Hallo zusammen,
aus gegebenem Anlass haben wir bei einem Freund einen Keylogger check mit dem Programm „Keylogger Killer 1.5“ durchgeführt. Zu unserem bedauern ist dieses Programm fündig geworden. Da keine Angaben zum Hersteller bzw. Produkt indetifiziert wurden (im Programm Keylogger Killer) sind wir dasvon ausgegangen das es ein unerwünschtes „etwas“ auf dem Rechner sein muss. Zusatz info: Ich habe es auf meinem Rechner auch durchlaufen lassen und da hat er lediglich meinen Spam-Filter als „Keylogger“ indentifiziert. Deshalb sind wir beim Fund meines Freunds von einer bösartigen Software ausgegangen.
das KK-Programm gibt auch den Pfad an wo sich der keylogger befinden soll. In unserem Fall war es „C:windows/system 32/sys32“. Diesen Ordner haben wir erst isoliert um festzustellen ob windows diesen ordner evt benutzt. Komischerweise wurde nachdem wir den Odrner geleert haben und die Datein woanders hinkopiert haben, wieder eine neue Datei in diesen Ordner wärend des Betriebes ohne Neustart geschrieben. Nachdem wir festgestellt haben das Windows den ordnerinhalt nicht benötigt, haben wir ihn gelöscht.
Das dumme ist nun, das unser KK-Programm (nach neustart) trotzdem noch die gleichen Datein anzeigt in dem gleichem Ordner der eigentlich gelöscht ist.
Frage: hat jetzt der K Killer ne Macke, oder sind Keylogger schlauer als wir? 
Achso die Datein die als Keylogger identifiziert wurden heissen „Said.007“ und „Said.006“ während des Betriebes wurde die datei „said.009“ erzeugt… vielleicht hilft das weiter.
Gruß, Stev
Hallo,
Frage: hat jetzt der K Killer ne Macke, oder sind Keylogger
schlauer als wir?
der Trojaner ist schlauer, er schreibt das Ding immer gleich wieder neu. 
Achso die Datein die als Keylogger identifiziert wurden
heissen „Said.007“ und „Said.006“ während des Betriebes wurde
die datei „said.009“ erzeugt… vielleicht hilft das weiter.
Das hilft, sieh mal, das Trendmicro dazu sagt.
http://de.trendmicro-europe.com/enterprise/vinfo/enc…
Viel Spaß beim Installieren, oder hast Du ein Image?
Gruß, Rainer
Das hilft, sieh mal, das Trendmicro dazu sagt.
http://de.trendmicro-europe.com/enterprise/vinfo/enc…
Hmmm… da wird der Suchbegriff ‚Said‘ zwar vielfach gefunden, aber im Sinne von ‚besagt‘: If found, it will skip the said file - Wenn gefunden, wird besagte Datei übersprungen.
Statt die angeblich infizierten Dateien einfach mal zu löschen und so eine Überprüfung unmöglich zu machen, ist es natürlich weitaus cleverer, sie zur weiteren Untersuchung in Quarantäne zu schieben.
Nun, netterweise scheint der angebliche Keylogger dem absent minded Admin ja zur Hand zu gehen und die gelöschte Kopie immer wieder neu hinzustellen. So dass eine Untersuchung der Datei bei http://www.virustotal.com/ immer noch möglich ist.
Wobei - die Zeichen, dass es sich um eine böswillige Software handelt, sind unübersehbar, der Wunsch
Viel Spaß beim Installieren
also wohl durchaus gerechtfertigt.
Gruss
Schorsch
1 „Gefällt mir“
Hi Schorsch,
Hmmm… da wird der Suchbegriff ‚Said‘ zwar vielfach gefunden,
aber im Sinne von ‚besagt‘: If found, it will skip the said
file - Wenn gefunden, wird besagte Datei übersprungen.
hmmmm, da haben wohl meine überragenden Englischkenntnisse wieder einmal zugeschlagen. Danke für die Korrektur.
Gruß, Rainer
Ich depp hab Buchstaben vertauscht :S
Es ist nicht „Said“ sondern „Saib“…
http://de.trendmicro-europe.com/enterprise/vinfo/enc…
Habe aber auf der vergeschlagenen Trend HP mal nach dem Wort suchen lassen und siehe da, es kam ein sinnvolles ergebnis raus. Nur um ihn los zu werden benötige ich den „Process Explorer“. Was zum … is das denn? Und vorallem wo bekomm ich ihn her? Der dort angegebene link funktionioert nicht mehr.
Und wieso bekommen den herkömmliche AntiVir Programme nicht runter?
Gruß, Stev
Hi,
Habe aber auf der vergeschlagenen Trend HP mal nach dem Wort
suchen lassen und siehe da, es kam ein sinnvolles ergebnis
raus.
schön, am Ergebnis ändert das nichts, die Anzeichen waren auch so schon deutlich.
Nur um ihn los zu werden benötige ich den „Process
Explorer“. Was zum … is das denn?
Der Taskmanager.
Und vorallem wo bekomm ich ihn her?
Hast Du schon.
Der dort angegebene link funktionioert nicht mehr.
Und wieso bekommen den herkömmliche AntiVir Programme nicht
runter?
Weil sich diese Art von Schädlingen so gut verstecken kann, daß Virenscanner dagegen machtlos sind. Das Ding hat inzwischen eine unbekannte Anzahl weiterer Schädlinge nachgeladen. Die kannst Du mit Virenscannern entfernen, bei jedem Versuch werden das mehr.
Das System mit Virenscannern zu bearbeiten ist reine Zeitverschwendung, sauber wird es so nicht wieder. Gleich neu aufsetzen ist der schnellste Weg.
Gruß, Rainer
http://de.trendmicro-europe.com/enterprise/vinfo/enc…
Angenommen, der sei es.
Nur um ihn los zu werden benötige ich den „Process
Explorer“.
Wie willst du den mit irgendeinem ‚Process Explorer‘ beeindrucken? This worm also has backdoor capabilities. It opens various ports, allowing a remote user to access and perform malicious commands on an affected machine.
Hast du die Hoffnung, dass der ‚remote user‘ sich über den Process Explorer kaputtlacht? Was du brauchst, willst du dein Problem ernsthaft angehen, ist die Windows-Installations-CD sowie alle aktuellen ServicePacks und Patches.
Gruss
Schorsch
1 „Gefällt mir“
Und wieso bekommen den herkömmliche AntiVir Programme nicht
runter?
Den bekommen auch „unherkömmliche“ AntiVir Programme nicht herunter. Das einzige was das Ding entfernt, ist die Formatierung deiner Festplatte und das Neuaufsetzen deines Betriebssystems, wie es dir Schorsch schon gesagt hat…