Infektion mit Paq Keylog 5.0

[Hombre]

Hola amigos,

jetzt hat es mich auch erwischt, AOL Privacy Protection meldet den Befall mit der Malware Paq Keylog 5.0 (Status: Key-Logger, Gefahrenstufe: Security)! Paq Keylock 5.0 ist momentan von AOL PP gesperrt.

Ein Scan von Spybot-Search&Destroy und von Avira AntiVir PEC ("Luke Filewalker"), jeweils mit den neuesten Updates, brachte keinen Fund, daher weiß ich auch nicht, wo dieses Miststück sich eingenistet hat und welche Programme befallen sind. Ich bin jetzt ziemlich ahnungslos, wie ich weiter mit dem Problem umgehen soll, bzw. wie ich mein System wieder sauber bekomme.

Ich habe außer den üblichen Updates für Antivir seit ca. 1 Woche nichts mehr aus dem Netz geladen, auch weil ich in letzter Zeit regen svchost-traffic hatte, welcher meinen Zugang extrem belastete, so wurde IE7 heruntergeladen, obwohl ich das weder wollte, noch veranlaßte, da ich Firefox nutze (auch dessen autom. Update beanspruchte das System zusätzlich).

Das Komische ist, daß AOL Privacy Protection schon zwei Malwares meldete, die von keiner anderen Erkennungssoftware (Spybot, Spydoctor, AdAware, Stinger,...) entdeckt wurde, nämlich Mirar B und Estalive. Ich habe AOL PP zwar angewiesen, diese Dinger zu entfernen, aber bei jedem Neustart wurden sie wieder als Fund gemeldet. Über Google habe ich Beschreibungen für die Eliminierung von Mirar B und Estalive erhalten, ich habe mich aber aufgrund deren niederen Gefahrenstufe und meines geringen Computerwissens noch nicht zu einer Umsetzung/Anwendung durchringen können. Die Hilfe http://www.spyany.com/program/article_spw_rm_Mirar.html könnte ich wohl umsetzen, bei http://ca.com/de/securityadvisor/pest/pest.aspx?id=453099221#top bin ich an meiner Grenze angekommen.

Der neueste Fund scheint aber nicht so harmlos zu sein. Wie gehe ich jetzt am besten vor? Informationen über Google sammeln? AOL PP die Entfernung befehlen, in der Hoffung, daß keine anderen Anwendungen davon betroffen sind und daß die Entfernung auf Dauer Bestand hat?

Systeminformationen: Acer 5101 AWLMi (AMD Turion MK36), MS Windows XP MCE SP2 mit diversen Sicherheitsupdates (ich weiß nicht, ob ich alle erwischt habe), Avira AntiVir, Comodo Firewall Pro 3.0.13.268 (war übrigends mein letzter Download), bin über Schmalbandzugang und LCR im Netz

Ich wäre sehr dankbar für gute Hilfestellungen und Ratschläge, aber berücksichtigt mein geringes Hintergrundwissen im Umgang mit Computern.

Bis bald, hasta luego

Hombre

 

[mobin]

Geh mal in die Systemsteuerung und dann in Software.

Und schau ob du da die Software deinstallieren kannst.


Und mach noch einen Hijackthis-Scan.
Anleitung: http://www.pctipp.ch/forum/showthread.php?t=359

poste dann das Logfile hier rein.

 

[Hombre]

Hola Amigos, hola mobin,

bei Systemsteuerung/Software habe ich nachgeschaut, ist aber nichts mit diesem Namen verzeichnet. Allerdings bin ich auf der Suche nach einer Strategie zur Entfernung meiner Malware "Paq Keylog 5.0" mit Hilfe von Google fündig geworden (http://www.ca.com/securityadvisor/pest/pest.aspx?id=453101397). Unter der Überschrift "Entfernung" sind einige DLL-Dateien, Dateien und Verzeichnisse aufgelistet, ich weiß jedoch nicht, was diese bedeuten, bzw wie ich weiter damit zu verfahren habe. Vielleicht könntest du oder einer der anderen Profis mal kurz einen Blick darauf werfen und mir sagen, was ich tun muß. Vielen Dank im Voraus!

Bis bald, hasta luego

Hombre

 

[mobin]

Ich Schau mir das mal an;

du könntest in der Zwischenzeit das hier machen:
http://www.pctipp.ch/forum/showthread.php?t=359

Und dann die Textdatei die am Ende raus kommt hier rein posten.

