[HaBo]

Andix · 03.06.05, 16:48

Ich hab mir aus Neugier den Blazing Tools Perfect Keylogger Lite runtergeladen. Ich wollte einfach mal sehen wie so ein Keylogger funktioniert. Den hab ich so eingestellt das er alles bei ICQ mitloggt. Dann hab ich an den Einstellungen rumgespielt und einige interessante Einstellungen gefunden mit denen man den Keylogger "unsichtbar" machen kann. Und wie das nun so ist..... . Jetzt finde ich das Programm nicht mehr.Aus der Schnellstartleiste raus, aus dem Startmenü raus. Ich meine mich zu erinnern das ich den in Programme installiert hab. Dort gesucht hab ich aber nichts gefunden.... . Der Keylogger ist jetzt so im Hintergrund wie er wohl bei nem Trojaner wohl laufen würde.. .Hat jemand ne Ahnung wie ich den wiederfinde?

p-Logic · 03.06.05, 17:12

Wie der Typ der sich ganz cool n Virus runter geladen hat und sich dann wundert, warum nichts mehr geht

1. Versuch mitm Taskmanager den Prozess zu finden
2. Suche den Prozessnamen auf deinen Laufwerken ODER:

3. Verwende Hijack This um deine Autostarteinträge an zu sehen ODER:

3. Suche mal in der Registry in der Schlüsseln Run und RunOnce in CurrentUser und localMachine nach nem Prog, das da nicht hin gehört
3b Start=>Run=>msconfig eingeben und dort nach nem Prog suchen, das da nicht hin gehört.

4. Lösche den Autostart Eintrag, oder finde mit ihm das Prog.

Anzeige

- Anzeige -

Andix · 03.06.05, 18:03

Ich hab keinen deiner Ratschläge ernsthaft befolgt.Hab zwar in der msconfig geguckt aber ICH finde da nichts.
Hab nun Anti-Vir (Aktuell) drüberlaufen lassen. Hier poste ich mal den Log, hoffe du kannst mir weiterhelfen:
Start des Suchlaufs: Freitag, 3. Juni 2005 17:28

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1 OK
Bootsektor von Laufwerk C: OK

C:\
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
BackWeblite.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BackWeblite1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BackWeblite2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BackWeblite3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PrimeSoftSafeSearch.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WindowsMediaPlayer.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WindowsMediaPlayer1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Fehler beim Wechsel in das Verzeichnis Command and Conquer(TM) Generäle Die Stunde Null
C:\Dokumente und Einstellungen\Andi\Desktop\Andreas
i_bpk_lite.exe
ArchiveType: RAR SFX (self extracting)
--> Setup.exe
[FUND!] Ist das Trojanische Pferd TR/PWS.Perf.1.0.0.1
--> bpk.exe
[FUND!] Ist das Trojanische Pferd TR/Spy.Perfect.2
--> lview.exe
[FUND!] Ist das Trojanische Pferd TR/Spy.Perfect.2
--> Uninstall.exe
[FUND!] Ist das Trojanische Pferd TR/PWS.Perf.1.0.0
C:\Dokumente und Einstellungen\Andi\Desktop\Andreas\Informatik
Nero-6.6.0.8a.exe
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 013B8393
C:\Dokumente und Einstellungen\Andi\Desktop\Saves
Nero-6.6.0.8a.exe
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 013B8393
C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temp
~DFE74C.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Program Files\Perfect Keylogger Lite
bpk.exe
[FUND!] Ist das Trojanische Pferd TR/Spy.Perfect.2
WURDE GELÖSCHT!
lview.exe
[FUND!] Ist das Trojanische Pferd TR/Spy.Perfect.2
WURDE GELÖSCHT!
uninstall.exe
[FUND!] Ist das Trojanische Pferd TR/PWS.Perf.1.0.0
WURDE GELÖSCHT!
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\RECYCLER\S-1-5-21-2038945071-2529006832-1698683601-1005
Dc121.dll
Die Datei enthält Signatur des PMS/PSW.CrewDump-Programmes und wurde vom Benutzer unterdrückt.
Dc123.zip
ArchiveType: ZIP
--> creddump.dll
Die Datei enthält Signatur des PMS/PSW.CrewDump-Programmes und wurde vom Benutzer unterdrückt.
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\SoftwareDistribution\EventCache
{220CCE6F-FB06-430B-BFCF-39D6DF93E372}.bin
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
{894BA0FC-FB26-480B-B51E-440F7E708496}.bin
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Ende des Suchlaufs: Freitag, 3. Juni 2005 17:57
Benötigte Zeit: 28:36 min

