[HaBo]

jeireff · 30.06.08, 15:06

Hallo Community,
zwar ist das mein erster Beitrag, doch dreht es sich nicht einmal um mich.
Ein Kollege (der wirklich nicht viel Plan von PCs hat) hat end die Paranoia,
er denk er wird andauernd gehackt... dabei is nicht viel Interessantes
bei Ihm zu holen, aber er meint er hat Feinde. Soweit so gut. Immer
wieder gab es bei ihm seltsame Vorfälle, die mich auch immer stutziger
werden ließen...

Jetzt wurde sein E-Mail Account gehackt. Zumindest kommt er nicht
mehr in rein mit deinem 14 Stelligen PWD. Er geht davon aus das er n
Keylogger auf der Platte hat. Wie finden wir jetzt raus ob einer drauf ist
und wenn, an wen er sendet...??? Sein Antivirenprogramm (Kasperky)
erkennt nichts... war jetzt plötzlich aber auch defekt. Alles innerhalb des
Zeitraumes, wo er auch nicht mehr nach ICQ kam.

Da ich total der NOOB in sowas bin würde ich mich richtig freuen wenn
ihr mir da weiter helfen könntet. Ich weiß nicht wo ich sonst fragen
könnte...

THX im Vorraus

**bitmuncher** · 30.06.08, 15:17

HiJackThis sollte eigentlich evtl. laufende Keylogger offenbaren können und mit Programmen wie Wireshark sollte man rausbekommen können wohin Daten gesendet werden.

Anzeige

- Anzeige -

**lightsaver** · 30.06.08, 15:24

wobei man bei "gehackten" email-konten möglicherweise selber einen guten beitrag dazu geleistet hat.
ich spiele hier auf die passwort vergessen funktion an. oft haben leute dort zu einfache fragen oder vorhersehbare antworten eingestellt. über diesen weg kann man dann auch leicht zugang erhalten

jeireff · 30.06.08, 15:33

Danke Danke,
ihr seit echt schnell.... aber kann das sein das sich HijackThis
nur mit Browser übernahmen beschäftigt? Wär cool noch was
zu kennen das "normale" Keylogger entlarft...

Aber ich werde aufjeden fall mal ausprobieren was ihr mir geraten
habt...

THX

**bitmuncher** · 30.06.08, 15:37

HiJackThis listet alle Prozesse im System auf und im Normalfall auch die versteckten.

jeireff · 30.06.08, 16:11

Jo ich hab mir das mal angesehen hier @work.
Ein sehr nettes tool, und dazu gibt es ja sogar
ein Auswertungstool unter: http://www.hijackthis.de/de

Ich denke das wird mir helfen... Wenn nicht melde
ich mich hier noch einmal.... DANKE AN ALLE!!!!!!

**bitmuncher** · 30.06.08, 16:15

Es gibt auch hier im Board einen Sammelthread für HiJackThis-Logs, wo dir Leute bei der Auswertung helfen können.

spike2558 · 17.07.08, 22:00

hallo...

was machen 99% aller keylogger - in eine Datei schreiben und das normalerweise nach jedem Tastenanschlag.
Wie wird man folglich schnell herausfinden ob man einen am laufen hat?

hm... ;p

einfache Dateisuche nach * (optional eingrenzen mit 1 Tag alt) und zwar ordnen nach "geändert am" und eine der ersten einträge sollte dann das fragliche immer größerwerdende logfile sein.

hth

lg

edit: ich muss hoffentlich nicht dazusagen, dass man versteckte und systemdateien einblenden sollte ;P

Machine · 17.07.08, 22:21

Genau.. und das System aktualisiert keine Dateien... also wirst du zu 100% das Logfile so finden.
Richtig gute Keylogger, also 99% aller Keylogger, benennen das Logfile auch mit sehr cryptischen Namen wie "hook.txt" oder "log.txt"

Ganz ehrlich, deine Methode ist ziemlich bescheuert. Sorry, ist einfach so. Da ist es noch praktischer im Taskmanager nach einem unbekannten Prozess zu suchen oder, wie hier schon erwähnt, HijackThis zu nutzen. Ich frage mich sowieso, warum du einen Thread wiederbelebst, der eigentlich geklärt ist...