 

[Hombre]

Hijackfile (Paq Keylog 5.0)

Hola mobin,

ich habe entsprechend deinen Vorschlägen hijack.exe gestartet und poste dir den File:

Logfile of HijackThis v1.99.1
Scan saved at 20:30:21, on 05.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\0900WA~1\w0svc.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\1176914763\ee\AOLSoftware.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\PROGRA~1\0900WA~1\WARN0900.EXE
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\IObit\IObit SmartDefrag\IObit SmartDefrag.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\Comodo\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Free Download Manager\fum\fum.exe
C:\Programme\Free Download Manager\FUM\fumoei.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\IC3\IC3.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ArchiCrypt Stealth 4\IJStealth4Svc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
c:\programme\gemeinsame dateien\aol\1176914763

\ee\services\antiSpywareApp\ver2_0_31_1\AOLSP Scheduler.exe
c:\programme\gemeinsame dateien\aol\1176914763\ee\aolsoftware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\NetLCR\oleco.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Downloads\Software\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.aceradvantage.com/stdreg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-

892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} -

C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} -

C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} -

C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1

\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}

- C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} -

C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} -

C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} -

C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-

251F5593EC9A} - C:\Programme\Copernic Desktop Search 2

\DesktopSearchBand2526.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-

0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe"

runtime -Delay
O4 - HKLM\..\Run: [AzMixerSel]

C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker

7\ntiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering

Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil

/RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

/SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32

\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

/IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -

[sorry, muß hier unterbrechen wegen Überschreitung der max. Zeilenzahl]

 

[Hombre]

Fortsetzung

[Fortsetzung des Files]

...

atboottime
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering

Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering

Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32

\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S95.tmp" /EF

"HKLM"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02

\bin\jusched.exe"
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1176914763

\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop

Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0

\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition

Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame

Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [SmartDefrag] "C:\Programme\IObit\IObit SmartDefrag\IObit

SmartDefrag.exe" /startup
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\cfp.exe"

-s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg]

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Free Upload Manager] "C:\Programme\Free Download

Manager\fum\fum.exe" -autorun
O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Programme\Free Download

Manager\FUM\fumoei.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search &

Destroy\TeaTimer.exe
O4 - Startup: Notesbrowser.lnk = C:\Programme\IC3\IC3.exe
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering

Technology\Acer.Empowering.Framework.Launcher.exe
O8 - Extra context menu item: Alles mit FDM herunterladen -

file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen -

file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen -

file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen -

file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-

00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} -

C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-

3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-

00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} -

C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -

C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -

http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDF486D2-6788-4A13-A59F-1AECCD5F7FFE}:

NameServer = 195.129.111.50 195.129.111.49
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

C:\WINDOWS\system32\guard32.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst

(0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0900WA~1\w0svc.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. -

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) -

Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira

GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1

\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32

\Ati2evxx.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO -

C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google

Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google -

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service

(LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame

Dateien\LightScribe\LSSrvc.exe
O23 - Service: mchInjDrv - Unknown owner - \??\C:\DOKUME~1\EDGARE~1\LOKALE~1

\Temp\mc23.tmp (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools -

C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools -

C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Stealth Service Helper (StealthInjectorService) -

Softwareentwicklung Remus - C:\Programme\ArchiCrypt Stealth 4\IJStealth4Svc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America

Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Wenn du mit diesem Buchstabensalat etwas anfangen kannst, bist du mein Held!

Hasta luego,

Hombre

 

[Stromer92]

ich hoffe das PCTipp-erlaubt hier einen ausnahme-verweis, da ich keinen keinen kenne hier, der das file professionel auswerten kann

Poste das file mal hier:
http://www.trojaner-board.de/hijacker-hijackthis-logs-posten/

 

[mobin]

Also ich kann jetzt nichts schlimmes erkennen.

Nur das sieht verdächtig aus;

O23 - Service: mchInjDrv - Unknown owner - \??\C:\DOKUME~1\EDGARE~1\LOKALE~1\Temp\mc23.tmp (file missing)


Das würde ich fixen.



Und ich hab noch ne Idee
Probier mal das Programm zu installieren,
also das Paq Keylog 5.0, das ist ein ganz normales Programm , dass man kaufen kann.

Und dann deinstalliere es, vllt werden damit dann alle daten gelöscht.

Hier kannst du es donwloaden: http://www.gold-software.com/PaqKeyloggerfamilykeylogger-file3971.html