Keylogger

SoundBangeR · 09/27/2010, 22:17

Hallo e*pvp,

im thread wird beschrieben wie man einen Keylogger auseinandernimmt.
Da dachte ich mir das ich mal probiere.
Hab mir nun einen Metin2 "Yanghack" heruntergeladen.
Hab es auch gestartet.
Doch dann war es plötzlich weg!
So nun frag ich mich ob ich da einen Keylogger installiert habe oder nicht.
Wenn ja wie krieg ich den weg?

mfg garvingandalf

~~philipp12484~~ · 09/27/2010, 22:22

such ihn in den Prozessen den es gibt immer ein verweiß auf den prozess

Jeoni · 09/27/2010, 22:23

Guck in deinen Autostart-Ordner, in der Registry (Key: [...]LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Run oder \RunOnce; das Gleiche nochmal mit [...]CurrentUser\[...weiter wie oben]) (Registry bearbeiten: start>ausführen>regedit). Den Locgger einfach den Startbefehl nehmen. Um ihn sofort zu killen (beim nächsten Windowsstart evtl. wieder da) Taskmanager aufrufen und in den Prozessen nach verdächtigen Sachen suchen (z.B. Svchost.exe vom Benutzer [DeinUsername]) > Rechtsklick > Prozess beenden (dürfte klar sein).

MfG
Jeoni

SoundBangeR · 09/27/2010, 22:28

Quote:

Originally Posted by Jeoni

Guck in deinen Autostart-Ordner, in der Registry (Key: [...]LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Run oder \RunOnce; das Gleiche nochmal mit [...]CurrentUser\[...weiter wie oben]) (Registry bearbeiten: start>ausführen>regedit). Den Locgger einfach den Startbefehl nehmen. Um ihn sofort zu killen (beim nächsten Windowsstart evtl. wieder da) Taskmanager aufrufen und in den Prozessen nach verdächtigen Sachen suchen (z.B. Svchost.exe vom Benutzer [DeinUsername]) > Rechtsklick > Prozess beenden (dürfte klar sein).

MfG
Jeoni

danke für die schnelle antwort
aber leider nix verstanden

wo find ich die registry ?
oder (Key: [...]LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Run oder \RunOnce; das Gleiche nochmal mit [...]CurrentUser\[...weiter wie oben]) (Registry bearbeiten: start>ausführen>regedit)

und bringt es was wenn ich eine systemwiederherstellung mache ???

€:hat sich mit registry schon geklärt
€2:Wo find ich Current User? ok auch geklärt ^^
(Sry für die ganzen fragen und so ^^)
€3^^:Ich hab aber jetzt nix verdächtiges gefunden.

Diablo_ · 09/28/2010, 14:18

Warum hast du den denn geöffnet? Das war doch garnicht nötig.

Du musst ihn nur mit Hex Editor Workshop auseinander nehmen und nicht starten...

Am besten Machst du einen HiJackThis Scan und postest das Ergebnis hier.

Und du machst einen Screen von deinem Autostart.

SoundBangeR · 09/28/2010, 20:38

Quote:

Originally Posted by ▲Ɖ̼̉ÎABLO▲

Warum hast du den denn geöffnet? Das war doch garnicht nötig.

Du musst ihn nur mit Hex Editor Workshop auseinander nehmen und nicht starten...

Am besten Machst du einen HiJackThis Scan und postest das Ergebnis hier.

Und du machst einen Screen von deinem Autostart.

Wie poste ich den das ergebnis von hijackthis ?
hab jetzt scan gemacht aber hab keine ahnung was da steht^^
Und Autostart :
(falls es richtig ist ,wenn nicht dann erklärt es mir plss ^^)

mfg
garvingandalf

Diablo_ · 09/28/2010, 21:01

HJT öffnen (Vista und Win7 als Admin),scannen und die Logdatei speichern.

Den Inhalt kopieren und in einen Spoiler einfügen.

Autostart:

Start-->Ausführen-->msconfig eingeben-->Enter klicken-->Systemstart anklicken und davon Screens machen

Musst vieleicht 2 Screens machen oder das Fenster vergrößern damit man alles sieht.

SoundBangeR · 09/28/2010, 22:26

Quote:

Originally Posted by ▲Ɖ̼̉ÎABLO▲

HJT öffnen (Vista und Win7 als Admin),scannen und die Logdatei speichern.

Den Inhalt kopieren und in einen Spoiler einfügen.

Autostart:

Start-->Ausführen-->msconfig eingeben-->Enter klicken-->Systemstart anklicken und davon Screens machen

Musst vieleicht 2 Screens machen oder das Fenster vergrößern damit man alles sieht.

Ok
Autostart:

Hijackthis:

Spoiler

So bitte schön ^^
mfg
garvingandalf

Walkhorn · 09/28/2010, 22:29

"StartWinUpdate" im Autostart ist mir kein bekannter Vorgang von Windows.

