Keylogger die schrijft naar poker.txt - Privacy en beveiliging

woensdag 3 mei 2006 18:43

Acties:

Topicstarter

Hoi mensen,

Sinds eergisteren viel het me op dat mijn HD rammelde als ik wat typte. Dus FileMon gedraait en wat blijkt:
elke toetsen aanslag schrijft het proces Explorer.exe iets weg naar:
"local settings/temp/poker.txt" elke toetsaanslag.

Ik heb toevallig wel poker software draaien maar geen ervan staat bekend om Keylog praktijken.
Ondertussen ben ik Trend Micro officescan aan het draaien en Kerio Firewall.

Hoe kan ik achterhalen wat dit precies is? Op Google niks te vinden over een keylogger die poker.txt wegschrijft.

HijackThis:

code:

Logfile of HijackThis v1.99.1
Scan saved at 18:42:38, on 03-05-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\VWDAB4.EXE
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Trend Micro\OfficeScan Client\Pop3Trap.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccnt.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Joris\LOCALS~1\Temp\Rar$EX00.907\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobiele favorieten maken - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Absolute Poker - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Start Menu\Programs\Absolute Poker\Absolute Poker.lnk
O9 - Extra 'Tools' menuitem: Absolute Poker - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Start Menu\Programs\Absolute Poker\Absolute Poker.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://server:4343/officescan/console/html/AtxEnc.cab
O16 - DPF: {8990AFAD-D352-42AC-A72F-A660BBF6E209} (OfficeScan Management Console) - https://server:4343/officescan/console/html/AtxConsole.cab
O18 - Protocol: bw+0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: offline-8876480 - {E6F587B1-39FF-4A4C-8364-7D5A7B70787C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

Ik zie er niks vreemds tussen. Hoe kan ik achter halen welk programma precies naar poker.txt schrijft?

woensdag 3 mei 2006 18:44

Acties:

SeatRider

Hips don't lie

Filemon van Sysinternals er op zetten?

Nederlands is makkelijker als je denkt

woensdag 3 mei 2006 18:47

Acties:

Frankie02

Machtig wat wordt daar een hoop troep geladen....

Ik zou een grondigge virusscan (eventueel een online-virusscan) doen en adware programma's draaien.

woensdag 3 mei 2006 18:48

Acties:

Rone

Moderator Tweaking

SeatRider schreef op woensdag 03 mei 2006 @ 18:44:
Filemon van Sysinternals er op zetten?

Dat heeft hij gedaan, zoals hij in de eerste alinea vermeldde...

PC1: 9800X3D + RX 9070 XT || PC2: 5800X3D + RTX 3080 || Laptop: 7735HS + RTX 4060

woensdag 3 mei 2006 18:49

Acties:

Verwijderd

SeatRider schreef op woensdag 03 mei 2006 @ 18:44:
Filemon van Sysinternals er op zetten?

FileMon gedraait en wat blijkt:
elke toetsen aanslag schrijft het proces Explorer.exe iets weg naar:
"local settings/temp/poker.txt" elke toetsaanslag.

Lijkt me al gedaan.

woensdag 3 mei 2006 18:58

Acties:

trekker22

Topicstarter

Ik heb FileMon juist gebruikt om het te controleren. En die geeft aan dat Explorer.exe naar het bestand schrijft. Dus virus/keylogger zal wel Explorer.exe gebruiken om bestanden te schrijven.

In die log van HijackThis staan vooral items van Logitech Desktop Messenger. Deze heb ik al verwijderd (programma ook), verder zie ik niet veel speciaals staan.

Trend Micro kon niks vinden. Ben nu HitmanPro aan het draaien.

Vind het zo raar dat er niks over poker.txt in combinatie met keyloggers is te vinden. Zeker omdat poker.txt niet zomaar een willekeurige naam is....

woensdag 3 mei 2006 19:01

Acties:

Alex)

Kijk eens naar de inhoud van dat poker.txt, misschien herken je de eerste opgeslagen records en weet je wat je toen hebt gedaan...

We are shaping the future

woensdag 3 mei 2006 19:07

Acties:

Noork

Haal je log eens hier doorheen: http://www.hijackthis.de

Wat is dit: C:\WINDOWS\TEMP\VWDAB4.EXE ?