Edit: Sorry, vergessen zu sagen: ich tippe mal wieder auf "Ferien"...

xrayn · 17.07.08, 22:21

Usermode... ja. Aber sowas ist doch auch langweilig. Wenns n Kernelmodekeylogger wirst du deine Probleme haben einen solchen aufzuspueren, da dieser bestimmt seine Files versteckt und da hast du im Usermode (es sei denn, der Autor war nicht soo helle) keine Chance.

spike2558 · 17.07.08, 22:43

Zitat:

Original von M4CH!N3
Ganz ehrlich, deine Methode ist ziemlich bescheuert.

wieso? kein aufwand und schnell ein ergebnis ohne irgendeinen crap installiern zu müssen oder glaubst du der keylogger loggt in den ram?

wenn du im taskmanager den keylogger findest oder in den paar autostartverzeichnissen oder in der reg, ists natürlich auch toll.

also ich bin nicht der typ der für jeden blödsinn gleich irgendein programm installiern muss, wenn man es auch so lösen kann.

Eydeet · 18.07.08, 00:41

Als Möglichkeit, um die Dinger zu finden ist das natürlich eine Möglichkeit. Sicher finden wirst du Log-Dateien damit aber nicht. Erstens besteht wie schon angesprochen die Möglichkeit, solche Dateien durch Rootkits zu verstecken, und zweitens kann der Programmierer die Modification Time zurücksetzen.
Und wieso sollte Cachen im Ram so abwegig sein? Damit verhindert man immerhin, dass die Festplatte beim Tippen dauernd anspringt (sicher, auch die hat Caches). Alternativ könnten die Logs natürlich auch ohne Umweg über die Platte direkt ins Internet geschickt werden.

edurne · 18.07.08, 09:04

Keylogger ist nicht die einzige Möglichkeit, das Passwort zu bekommen. Phishing ist eine besonders effektive Methode um an Passwörter von Email Konten zu gelangen.

Grüße

edurne

Keygen · 04.08.11, 22:35

Hallo

Jeder Keylogger startet beim Hochfahren ja mit

Die BESTE Methode (ich verstehe bis heute nicht wieso man diese nicht benutzt) ist wen man im Windows Ordner auf die Regedit.exe klickt und dann unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run\" geht.

Dort wird verzeichnet welche exe datein beim Hochfahren automatisch starten. Nicht jede Anwendung im Taskmanager starte gleich beim Hochfahren mit und viele werden erst durch andere exe datein gestarten...

Es sind dort nur wenige Verzeichnet... dort steht deren Name, deren Speicherort und deren Beschreibung also zb Windowssafety.

Google was es nicht gibt (oder keine wichtige exe ist) und meistens schon deren speicherort deckt keylogger auf... glaub mir dir wird sofort auffallen was nicht stimmen kann...

Dann musste einfach auf den speicherort und sie löschen, voher noch in den Taskmanager sie schließen und schließlich dann noch den befehl zustarten im obrigen verzeichnis löschen schon bist du sie los!!!! Und das funktioinert weil nur so exe datein beim hofahren mit starten können weil sie sich nicht selber starten sonder gestarten werden von windows selber !!!

Viel Erfolg

**CDW** · 05.08.11, 02:18

1) Nach über 3 Jahren dürfte das Problem entweder gelöst sein oder keine Rolle spielen.
2)

Zitat:

Die BESTE Methode (ich verstehe bis heute nicht wieso man diese nicht benutzt)
...voher noch in den Taskmanager sie schließen und schließlich dann noch den befehl zustarten im obrigen verzeichnis löschen schon bist du sie los!!!!

vielleicht weil multiple Satzzeichen (und Halbwissenverbreitung) "böse" sind?

Code:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run            
(nicht mit HKLM\...\Run verwechseln)    
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\
Current Version\RunOnce

(nicht mit obigen Verwechseln, Windows NT Eintrag existiert auch unter XP und ist ein "eigener" Key)
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Policies\Microsoft\System\Scripts
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\urrentVersion\RunOnceEx
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Startup
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Common Startup
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Common Startup

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User ShellFolders\Startup
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Startup
HKLM\SYSTEM\CurrentControlSet\Control\Update\NetworkPath
HKLM\SYSTEM\CurrentControlSet\Control\Update\UpdateMode

HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\Shellex\DragDropHandlers            
(wird automatisch geladen)     
... da gibt es noch mehr von der Sorte - Menü/Iconerweiterungen für den Explorer

dann:
HKLM\Software\Microsoft\Internet Explorer\Extensions    
und "geplante Tasks"  

HKLM\System\CurrentControlSet\Services            
als Dienst/Treiber eintragen. Im übrigen gibt es mehrere ControlSet Einträge - auch mit den Diensten, die im "abgesicherten Modus" gestartet werden.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32   
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify   
sowie "Print Monitor"  und weiterer Kram (z.B könnte man die "open" EWinträge zusätzlich so midifizierne, dass beim öffnen/starten von XYZ noch etwas anderes mitgestartet wird

Das wären nur die Registryeinträge (kein Anspruch auf Vollständigkeit)

Code:

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
sowie 
C:\Dokumente und Einstellungen\%USER%\Startmenü\Programme\Autostart

Abgesehen von Anmeldescripten und "hardcoremethoden", wie das Ersetzen von gina.dll/systemdlls oder patchen der Dateien.

Anzeige

- Anzeige -

30.06.08, 15:06	#1 (permalink)
jeireff Registriert seit: 25.06.08 Likes: 0	Keylogger?? Anzeige Hallo Community, zwar ist das mein erster Beitrag, doch dreht es sich nicht einmal um mich. Ein Kollege (der wirklich nicht viel Plan von PCs hat) hat end die Paranoia, er denk er wird andauernd gehackt... dabei is nicht viel Interessantes bei Ihm zu holen, aber er meint er hat Feinde. Soweit so gut. Immer wieder gab es bei ihm seltsame Vorfälle, die mich auch immer stutziger werden ließen... Jetzt wurde sein E-Mail Account gehackt. Zumindest kommt er nicht mehr in rein mit deinem 14 Stelligen PWD. Er geht davon aus das er n Keylogger auf der Platte hat. Wie finden wir jetzt raus ob einer drauf ist und wenn, an wen er sendet...??? Sein Antivirenprogramm (Kasperky) erkennt nichts... war jetzt plötzlich aber auch defekt. Alles innerhalb des Zeitraumes, wo er auch nicht mehr nach ICQ kam. Da ich total der NOOB in sowas bin würde ich mich richtig freuen wenn ihr mir da weiter helfen könntet. Ich weiß nicht wo ich sonst fragen könnte... THX im Vorraus

30.06.08, 15:17	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	HiJackThis sollte eigentlich evtl. laufende Keylogger offenbaren können und mit Programmen wie Wireshark sollte man rausbekommen können wohin Daten gesendet werden. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

30.06.08, 15:37	#5 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	HiJackThis listet alle Prozesse im System auf und im Normalfall auch die versteckten. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

30.06.08, 16:15	#7 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Es gibt auch hier im Board einen Sammelthread für HiJackThis-Logs, wo dir Leute bei der Auswertung helfen können. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

17.07.08, 22:21	#9 (permalink)
Machine Registriert seit: 14.06.07 Likes: 0	Genau.. und das System aktualisiert keine Dateien... also wirst du zu 100% das Logfile so finden. Richtig gute Keylogger, also 99% aller Keylogger, benennen das Logfile auch mit sehr cryptischen Namen wie "hook.txt" oder "log.txt" Ganz ehrlich, deine Methode ist ziemlich bescheuert. Sorry, ist einfach so. Da ist es noch praktischer im Taskmanager nach einem unbekannten Prozess zu suchen oder, wie hier schon erwähnt, HijackThis zu nutzen. Ich frage mich sowieso, warum du einen Thread wiederbelebst, der eigentlich geklärt ist... Edit: Sorry, vergessen zu sagen: ich tippe mal wieder auf "Ferien"... __________________ Kostenloses Lifestyle Artikelverzeichnis Mein internationales, kostenloses Artikelverzeichnis

30.06.08, 15:24	#3 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	wobei man bei "gehackten" email-konten möglicherweise selber einen guten beitrag dazu geleistet hat. ich spiele hier auf die passwort vergessen funktion an. oft haben leute dort zu einfache fragen oder vorhersehbare antworten eingestellt. über diesen weg kann man dann auch leicht zugang erhalten