4304 Verzeichnisse wurden durchsucht
79052 Dateien wurden geprüft
10 Warnungen wurden ausgegeben
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Viren bzw. unerwünschte Programme wurden gefunden

SUID:root · 03.06.05, 18:25

Du erwartest Hilfe, aber:

Zitat:

Ich hab keinen deiner Ratschläge ernsthaft befolgt.

Warum nicht, wenn man fragen darf? Glaubst du ernsthaft, dir hilft dann Jemand? Es wurde alles zur Problemlösung genannt.
Kein guter Anfang.

root

Andix · 03.06.05, 18:40

1.Anti Viren Programm macht ja im Prinzip genau das nur schneller, besser und gründlicher wie ich das von Hand machen kann.
Deswegen hab ich nicht in der msconfig und regedit rumgesucht.

Sven · 03.06.05, 18:45

ms antispyware oder $beliebiges antiviren programm findet das teil bestimmt

xblax · 03.06.05, 18:45

Zitat:

Original von Andix
1.Anti Viren Programm macht ja im Prinzip genau das nur schneller, besser und gründlicher wie ich das von Hand machen kann.
Deswegen hab ich nicht in der msconfig und regedit rumgesucht.

Das Antivieren Programm macht und sollte in der Regel nichts anderes machen als Viren zu finden und diese zu entfernen.
Ich nehme an der Keylogger ist kein Virus also wird er auch nicht gefunden.

Andix · 03.06.05, 21:25

Na den Report hab ich wohl umsonst gepostet.Egal

p-Logic · 03.06.05, 22:01

Du hättest auch mal selbst rein schauen können oder einfach nach "Trojaner" oder noch einfacher "Perfect Keylogger Lite" im Text gesucht.
Das wäre raus gekommen:

Zitat:

...
C:\Dokumente und Einstellungen\Andi\Desktop\Andreas
i_bpk_lite.exe
ArchiveType: RAR SFX (self extracting)
--> Setup.exe
[FUND!] Ist das Trojanische Pferd TR/PWS.Perf.1.0.0.1
--> bpk.exe
[FUND!] Ist das Trojanische Pferd TR/Spy.Perfect.2
--> lview.exe
[FUND!] Ist das Trojanische Pferd TR/Spy.Perfect.2
--> Uninstall.exe
[FUND!] Ist das Trojanische Pferd TR/PWS.Perf.1.0.0
C:\Dokumente und Einstellungen\Andi\Desktop\Andreas\Informatik
Nero-6.6.0.8a.exe
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 013B8393
C:\Dokumente und Einstellungen\Andi\Desktop\Saves
Nero-6.6.0.8a.exe
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 013B8393
C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temp
~DFE74C.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Program Files\Perfect Keylogger Lite
bpk.exe
[FUND!] Ist das Trojanische Pferd TR/Spy.Perfect.2
WURDE GELÖSCHT!
lview.exe
[FUND!] Ist das Trojanische Pferd TR/Spy.Perfect.2
WURDE GELÖSCHT!
uninstall.exe
[FUND!] Ist das Trojanische Pferd TR/PWS.Perf.1.0.0
WURDE GELÖSCHT!
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)

