Keylogger entdeckt

[Schurke]

Hi,

hab heute mal wireshark laufen gehabt als ich etwas bemerkte was mich relativ beunruhigt.

295	194.009282	192.168.2.195	209.63.57.4	FTP	Request: USER olverkhan.0catch.com

298	194.181319	192.168.2.195	209.63.57.4	FTP	Request: PASS *******

so... auf 0catch.com und mal geguckt was mein lieber olverkhan denn so drauf hat auf seinem host.

Chatlogs, jede menge chatogs von msn managern etc.

guut.. wissen wir ja schonmal was es ist, aber wie finde ich jetzt den zugehörigen prozess / service der die informationen sendet?


--- edit lightsaver ---
Passwort zensiert

--- edit Ich ---
Hättst drinne lassen können hab ich schon geändert auf dem host. will ja net das noch mehr rauf kommt :O

 

[lightsaver]

Du schreibst leider nicht, welches OS du benutzt, aber ich gehe mal von XP aus. Da sollte netstat dir helfen. Mit den Optionen kannst du ja mal rumspielen, aber -b sollte dir schon hinweise geben. Du könntest dir auch Tools von Sysinternals laden. TCPView sollte dir ganz gute Dienste leisten.

 

[Schurke]

netstat -b hab ich schon versucht, scheint keine exe sondern ein diesnt zu sein. Ja du liegst richtig XP, werde tcp view mal probieren, danke.

 

[lightsaver]

Mach doch mal einen Scan mit Hijackthis und poste den hier, vielleicht sieht man da ja was verdächtiges

 

[goflo]

Eine Alternative zu TCP-View wäre CurrPorts. Das gibt deutlich mehr Informationen her.

 

[Schurke]

schon gemacht, schön sauber ^^

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [nHancer] "D:\Programme\nHancer\nHancer.exe" /tray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6.5\ICQ.exe" silent
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35
617C2} - D:\Programme\ICQ6.5\ICQ.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - D:\Programme\nHancer\nHancerService.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

Hab auch mal über nen neustart geprüft ob er mit dme system direkt startet, tut er...

TaskView sagt istn System:0 dienst, CurrPorts meint Unknown

gefunden CurrPort hat bei einem was angezeigt ^^ --> C:\WINDOWS\system32\Sys32