[ Voor 29% gewijzigd door Noork op 03-05-2006 19:08 ]

woensdag 3 mei 2006 19:10

Acties:

trekker22

Topicstarter

De inhoud geef dan dat ik wat heb zitten surfen. De keylogs en steeds de title van het actieve window.

hier een voorbeeldje van de log:

code:

*****************************************
about:blank - Microsoft Internet Explorer
*****************************************

cint [Backspace][Right Shift]() asp[Enter]

**************************************************************************************
Macromedia HomeSite 5 - [C:\Inetpub\wwwroot\pluijm\www\admin\news\add_news_record.asp]
**************************************************************************************

[Right Shift]C[Right Shift]Inmt[Backspace][Backspace]t[Right Shift]([Num 1][Right Shift])[Ctrl][Backspace]3[Num 2][Num 2][Num 2][Num 2][Num 2][Num 2][Num 2][Num 2][Num 6][Right Shift]CInt[Right Shift][Right Shift][Right Shift][Right Shift][Right Shift]([Num 1][Right Shift])[Ctrl][Alt][Tab]

****************************************************
VBScript CInt Function - Microsoft Internet Explorer
****************************************************

[Alt][Tab][Tab]

**********************************************************
The page cannot be displayed - Microsoft Internet Explorer
**********************************************************

[F5][Alt][Tab]

****************************************************
VBScript CInt Function - Microsoft Internet Explorer
****************************************************

[Alt][Tab][Tab][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Alt][Tab]

woensdag 3 mei 2006 19:12

Acties:

trekker22

Topicstarter

Noork schreef op woensdag 03 mei 2006 @ 19:07:
Haal je log eens hier doorheen: http://www.hijackthis.de

Wat is dit: C:\WINDOWS\TEMP\VWDAB4.EXE ?

De laatste bestand is van de Trend Micro Office Scan. Die maakt altijd een kopie van zijn eigen programma naar een temp map om er voor te zorgen dat dat de de virusscanner zelf niet verwijderd kan worden.

woensdag 3 mei 2006 19:14

Acties:

SeatRider

Hips don't lie

r00n schreef op woensdag 03 mei 2006 @ 18:48:
[...]

Dat heeft hij gedaan, zoals hij in de eerste alinea vermeldde...

Damn, of je leest de TS eerst even!

Nederlands is makkelijker als je denkt

woensdag 3 mei 2006 19:16

Acties:

JJ Le Funk

:twk

Frankie02 schreef op woensdag 03 mei 2006 @ 18:47:
... en adware programma's draaien.

Adware draait er al genoeg?

[on topic] Tip: Avast heeft een gratis virusscanner mocht je verlegen zitten om een legale recente scanner.

d:)b :henk d:)b

woensdag 3 mei 2006 19:24

Acties:

MAX3400

XBL: OctagonQontrol

Ik kwam op http://forums.spywareinfo...ion/index.php/t59309.html terecht...

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 3 mei 2006 19:27

Acties:

Rone

Moderator Tweaking

SeatRider schreef op woensdag 03 mei 2006 @ 19:14:
[...]
Damn, of je leest de TS eerst even!

offtopic:
Je hebt het over jezelf neem ik aan? Zo lijkt het net alsof je mij daarvan beschuldigd...

PC1: 9800X3D + RX 9070 XT || PC2: 5800X3D + RTX 3080 || Laptop: 7735HS + RTX 4060

woensdag 3 mei 2006 19:42

Acties:

Martijnc

De analyser van hijackthis.de is niet erg betrouwbaar.

Je kan eens proberen Ewido security suite te draaien.

woensdag 3 mei 2006 19:49

Acties:

trekker22

Topicstarter

Help, ook HitmanPro heeft niks gevonden.

Ik zal die Suite eens proberen!