BTW: Selber denken macht schlau

Andix · 04.06.05, 16:02

Klar hab ich den Log auch selbst durchgesehen. Denke der Keylogger ist weg. Den Installer hab ich aber noch auf dem Computer, das dürfte aber nichts machen. Jedenfalls hab ich wieder über Google ,,Keylogger" gesucht wie das erste mal wo ich den runtergeladen hab. Hab den gleichen Link wieder gefunden(1Link). Der verweist auf
www.blazingtools.com
Lustig ist nur das jetzt immer Error 403 No permission to Access oder so was kommt wenn ich auf www.blazingtools.com gehen will. Könnt ihr mal ausprobieren die Seite aufzurufen?

p-Logic · 04.06.05, 16:35

Yep, der Server ist gesperrt worden

Anzeige

- Anzeige -

03.06.05, 16:48	#1 (permalink)
Andix Registriert seit: 03.06.05 Likes: 0	Blazing Tools Perfect Keylogger Lite Anzeige Ich hab mir aus Neugier den Blazing Tools Perfect Keylogger Lite runtergeladen. Ich wollte einfach mal sehen wie so ein Keylogger funktioniert. Den hab ich so eingestellt das er alles bei ICQ mitloggt. Dann hab ich an den Einstellungen rumgespielt und einige interessante Einstellungen gefunden mit denen man den Keylogger "unsichtbar" machen kann. Und wie das nun so ist..... . Jetzt finde ich das Programm nicht mehr.Aus der Schnellstartleiste raus, aus dem Startmenü raus. Ich meine mich zu erinnern das ich den in Programme installiert hab. Dort gesucht hab ich aber nichts gefunden.... . Der Keylogger ist jetzt so im Hintergrund wie er wohl bei nem Trojaner wohl laufen würde.. .Hat jemand ne Ahnung wie ich den wiederfinde?

03.06.05, 17:12	#2 (permalink)
p-Logic Registriert seit: 19.03.05 Likes: 1	RE: Blazing Tools Perfect Keylogger Lite Wie der Typ der sich ganz cool n Virus runter geladen hat und sich dann wundert, warum nichts mehr geht 1. Versuch mitm Taskmanager den Prozess zu finden 2. Suche den Prozessnamen auf deinen Laufwerken ODER: 3. Verwende Hijack This um deine Autostarteinträge an zu sehen ODER: 3. Suche mal in der Registry in der Schlüsseln Run und RunOnce in CurrentUser und localMachine nach nem Prog, das da nicht hin gehört 3b Start=>Run=>msconfig eingeben und dort nach nem Prog suchen, das da nicht hin gehört. 4. Lösche den Autostart Eintrag, oder finde mit ihm das Prog.

03.06.05, 18:45	#6 (permalink)
Sven Member of Honour Registriert seit: 14.09.03 Likes: 34	ms antispyware oder $beliebiges antiviren programm findet das teil bestimmt __________________ Mein Portfolio Meine Fotogalerie best view with open eyes

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
"Nobody" isn't perfect ...	mr_wolke	(In)security allgemein	4	17.07.09 23:44
back web lite	gucky	Die Problemzone	1	26.05.05 20:55
wbb lite	ste	(Web-) Design und webbasierte Sprachen	2	19.12.04 22:55
Kontexmenü ICQ lite 4.0 ???	Mackanzy	Die Problemzone	2	13.06.04 21:22
Kazaa lite K++	Beastmaster	Applikationen	21	13.06.04 19:50

