Keylogger

Page 1 of 2 1 2
09/27/2010 22:17 SoundBangeR#1
Hallo e*pvp,
[Only registered and activated users can see links. Click Here To Register...] im thread wird beschrieben wie man einen Keylogger auseinandernimmt.
Da dachte ich mir das ich mal probiere.
Hab mir nun einen Metin2 "Yanghack" heruntergeladen.
Hab es auch gestartet.
Doch dann war es plötzlich weg!
So nun frag ich mich ob ich da einen Keylogger installiert habe oder nicht.
Wenn ja wie krieg ich den weg?

mfg garvingandalf
09/27/2010 22:22 philipp12484#2
such ihn in den Prozessen den es gibt immer ein verweiß auf den prozess ;)
09/27/2010 22:23 Jeoni#3
Guck in deinen Autostart-Ordner, in der Registry (Key: [...]LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Run oder \RunOnce; das Gleiche nochmal mit [...]CurrentUser\[...weiter wie oben]) (Registry bearbeiten: start>ausführen>regedit). Den Locgger einfach den Startbefehl nehmen. Um ihn sofort zu killen (beim nächsten Windowsstart evtl. wieder da) Taskmanager aufrufen und in den Prozessen nach verdächtigen Sachen suchen (z.B. Svchost.exe vom Benutzer [DeinUsername]) > Rechtsklick > Prozess beenden (dürfte klar sein).

MfG
Jeoni
09/27/2010 22:28 SoundBangeR#4
Quote:
Originally Posted by Jeoni View Post
Guck in deinen Autostart-Ordner, in der Registry (Key: [...]LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Run oder \RunOnce; das Gleiche nochmal mit [...]CurrentUser\[...weiter wie oben]) (Registry bearbeiten: start>ausführen>regedit). Den Locgger einfach den Startbefehl nehmen. Um ihn sofort zu killen (beim nächsten Windowsstart evtl. wieder da) Taskmanager aufrufen und in den Prozessen nach verdächtigen Sachen suchen (z.B. Svchost.exe vom Benutzer [DeinUsername]) > Rechtsklick > Prozess beenden (dürfte klar sein).

MfG
Jeoni
danke für die schnelle antwort
aber leider nix verstanden :(
wo find ich die registry ?
oder (Key: [...]LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Run oder \RunOnce; das Gleiche nochmal mit [...]CurrentUser\[...weiter wie oben]) (Registry bearbeiten: start>ausführen>regedit)

und bringt es was wenn ich eine systemwiederherstellung mache ???

€:hat sich mit registry schon geklärt
€2:Wo find ich Current User? ok auch geklärt ^^
(Sry für die ganzen fragen und so ^^)
€3^^:Ich hab aber jetzt nix verdächtiges gefunden.
09/28/2010 14:18 Diablo_#5
Warum hast du den denn geöffnet? Das war doch garnicht nötig.

Du musst ihn nur mit Hex Editor Workshop auseinander nehmen und nicht starten...

Am besten Machst du einen HiJackThis Scan und postest das Ergebnis hier.

Und du machst einen Screen von deinem Autostart.
09/28/2010 20:38 SoundBangeR#6
Quote:
Originally Posted by ▲Ɖ̼̉ÎABLO▲ View Post
Warum hast du den denn geöffnet? Das war doch garnicht nötig.

Du musst ihn nur mit Hex Editor Workshop auseinander nehmen und nicht starten...

Am besten Machst du einen HiJackThis Scan und postest das Ergebnis hier.

Und du machst einen Screen von deinem Autostart.
Wie poste ich den das ergebnis von hijackthis ?
hab jetzt scan gemacht aber hab keine ahnung was da steht^^
Und Autostart :
(falls es richtig ist ,wenn nicht dann erklärt es mir plss ^^)
[Only registered and activated users can see links. Click Here To Register...]
mfg
garvingandalf
09/28/2010 21:01 Diablo_#7
HJT öffnen (Vista und Win7 als Admin),scannen und die Logdatei speichern.

Den Inhalt kopieren und in einen Spoiler einfügen.


Autostart:

Start-->Ausführen-->msconfig eingeben-->Enter klicken-->Systemstart anklicken und davon Screens machen

Musst vieleicht 2 Screens machen oder das Fenster vergrößern damit man alles sieht.
09/28/2010 22:26 SoundBangeR#8
Quote:
Originally Posted by ▲Ɖ̼̉ÎABLO▲ View Post
HJT öffnen (Vista und Win7 als Admin),scannen und die Logdatei speichern.

Den Inhalt kopieren und in einen Spoiler einfügen.


Autostart:

Start-->Ausführen-->msconfig eingeben-->Enter klicken-->Systemstart anklicken und davon Screens machen

Musst vieleicht 2 Screens machen oder das Fenster vergrößern damit man alles sieht.
Ok
Autostart:[Only registered and activated users can see links. Click Here To Register...]