Andere ideen?

woensdag 3 mei 2006 19:53

Acties:

Martijnc

Je kan die poker programma' s eens deinstaleren, en kijken of het dan weg is. Als het blijft kan je die altijd terug instaleren

woensdag 3 mei 2006 20:31

Acties:

explorer007

Als ik de TS was zou ik http://www.sysinternals.com/Utilities/ProcessExplorer.html eens proberen.
en kijken wat explorer.exe allemaal uitspoot.

ps. prog is gratis en klein

donderdag 4 mei 2006 18:47

Acties:

trekker22

Topicstarter

Programma gebruikt en explorer.exe laat niks vreemds zien volgens mij:

Afbeeldingslocatie: http://www.detrekkers.com/explorer.jpg

Alle poker programma's ge deinstalleerd. Geen resultaat.

Dit wordt toch te gek, ik heb nog nooit spyware gehad waarover op internet niks is te vinden en waar ik zelf geen oplossing voor kan vinden.

Ideen nog?

donderdag 4 mei 2006 18:59

Acties:

Kanarie

תֹ֙הוּ֙ וָבֹ֔הוּ

trekker22 schreef op donderdag 04 mei 2006 @ 18:47:
Programma gebruikt en explorer.exe laat niks vreemds zien volgens mij:

[afbeelding]

Alle poker programma's ge deinstalleerd. Geen resultaat.

Dit wordt toch te gek, ik heb nog nooit spyware gehad waarover op internet niks is te vinden en waar ik zelf geen oplossing voor kan vinden.

Ideen nog?

In het geval dat je programma's hebt geinstalleerd waar echt geld te verdienen valt:
Online casino's zijn bang voor bots die spelen en hierdoor geld verdienen op spellen als blackjack.
Is het geen mogelijkheid dat 1 van je programma's een soort van detectieprogramma hiervoor geinstalleerd heeft? Check de license agreements van deze programma's eens.

[ Voor 8% gewijzigd door Kanarie op 04-05-2006 19:00 ]

We're trapped in the belly of this horrible machine. And the machine is bleeding to death.

donderdag 4 mei 2006 19:05

Acties:

trekker22

Topicstarter

Ja dat fenomeen ken ik en ik heb ook software voor real money. Maar zover ik weet gebruiken die geen keyloggers:

Absolute Poker
Pacific Poker
PartyPoker

Kan een proces zich zo verborgen houden?

donderdag 4 mei 2006 19:12

Acties:

Kanarie

תֹ֙הוּ֙ וָבֹ֔הוּ

trekker22 schreef op donderdag 04 mei 2006 @ 19:05:
Ja dat fenomeen ken ik en ik heb ook software voor real money. Maar zover ik weet gebruiken die geen keyloggers:

Absolute Poker
Pacific Poker
PartyPoker

Kan een proces zich zo verborgen houden?

Ik heb geen ervaring met de 'anti-cheat' programma's van online casino's, maar als er detectiesoftware ingebouwd is zal dit in de license agreement moeten staan.
Absolute Poker maakt op haar website melding van het volgende:

Absolute Poker has state-of-the-art algorithms and software in place to immediately identify any fraudulent or unscrupulous activities.

We're trapped in the belly of this horrible machine. And the machine is bleeding to death.

donderdag 4 mei 2006 19:22

Acties:

Martijnc

Mischien kan je eens een SilentRunners logje proberen, mischien staat daar wat in.
http://www.silentrunners.org/

donderdag 4 mei 2006 19:59

Acties:

trekker22

Topicstarter

Martijncr schreef op donderdag 04 mei 2006 @ 19:22:
Mischien kan je eens een SilentRunners logje proberen, mischien staat daar wat in.
http://www.silentrunners.org/

Mijn dank is groot!

programma vond dit:
{E4DD8FB0-C0CB-7080-2183-47963F866D97}\(Default) = (no title provided)
\StubPath = "C:\DOCUME~1\Joris\LOCALS~1\Temp\iexplorer.exe -A" [null data]

In dezelfde folder alswaar poker.txt stond en precies dezelfde creatie data/tijd als poker.txt

Nu nog ff het programma zien te verwijderen!

Dank!

EDIT
programma verwijderd, heerlijk mijn HD rammelt niet meer en computer is weer veilig voor gebruik!

[ Voor 10% gewijzigd door trekker22 op 04-05-2006 20:09 ]

donderdag 4 mei 2006 21:21

Acties:

Alex)

Weet je dat wel zeker? Draaien er geen backdoors etcetera?

We are shaping the future

Pagina: 1

Reageer