03.06.05, 18:03	#3 (permalink)
Andix Themenstarter Registriert seit: 03.06.05 Likes: 0	Ich hab keinen deiner Ratschläge ernsthaft befolgt.Hab zwar in der msconfig geguckt aber ICH finde da nichts. Hab nun Anti-Vir (Aktuell) drüberlaufen lassen. Hier poste ich mal den Log, hoffe du kannst mir weiterhelfen: Start des Suchlaufs: Freitag, 3. Juni 2005 17:28 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Master-Bootsektor von Festplatte HD1 OK Bootsektor von Laufwerk C: OK C:\ hiberfil.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery BackWeblite.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt BackWeblite1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt BackWeblite2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt BackWeblite3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt PrimeSoftSafeSearch.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WindowsMediaPlayer.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WindowsMediaPlayer1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Fehler beim Wechsel in das Verzeichnis Command and Conquer(TM) Generäle Die Stunde Null C:\Dokumente und Einstellungen\Andi\Desktop\Andreas i_bpk_lite.exe ArchiveType: RAR SFX (self extracting) --> Setup.exe [FUND!] Ist das Trojanische Pferd TR/PWS.Perf.1.0.0.1 --> bpk.exe [FUND!] Ist das Trojanische Pferd TR/Spy.Perfect.2 --> lview.exe [FUND!] Ist das Trojanische Pferd TR/Spy.Perfect.2 --> Uninstall.exe [FUND!] Ist das Trojanische Pferd TR/PWS.Perf.1.0.0 C:\Dokumente und Einstellungen\Andi\Desktop\Andreas\Informatik Nero-6.6.0.8a.exe ArchiveType: RAR SFX (self extracting) Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 013B8393 C:\Dokumente und Einstellungen\Andi\Desktop\Saves Nero-6.6.0.8a.exe ArchiveType: RAR SFX (self extracting) Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 013B8393 C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temp ~DFE74C.tmp Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Program Files\Perfect Keylogger Lite bpk.exe [FUND!] Ist das Trojanische Pferd TR/Spy.Perfect.2 WURDE GELÖSCHT! lview.exe [FUND!] Ist das Trojanische Pferd TR/Spy.Perfect.2 WURDE GELÖSCHT! uninstall.exe [FUND!] Ist das Trojanische Pferd TR/PWS.Perf.1.0.0 WURDE GELÖSCHT! C:\Programme\WinRAR rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\RECYCLER\S-1-5-21-2038945071-2529006832-1698683601-1005 Dc121.dll Die Datei enthält Signatur des PMS/PSW.CrewDump-Programmes und wurde vom Benutzer unterdrückt. Dc123.zip ArchiveType: ZIP --> creddump.dll Die Datei enthält Signatur des PMS/PSW.CrewDump-Programmes und wurde vom Benutzer unterdrückt. Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\SoftwareDistribution\EventCache {220CCE6F-FB06-430B-BFCF-39D6DF93E372}.bin Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! {894BA0FC-FB26-480B-B51E-440F7E708496}.bin Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Ende des Suchlaufs: Freitag, 3. Juni 2005 17:57 Benötigte Zeit: 28:36 min 4304 Verzeichnisse wurden durchsucht 79052 Dateien wurden geprüft 10 Warnungen wurden ausgegeben 3 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 7 Viren bzw. unerwünschte Programme wurden gefunden

03.06.05, 18:40	#5 (permalink)
Andix Themenstarter Registriert seit: 03.06.05 Likes: 0	1.Anti Viren Programm macht ja im Prinzip genau das nur schneller, besser und gründlicher wie ich das von Hand machen kann. Deswegen hab ich nicht in der msconfig und regedit rumgesucht.

03.06.05, 21:25	#8 (permalink)
Andix Themenstarter Registriert seit: 03.06.05 Likes: 0	Na den Report hab ich wohl umsonst gepostet.Egal

04.06.05, 16:02	#10 (permalink)
Andix Themenstarter Registriert seit: 03.06.05 Likes: 0	Klar hab ich den Log auch selbst durchgesehen. Denke der Keylogger ist weg. Den Installer hab ich aber noch auf dem Computer, das dürfte aber nichts machen. Jedenfalls hab ich wieder über Google ,,Keylogger" gesucht wie das erste mal wo ich den runtergeladen hab. Hab den gleichen Link wieder gefunden(1Link). Der verweist auf www.blazingtools.com Lustig ist nur das jetzt immer Error 403 No permission to Access oder so was kommt wenn ich auf www.blazingtools.com gehen will. Könnt ihr mal ausprobieren die Seite aufzurufen?

04.06.05, 16:35	#11 (permalink)
p-Logic Registriert seit: 19.03.05 Likes: 1	Yep, der Server ist gesperrt worden

[HaBo]

Blazing Tools Perfect Keylogger Lite