mikrocontroller.net

Forum: PC Hard- und Software Hilfe! Keylogger


Autor: Michael (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo Forum,

ich habe in einer Online-Comunity eine Mail bekommen mit einem Link zu 
einer
Zip-Datei, in der Zipdatei war eine EXE-Datei, die sich als Präsentation 
ausgegeben hat, und mir ein Bild gezeigt hat.

Man sollte auf das Bild clicken, um weiterzuschalten.
Dies Funktionierte nicht und es kam eine Fehlermeldung dass 
Programmteile fehlen.

Dummerweise installierte sich nebenbei ein Keylogger!

Meine Firewall blockierte gottseidank das Senden von Daten.
Desweiteren Steckte ich mein Netzwerkkabel aus.

Allerdings war es nicht mehr möglich auf Regedit oder den Taskmanager 
zuzugreifen.
Unter Knoppix konnte ich auf die Dateien zugreifen und sie Löschen, sie 
setzten sich als Versteckte Dateien in C:\Windows\ fest.
dort fand ich auch die Log-Datei.

Da ich nach der Infektion nur die Antwort-Mail geschrieben habe und den 
Affengriff (strng alt entf) ausprobiert hatte, stand dort auch nicht 
mehr.

Die Dateien lauteten:
Presenter.exe, das ist die Datei die mir das Bild anzeigt,
Keylog.exe der eigentliche Keylogger, der anscheinend KeyloggerA7 heißt
Controll.exe, die das Logfile verschicken wollte

als hersteller der programme jeweils "Inkognito Inc."

der Link mit der zip-Datei, wenn sichs jemand ansehen will...
http://f r e enet-homepage.de/dateilager/Caro/Geiganter/Ich.zip
aber achtung...

bin seitdem nicht mehr unter Windows am PC gewesen.
Bin Momentan unter Knoppix online. Morgen werde ich wieder Linux 
installieren... Da ist man etwas sicherer vor solchen Script-Kiddies...

Kann noch mehr passiert sein?

Ich vermute, dass irgendso ein Script-Kiddie dahintersteckt, dass mein 
Passwort für die Community herausfinden will. (es ist eine Community in 
der fast ausschließlich Jugendliche registriert sind.)

Autor: Mack (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
naja, da wird Dich jemand nicht mögen! - leg Dir neben Deiner firewall 
einen guten Virenscanner zu der zukünftig schon bei der installation 
alarm schlägt!

Autor: Michael (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ich hab ja die Datei auf Viren checken lassen, mitm GData Antivirus 
2008.
hat gesagt alles OK.

aufgrund der Tatsache dass die Firewall das Senden bemerkt hat und ich 
es geblockt habe und ich nix großartiges mehr getippt habe, hoffe ich 
mal, dass ich noch mal mit dem blauen Auge davongekommen bin..

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
1.Das nicht jeder aktuelle Virenscanner alles findet ist ein alter Hut.
2.Oft sind auch noch Reste der bösen Geister irgendwo im Cache 
versteckt.
3.In glücklichen Fällen hilft ein alter Wiederherstellungspunkt oder ein 
Backup aus der Zeit vor dem Vorfall.
4.Ein Check auf Dateidatum und Dateigröße bringt oft neue Erkenntnisse.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
oszi40 wrote:
> 2.Oft sind auch noch Reste der bösen Geister irgendwo im Cache
> versteckt.

Wie denn das? Welchen Cache meinst du?

Falls es der Plattencache sein soll: Das halte ich für ausgeschlossen.

Autor: gast (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ich bin zwar nicht oszi40, aber du hast nicht nur den chache der 
festplatte (physischer speicher) sindern auch auf deiner festplatte 
bereiche welch als chache genutzt werden
das macht z.b. jeder browser, er lagert dateien auf der festplatte aus 
und genau den hat er bestimmt gemeint
der temp ordner ist auch noch so einer

Autor: Michael (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ich wollte sowieso wieder Linux draufhaun.... also insofern ;)

Autor: Eman (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>Morgen werde ich wieder Linux installieren... Da ist man etwas sicherer vor 
>solchen Script-Kiddies...

Such bitte bloß nicht die Schuld bei dir! Eine .exe-Datei von Unbekannt 
aufzumachen zeugt von großer Erfahrung. Die Bezeichnung "Affengriff" 
überzeugt auch nicht gerade vom Gegenteil. ;)

Für solche Sachen empfiehlt sich, wenn du denn deine Neugier gar nicht 
im Zaum halten kannst, ein Sandbox-Programm, in dem die Viren dann 
machen können, was sie wollen.

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn man nicht als Administrator arbeitet ist das auch kein Problem, 
eine Treiber kann nur vom Admin installiert werden.
Da der normale User keien Schreibrechte in den Windows Ordner hat kann 
sich da auch nichts eintragen. Bei Linux wird du auch nich immer mit 
Root arbeiten oder?

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Wenn man nicht als Administrator arbeitet ist das auch kein Problem,
> eine Treiber kann nur vom Admin installiert werden.

Schon. Nur: Welcher Windows-Anwender arbeitet ohne Administratorrechte?

Autor: A. F. (artur-f) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Starte den Rechner im abgesicherten Modus und lösche die Einträge aus 
run/ron once, danach normal booten und Antivir installieren...

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Schon. Nur: Welcher Windows-Anwender arbeitet ohne Administratorrechte?
leider zu wenige, weil das noch mit etwas Aufwand verbunden ist.

Ich muss sagen das ich selber auch als Admin arbeite, aber ich würde 
auch nie eine exe aus einer Zip starten (auch wenn der Virenscanner 
sagt, das es ok ist). Dafür habe ich ein paar vm zum testen von 
unsicheren sachen)

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.