PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Keylogger im System?


Gast
2010-08-13, 03:56:33
Hallo liebe Forenmember,

ich habe eine Frage bzgl. Keyloggern. Ich habe heute mal einige Programme durchlaufen lassen, um nach möglicher Malware auf meinem Notebook zu suchen. (Anti-Malware,Avast,Spybot,Gmer,HiJackThis und KL-Detector).

Anti Malware hat 2 infizierte Dateien gefunden, wobei diese sich als falscher Alarm herausstellten. Avast und Spybot Suche verlief unauffällig, der Log von Gmer und HijackThis soweit ich das als Laie beurteilen kann.

Durch KL-Detector ist mir dann aufgefallen, dass wenn ich WorldofWarcraft starte im Verzeichnis User/AppData/Local/Temp eine .bmp-Datei angelegt wird, die meinen Usernamen trägt. Wenn ich im Login-Fenster von WoW das "Passwort" eingebe (Ich hab natürlich nicht mein wirkliches eingegeben), wird die .bmp geändert.

So, nun endlich meine Frage: Können Keylogger die Informationen irgendwie in bitmap-dateien speichern bzw. ist dies üblich oder liegt hier ein normaler Prozess vor?

Ich hoffe auf eure Hilfe. Vielen Dank an Euch.

ein unsicherer Gast

Gast
2010-08-13, 04:23:06
Habs jetzt nochmal probiert und KL-Detector zeichnet nichts mehr auf. Das oben beschriebene interessiert mich aber weiterhin, zumal ich es 4-5 mal überprüft habe, um sicherzugehen, dass die Änderung immer dann stattfindet, wenn ich etwas ins Passwortfeld eintippe.

Lokadamus
2010-08-13, 06:38:51
mmm...

Scheint so, als ob du einen Keylogger drauf hast.
http://forums.wow-europe.com/thread.html?topicId=14332784956&sid=3

Lad dir mal die http://www.free-av.com/de/produkte/12/avira_antivir_rescue_system.html runter und guck, ob du damit was findest. Das ist eine LiveCD, die dein ganzes System durchscannen kann.

Gast
2010-08-13, 20:28:45
Hallo liebe Forenmember,

ich habe eine Frage bzgl. Keyloggern. Ich habe heute mal einige Programme durchlaufen lassen, um nach möglicher Malware auf meinem Notebook zu suchen. (Anti-Malware,Avast,Spybot,Gmer,HiJackThis und KL-Detector).

Anti Malware hat 2 infizierte Dateien gefunden, wobei diese sich als falscher Alarm herausstellten. Avast und Spybot Suche verlief unauffällig, der Log von Gmer und HijackThis soweit ich das als Laie beurteilen kann.

Durch KL-Detector ist mir dann aufgefallen, dass wenn ich WorldofWarcraft starte im Verzeichnis User/AppData/Local/Temp eine .bmp-Datei angelegt wird, die meinen Usernamen trägt. Wenn ich im Login-Fenster von WoW das "Passwort" eingebe (Ich hab natürlich nicht mein wirkliches eingegeben), wird die .bmp geändert.

So, nun endlich meine Frage: Können Keylogger die Informationen irgendwie in bitmap-dateien speichern bzw. ist dies üblich oder liegt hier ein normaler Prozess vor?

Ich hoffe auf eure Hilfe. Vielen Dank an Euch.

ein unsicherer Gast
Du hast nicht zufällig eine vermeintliche WoW mail oder blizzard mail geöffnet?
Ich bekomme zirka 2-3 am tag...

HeldImZelt
2010-08-13, 20:41:54
Schau dir die Datei mit einem Hexeditor an. BMP haben eindeutige 'signature bytes' im Header. 'BM6' und 'BM8' glaube ich.
http://www.abload.de/img/bm8x1xq.png

Nagel die Datei mit NTFS Rechten fest, bzw. entziehe alle Rechte oder falls der Dateiname immer gleich ist, erstelle einen Ordner mit diesem Namen. Mit etwas Glück bekommst du eine Fehlermeldung und weitere Anhaltspunkte auf den Urheber.

Weiter analysieren könnte man vielleicht mit 'Process Explorer' oder 'Process Monitor'.

Gast
2010-08-13, 21:32:37
Hallo,

danke für die Tips. Nein, über eine FakeMail habe ich mir den Trojaner definitiv nicht eingefangen,da bin ich vorsichtig. Habe auch in den letzten Monaten nichts von "Blizzard" bekommen.

Ich werd mal den Ratschlag von HeldImZelt befolgen und gucken, ob ich weiteres rausfinden kann.

viele Grüße

unsicherer Gast

Gast
2010-08-13, 21:55:57
Ich habe nebenbei nochmal Kaspersky2010 suchen lassen und einen Trojaner aus der der Gruppe Java/Agent gefunden. Die Änderungen an dem Bild finden, wie beschrieben auch nicht mehr statt.

Beim öffnen von wow.exe zeigt mir der KL-Detector nurnoch 2 Datei-Aktivitäten an:

C:\Users\MRHYDE~1\AppData\Local\Temp\~DF3D9D.tmp
C:\World of Warcraft\Logs\SESound.log

Die Veränderung von SESound.log ist beim Start normal. Was die temporäre Datei angeht, weiß ich das leider nicht.

Vielleicht könnte jemand, der selber WoW besitzt, mal testen, was bei ihm geschieht, wenn er die .exe startet.

Den KL-Detector gibt es hier: http://www.pcfreunde.de/download/d15215/kl-detector/

So, ich werd nochmal bisschen mit gmer rumspielen. Vielen Dank an Euch.

Unsicherer Gast

HeldImZelt
2010-08-13, 22:18:25
Ich würde die Viren nicht sofort löschen. Lade sie vorher besser nochmal auf einen Onlinescanner [1] (http://virusscan.jotti.org/de)[2] (http://www.virustotal.com/de/) mit verschiedenen Scanengines. Vielleicht kannst du via Suchmaschine auch in Erfahrung bringen, was der Virus genau macht. Kenne deinen Feind.

Wenn es tatsächlich ein Keylogger war, hat er seinen Zweck wahrscheinlich längst erfüllt und alles brav nach Hause telefoniert. Auch eine Art des "Farming", welch Ironie.

Spielst du auf offiziellen Servern?

Gast
2010-08-13, 22:40:46
Ja, ich spiele auf offiziellen Servern. Habe mich aber seit meinem Verdacht nicht mehr eingeloggt. Sofern das Arsenal von Blizzad einigermaßen regelmäßig aktualisiert wird, bisher auch kein anderer.
Ich werd das Passwort sobald wie möglich nochmal von nem anderen PC aus ändern.

Die "Kenne-Deinen-Feind"-Taktik hätte ich wirklich anwenden sollen, hat in dem Moment leider nicht dran gedacht. Beim nächsten Malwarebefall bin ich schlauer, danke ;-)

Zum Glück bin ich kein Online-Banker, das erspart mir jetzt etwas Stress.

viele Grüße

unsicherer Gast