30.06.08, 15:33	#4 (permalink)
jeireff Themenstarter Registriert seit: 25.06.08 Likes: 0	Danke Danke, ihr seit echt schnell.... aber kann das sein das sich HijackThis nur mit Browser übernahmen beschäftigt? Wär cool noch was zu kennen das "normale" Keylogger entlarft... Aber ich werde aufjeden fall mal ausprobieren was ihr mir geraten habt... THX

30.06.08, 16:11	#6 (permalink)
jeireff Themenstarter Registriert seit: 25.06.08 Likes: 0	Jo ich hab mir das mal angesehen hier @work. Ein sehr nettes tool, und dazu gibt es ja sogar ein Auswertungstool unter: http://www.hijackthis.de/de Ich denke das wird mir helfen... Wenn nicht melde ich mich hier noch einmal.... DANKE AN ALLE!!!!!!

17.07.08, 22:00	#8 (permalink)
spike2558 Registriert seit: 17.07.08 Likes: 0	hallo... was machen 99% aller keylogger - in eine Datei schreiben und das normalerweise nach jedem Tastenanschlag. Wie wird man folglich schnell herausfinden ob man einen am laufen hat? hm... ;p einfache Dateisuche nach * (optional eingrenzen mit 1 Tag alt) und zwar ordnen nach "geändert am" und eine der ersten einträge sollte dann das fragliche immer größerwerdende logfile sein. hth lg edit: ich muss hoffentlich nicht dazusagen, dass man versteckte und systemdateien einblenden sollte ;P

17.07.08, 22:21	#10 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Usermode... ja. Aber sowas ist doch auch langweilig. Wenns n Kernelmodekeylogger wirst du deine Probleme haben einen solchen aufzuspueren, da dieser bestimmt seine Files versteckt und da hast du im Usermode (es sei denn, der Autor war nicht soo helle) keine Chance.

18.07.08, 00:41	#12 (permalink)
Eydeet Registriert seit: 14.04.06 Likes: 4	Als Möglichkeit, um die Dinger zu finden ist das natürlich eine Möglichkeit. Sicher finden wirst du Log-Dateien damit aber nicht. Erstens besteht wie schon angesprochen die Möglichkeit, solche Dateien durch Rootkits zu verstecken, und zweitens kann der Programmierer die Modification Time zurücksetzen. Und wieso sollte Cachen im Ram so abwegig sein? Damit verhindert man immerhin, dass die Festplatte beim Tippen dauernd anspringt (sicher, auch die hat Caches). Alternativ könnten die Logs natürlich auch ohne Umweg über die Platte direkt ins Internet geschickt werden.

18.07.08, 09:04	#13 (permalink)
edurne Registriert seit: 23.10.05 Likes: 2	Keylogger ist nicht die einzige Möglichkeit, das Passwort zu bekommen. Phishing ist eine besonders effektive Methode um an Passwörter von Email Konten zu gelangen. Grüße edurne

04.08.11, 22:35	#14 (permalink)
Keygen Registriert seit: 04.08.11 Likes: 0	Keylogger Hallo Jeder Keylogger startet beim Hochfahren ja mit Die BESTE Methode (ich verstehe bis heute nicht wieso man diese nicht benutzt) ist wen man im Windows Ordner auf die Regedit.exe klickt und dann unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run\" geht. Dort wird verzeichnet welche exe datein beim Hochfahren automatisch starten. Nicht jede Anwendung im Taskmanager starte gleich beim Hochfahren mit und viele werden erst durch andere exe datein gestarten... Es sind dort nur wenige Verzeichnet... dort steht deren Name, deren Speicherort und deren Beschreibung also zb Windowssafety. Google was es nicht gibt (oder keine wichtige exe ist) und meistens schon deren speicherort deckt keylogger auf... glaub mir dir wird sofort auffallen was nicht stimmen kann... Dann musste einfach auf den speicherort und sie löschen, voher noch in den Taskmanager sie schließen und schließlich dann noch den befehl zustarten im obrigen verzeichnis löschen schon bist du sie los!!!! Und das funktioinert weil nur so exe datein beim hofahren mit starten können weil sie sich nicht selber starten sonder gestarten werden von windows selber !!! Viel Erfolg

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Keylogger	edurne	Downloads	47	24.05.12 14:31
Keylogger	inso	(In)security allgemein	2	24.05.07 19:02
Keylogger	niedriger noob	Code Kitchen	11	06.12.01 23:28

[HaBo]

Keylogger??