ich habe dieses Problem schon lange.

Fire.Storm · 08.12.09, 15:28

Der Keylogger wird normalerweise von Kaspersky entdeckt.
Das du ihn schon zweimal gelöscht hast wudert mich jedoch ein bisschen.
Dein anderes Probleme hängt vermutlich mit Steam zusammen, da kann ich dir nicht helfen.

Las mal einen komplett Scan über deinen PC laufen.
Und hast du schon deine Passwörter geändert?
Das wäre äußerst wichtig, aber natürlich erst wenn du den Scan gemacht hast.

jendrik94 · 08.12.09, 15:37

Zitat:

Zitat von Fire.Storm

Der Keylogger wird normalerweise von Kaspersky entdeckt.
Das du ihn schon zweimal gelöscht hast wudert mich jedoch ein bisschen.
Dein anderes Probleme hängt vermutlich mit Steam zusammen, da kann ich dir nicht helfen.

Las mal einen komplett Scan über deinen PC laufen.
Und hast du schon deine Passwörter geändert?
Das wäre äußerst wichtig, aber natürlich erst wenn du den Scan gemacht hast.

der Scan mit Kaspersky ist gleich fertig.

jendrik94 · 08.12.09, 15:57

also das Kaspersky hat nichts auffälliges gefunden...
hmm...

jendrik94 · 08.12.09, 16:16

so hab jez alle Passwörter geändert von den Programmen Steam,ICQ und noch meine Email Login Passwörter.

Bubblexx · 08.12.09, 17:18

du solltest dein Pc mal mit hijack testen ob irgendein Programm bzw exe eine merkwürdige Verbindung aufbaut.die gegebenfalls dann schließen und löschen.
Es gibt Stealer die Installieren sich nach jedem Autostart neu auch wenn man sie löscht.
Deswegen muß man die Regedit Einträge von dem Autostart enfernen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

da gibts genung Infos

jendrik94 · 08.12.09, 19:40

jo ich werd es mal machen da ich nich weiß was merkwürdig erscheint und was nicht , könnte ich das hier dann rein schreiben oder rein kopieren??

jendrik94 · 08.12.09, 20:01

also das sah dann so aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:20, on 08.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steam\steam.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Programme\XfireXO\tbXfir.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Programme\XfireXO\tbXfir.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525 .1752\swg.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Programme\XfireXO\tbXfir.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [avp] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleT oolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6 097707281E79.dll/cmsidewiki.html
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll,C:\DOKUME ~1\ALLUSE~1\AVP9\mzvkbd3.dll,C:\DOKUME~1\ALLUSE~1\ AVP9\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 6496 bytes

Xeryus · 08.12.09, 20:06

wenn du echt willst das deine Konten auch in Zukunft sicher sind ist die einzige nützliche Möglichkeit festplatte zu formatieren.
Dann alle pw´s ändern.
Davor bringts nichts.

Dann solltest du auch in Zukunft drauf achten einen guten Virenscanner zu benutzen und nicht alles was im Internet ist runterzuladen.

jendrik94 · 08.12.09, 20:29

das hab ich schomal gemacht und er war immer noch da.....-.-

energy107 · 08.12.09, 20:50

Dann hast du nicht alle Platten formatiert oder deine paar Backups sind verseucht

jendrik94 · 08.12.09, 20:59

Zitat:

Zitat von energy107

Dann hast du nicht alle Platten formatiert oder deine paar Backups sind verseucht

mit "alle Platten" meinst du alle systeme , wie System:C oder D usw.??

jendrik94 · 12.12.09, 08:59

ok is alles wieder in ordnung nach formatieren
thx...

CroBoss · 06.01.10, 13:35

ich weiß das das thema schon gegessen ist,wollt nur mal zur allgemeinen aufklärung sagen,das es nicht allzu sonderbar ist,das der pw stealer wieder auftaucht,sowas nennt man einen persistant server,der sich nachdem er gelöscht wurde,von alleine wieder installiert

und wenn es ein profi gemacht hat,nützt auch der beste virenscanner nichts,da ein profi so einen virus gut crypten kann...
das wars von mir
peace