Quote:
Originally Posted by Secno
Sieht noch einem keylogger aus  |
Das teil Funktioniert recht einfach, wenn ihr es Startet erhaltet ihr unter AppData\Local\Temp\Local eine "Pedo.exe" die sofort ausgeführt wird, natürlich kein Profi gewesen der das Teil machte, heißt diese ist nicht Verschlüsselt oder sonstiges, was es für jemanden wie mich recht einfach macht das ganze bissel unter die Lupe zu nehmen.
Natürlich bin ich kein Wannabe was das angeht und hab es nicht wirklich Local gestartet, darauf brauchst du dir jetzt also nichts einbilden lieber Thread ersteller.
Diese "Pedo.exe" ist 700~ KB groß, was drauf schließt das er jeden Kack importiert was er braucht um Windows ein "bisschen" zu manipulieren bzw euch, dem Admin die rechte zu nehmen, es Deaktiviert sämtliche gänige sachen wie RegEdit, MSConfig (Win 8.1 regelt hier allerdings) und natürlich den TaskManager, ich hab nicht weiter's nachgeschaut ob sich das teil auch im System Run verankert allerdings gehe ich davon aus. Man Pingt bei dem Scheißdreck sogar den Localen (127.0.0.1) PC 4x an, was ich sowieso recht sinnfrei finde.
Für die, wo es gestartet haben: es Blockiert zwar mittel's der Registry den TaskManager, allerdings gibts da wiederrum abhilfe: Process Explorer (Google), damit könnt ihr nach wie vor alle Processe anschauen und abschießen, um es dann schlussendlich zu Entfernen sind hier etwas Batch (Programmier) Kenntnisse Notwendig, einfach damit die Register Schlüssel eintragen die dafür zuständig sind das du RegEdit wieder starten kannst, da dieses "Drecks teil" einem nicht die vollständigen rechte wegnimmt ist das Problemlos möglich und leicht wieder zu entfernen.
Für Windows 8+ nutzer OHNE (!) AntiVirus wie mich ist das sowieso keine Bedrohung, sollte euer Windows Defender aktiv sein wird er euch bereits daran hindern das teil überhaupt zu Starten. (Geschweige denn Herunter zu laden).
Grundsätzlich würde ich dem Thread ersteller raten etwas besser zu Arbeiten um so etwas zu machen, wobei das wiederrum gegen jegliches recht eine's PC Nutzer's verstößt in vorm von Daten Diebstahl.
Sollte jemand es dennoch ohne jegliche vorkehrungen gestartet haben und bis zum jetzigen zeitpunkt sich keine weitere gedanken gemacht haben, allerdings aufgefallen sein das Fremd zugriff auf diverse Daten begangen wurden, dann übergebt das ganze der Polizei, diese werden euer Netzwerk nach Datenverkehr durchforschen, denn dieser Schrott muss das zeug ja iwo hin schicken, denn ihr seit nach §7 BDSG und §8 BDSG geschützt und habt ein anspruch auf Schadensersatz, diese vom ersteller getragen werden muss.
Da es nicht grad ein Profi war wird man ihn sogar sehr leicht finden macht euch also keinen Kopf.
Falls jemand dennoch rückfragen hat kann er sich gerne bei mir per PN melden.
Mit freundlichen Grüßen,
Crasy.