Hijackthis:
So bitte schön ^^
mfg
garvingandalf
09/28/2010 22:29 Walkhorn#9
"StartWinUpdate" im Autostart ist mir kein bekannter Vorgang von Windows.
09/29/2010 13:52 Diablo_#10
1. Deinstalliere die Toolbars Bzw. fixe sie mit HiJackthis

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

Und die anderen Toolbars von Ask.com oder Yahoo.

2. Im Systemstart den Haken bei "StartWinUpdate" entfernen und guck mal nach ob diese Datei zu finden ist auf deinem PC via Start-->Suchen-->StartWindowsUpdate

3.Lade C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
diese Datei bei Virustotal hoch und poste das Ergebnis hier. Diese Datei ist mir unbekannt.


MfG Diablo.
09/29/2010 14:19 _Marcel_#11
Google einfach mal nach "Stinger", und lass deinen PC checken.

PS:
In meinen Augen geschied dir das recht, du wolltest scammen! Auch wenn du den Dieben was klaust, ist und bleibt es geklaut!
09/29/2010 14:44 Diablo_#12
Quote:
Originally Posted by _Marcel_ View Post
Google einfach mal nach "Stinger", und lass deinen PC checken.

PS:
In meinen Augen geschied dir das recht, du wolltest scammen! Auch wenn du den Dieben was klaust, ist und bleibt es geklaut!
Scammen? Du hast da etwas falsch verstanden. Er hat sich ein Scam-Tool runtergeladen um es umgekehrt zu benutzen.

Soetwas habe ich auch schon gemacht, man muss höllisch aufpassen mit sowas.

Er soll jetzt erstmal das machen was ich gesagt habe dann sehen wir weiter. Und Mbam sollte reichen wenn es nichts ergibt.
09/29/2010 15:49 _Marcel_#13
Quote:
Originally Posted by ▲Ɖ̼̉ÎABLO▲ View Post
Scammen? Du hast da etwas falsch verstanden. Er hat sich ein Scam-Tool runtergeladen um es umgekehrt zu benutzen.

Soetwas habe ich auch schon gemacht, man muss höllisch aufpassen mit sowas.

Er soll jetzt erstmal das machen was ich gesagt habe dann sehen wir weiter. Und Mbam sollte reichen wenn es nichts ergibt.
Ich habe alles richtig verstanden. Er bekommt die Daten vom Scammer, und was dann? Ich bezweifle, dass er sie zu einem gutem Zweck benutzt.

Indem er versucht die Daten vom Scammer zu bekommen, scammt er selber. <- Er nimmt Eigentum was ihm nicht gehört (In diesem Fall die Daten des Scammers.) Egal ob sie für einen guten Zweck sind, oder nicht!

So, dass sein Pogramm einfach verschunden ist, kann auch damit zusammen hängen, dass Windows sie einfach gelöscht hatt (Windows defender.)
09/29/2010 15:54 SoundBangeR#14
Quote:
Originally Posted by ▲Ɖ̼̉ÎABLO▲ View Post
1. Deinstalliere die Toolbars Bzw. fixe sie mit HiJackthis

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

Und die anderen Toolbars von Ask.com oder Yahoo.Done

2. Im Systemstart den Haken bei "StartWinUpdate" entfernen und guck mal nach ob diese Datei zu finden ist auf deinem PC via Start-->Suchen-->StartWindowsUpdate Done

3.Lade C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
diese Datei bei Virustotal hoch und poste das Ergebnis hier. Diese Datei ist mir unbekannt. In Spoiler


MfG Diablo.
€:
Quote:
PS:
In meinen Augen geschied dir das recht, du wolltest scammen!
Ich wollte sicherlich nicht scammen-.-:facepalm:
Ich wollte nur mir mal die Zeit vertreiben und einen Keylogger auseinandernehmen.Was nach hinten los ging^^

mfg garvingandalf
09/29/2010 16:02 Diablo_#15
Scamming ist wenn du z.B ein Programm hast wo du deine Daten eingeben musst um etwas zu bekommen (hier: Metin2 Yang Hack) aber in Wirklichkeit geht man leer aus und der Scammer hat deine Daten. To Scam heißt ja auch betrügen aber er würde dann ja nicht den Scammer betrügen. Pech, sage ich da nur.

So, wenn du dieses Programm auseinander nimmst weil es so einfach gestrickt ist und dort auch noch die Daten stehen ist das kein Scamming.

Soetwas würde ich eher unter Diebstahl setzen. Einem Dieb etwas stehlen.

Was soll man denn gegen den Scammer tun? Dann weiß er auch mal wie das ist. Solche Leute gehören einfach verarscht.


//Edit: @ Garvingandalf

Das ist schonmal gut. Also hast du die Datei StartWindowsUpdate gefunden? Wo war sie,hast du sie gelöscht oder etwas anderes damit gemacht?

Ein Scan mit Mbam ([Only registered and activated users can see links. Click Here To Register...])sollte reichen (Vollscan) und wenn der nichts ergibt hast du Glück gehabt. Wie _Marcel_ schon sagte es ist möglich das die Datei gelöscht wurde.
Page 1 of 2 1 2