Diablo_ · 09/29/2010, 13:52

1. Deinstalliere die Toolbars Bzw. fixe sie mit HiJackthis

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

Und die anderen Toolbars von Ask.com oder Yahoo.

2. Im Systemstart den Haken bei "StartWinUpdate" entfernen und guck mal nach ob diese Datei zu finden ist auf deinem PC via Start-->Suchen-->StartWindowsUpdate

3.Lade C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
diese Datei bei Virustotal hoch und poste das Ergebnis hier. Diese Datei ist mir unbekannt.

MfG Diablo.

~~_Marcel_~~ · 09/29/2010, 14:19

Google einfach mal nach "Stinger", und lass deinen PC checken.

PS:
In meinen Augen geschied dir das recht, du wolltest scammen! Auch wenn du den Dieben was klaust, ist und bleibt es geklaut!

Diablo_ · 09/29/2010, 14:44

Quote:

Originally Posted by _Marcel_

Google einfach mal nach "Stinger", und lass deinen PC checken.

PS:
In meinen Augen geschied dir das recht, du wolltest scammen! Auch wenn du den Dieben was klaust, ist und bleibt es geklaut!

Scammen? Du hast da etwas falsch verstanden. Er hat sich ein Scam-Tool runtergeladen um es umgekehrt zu benutzen.

Soetwas habe ich auch schon gemacht, man muss höllisch aufpassen mit sowas.

Er soll jetzt erstmal das machen was ich gesagt habe dann sehen wir weiter. Und Mbam sollte reichen wenn es nichts ergibt.

~~_Marcel_~~ · 09/29/2010, 15:49

Quote:

Originally Posted by ▲Ɖ̼̉ÎABLO▲

Scammen? Du hast da etwas falsch verstanden. Er hat sich ein Scam-Tool runtergeladen um es umgekehrt zu benutzen.

Soetwas habe ich auch schon gemacht, man muss höllisch aufpassen mit sowas.

Er soll jetzt erstmal das machen was ich gesagt habe dann sehen wir weiter. Und Mbam sollte reichen wenn es nichts ergibt.

Ich habe alles richtig verstanden. Er bekommt die Daten vom Scammer, und was dann? Ich bezweifle, dass er sie zu einem gutem Zweck benutzt.

Indem er versucht die Daten vom Scammer zu bekommen, scammt er selber. <- Er nimmt Eigentum was ihm nicht gehört (In diesem Fall die Daten des Scammers.) Egal ob sie für einen guten Zweck sind, oder nicht!

So, dass sein Pogramm einfach verschunden ist, kann auch damit zusammen hängen, dass Windows sie einfach gelöscht hatt (Windows defender.)

SoundBangeR · 09/29/2010, 15:54

Quote:

Originally Posted by ▲Ɖ̼̉ÎABLO▲

1. Deinstalliere die Toolbars Bzw. fixe sie mit HiJackthis

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

Und die anderen Toolbars von Ask.com oder Yahoo.Done

2. Im Systemstart den Haken bei "StartWinUpdate" entfernen und guck mal nach ob diese Datei zu finden ist auf deinem PC via Start-->Suchen-->StartWindowsUpdate Done

3.Lade C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
diese Datei bei Virustotal hoch und poste das Ergebnis hier. Diese Datei ist mir unbekannt. In Spoiler

MfG Diablo.

Spoiler

€:

Quote:

PS:
In meinen Augen geschied dir das recht, du wolltest scammen!

Ich wollte sicherlich nicht scammen-.-

Ich wollte nur mir mal die Zeit vertreiben und einen Keylogger auseinandernehmen.Was nach hinten los ging^^

mfg garvingandalf

Diablo_ · 09/29/2010, 16:02

Scamming ist wenn du z.B ein Programm hast wo du deine Daten eingeben musst um etwas zu bekommen (hier: Metin2 Yang Hack) aber in Wirklichkeit geht man leer aus und der Scammer hat deine Daten. To Scam heißt ja auch betrügen aber er würde dann ja nicht den Scammer betrügen. Pech, sage ich da nur.

So, wenn du dieses Programm auseinander nimmst weil es so einfach gestrickt ist und dort auch noch die Daten stehen ist das kein Scamming.

Soetwas würde ich eher unter Diebstahl setzen. Einem Dieb etwas stehlen.

Was soll man denn gegen den Scammer tun? Dann weiß er auch mal wie das ist. Solche Leute gehören einfach verarscht.

//Edit: @ Garvingandalf

Das ist schonmal gut. Also hast du die Datei StartWindowsUpdate gefunden? Wo war sie,hast du sie gelöscht oder etwas anderes damit gemacht?

Ein Scan mit Mbam ()sollte reichen (Vollscan) und wenn der nichts ergibt hast du Glück gehabt. Wie _Marcel_ schon sagte es ist möglich das die Datei gelöscht wurde.