Keylogger, echt weg?

Nog eens taakbeheer nakijken ?
Eventueel nog informatie verder opzoeken over het keylogger-programma (als je de naam ervan wist).
Nog eens opstarten in veilige modus en daar eventueel nog eens scannen.
Kijk ook zeker nog eens na wat er allemaal opstart bij het booten van Windows, de zaken die je dan
onvertrouwd voorkomen kun je dan nog verder onderzoeken.
Als laatste ding zit ik ook nog te denken aan een monitoring-programma (vb. Wireshark) die je nog
nadien (dus vanaf het moment dat je nu denkt dat het keylogger-programma weg is) zou kunnen
gebruiken om na te gaan wat er uiteindelijk verstuurt wordt vanaf je computer. Dus als nazicht/nacontrole.

Maar uit hetgeen je tot hier hebt aangegeven ziet dat er al goed uit, wat zou kunnen aangeven
dat de keylogger effectief is verwijderd.

Nee, genoemde scanners vinden lang niet alle aanwezig malware; ik heb vele malen malware gecleaned die niet eens gedetecteerd werden door S&D, Adaware en/of Housecall.

Draai voor de zekerheid b.v. een SUPER AntiSpyware en/of Malwarebytes' Anti-Malware en/of b.v. een antivirus-oplossing vanaf een BootCD ... staat vast wel iets over in de FAQ

De enige manier om echt zeker te zijn is een herinstallatie van het systeem met betrouwbare en up 2 date installatiemedia helaas. Wannee je alleen scanners gebruikt loop je altijd een risico dat de malware meer heeft geïnstalleerd / aangepast wat de scanner op dit moment nog niet detecteren.

[ Voor 41% gewijzigd door Bor op 02-03-2009 21:17 ]

Als het een exe is kun je proberen om hem online te scannen op bv jotti's malware scan: http://virusscan.jotti.org/

SUPERAntiSpyware zou ik er even overheen gooien, en dan ben ik er zelf wel zeker van.

Oh, en in safe mode is misschien beter.

[ Voor 20% gewijzigd door BastiaanCM op 02-03-2009 21:35 ]

Die "rood gestreepte dingen" gaan naar een server van Google.

Gebruik de aangedragen oplossingen als Malwarebytes Anti-Malware en SUPERAntiSpyware eens.
Vinden die niets, scan dan ook nog eens met a-squared Anti-Malware (dubbele scan engine!) en Prevx Edge.

Wanneer er dan nog niets wordt gevonden mag je wel aannemen dat er geen malware actief is.

Heeft de pc alleen een wifi connectie? Dat is wat je scanned met wireshark namelijk. Overigens zie ik weinig heil in de wireshark aanpak omdat je ten eerste moet weten waar je naar kijkt en het goed mogelijk is dat malware geen permanente connectie naar buiten onderhoud. Kun je niet gewoon naar het bestand zoeken omdat je aangeeft dat het een exe betreft?

Als je met zaken als paypall etc werkt zou ik mij toch gaan afvragen of je genoeg vertrouwen hebt in malware scanners of dat je het systeem uit voorzorg opnieuw gaat installeren en patchen. Je loopt nu onnodig risico's.

Installeer in ieder geval even het gratis programma KeyScrambler Personal op je pc, mocht er toch nog een keylogger op staan dan wordt alles wat je in IE en Firefox intypt gecodeerd verzonden..

Sorry voor het bumpen, maar KeyScrambler geeft maar deels veiligheid; het werkt dan wel tegen noob- en oude keyloggers, maar geavanceerde varianten omzeilen KeyScrambler na elke update ook steeds weer.
Net zoals met (andere) virussen en AV-oplossingen het geijkte actie & reactie ...

[ Voor 6% gewijzigd door SKiLLa op 06-03-2009 00:36 . Reden: iets andere formulerinG#$%^ ]

Misschien nog een nuttig tooltje ter controle van je PC: 'Combofix'

Even realistisch: je weet nooit 100% zeker of de keylogger daadwerkelijk voor 100% is verwijdert. Hiervoor zul je toch echt een herinstallatie moeten doen. Het kan altijd zijn dat hij niet wordt opgepakt door een virus scanner, het kan ook zijn dat het je hardware virtualiseert en daarom niet door virus scanners gescant wordt. Voor 100% zeker ben je nooit. Zelfs met een herinstallatie kan het zijn dat er ergens iets naar binnen glipt. Voor de zekerheid zou ik toch een herinstallatie overwegen, creditcard gegevens bijvoorbeeld zijn nou niet iets wat je graag prijsgeeft.

Een halfjaar terug moest ik een keylogger implementeren om de gescande gegevens van een barcode scanner af te vangen. Ik heb toen iets geschreven wat rechtstreeks inhaakte op een aantal Windows DLL's. Omdat ik ook wel benieuwd was of virusscanners dit toe lieten heb ik er een aantal op los gelaten. Geen 1 van de scanners haalde mijn executable eruit als potentieel gevaarlijk. Voor zo ver mijn vertrouwen in virus scanners. Ik voel me op Linux/BSD toch een stukje veiliger.

Anoniem: 289377 schreef op vrijdag 06 maart 2009 @ 03:13:
Voor zo ver mijn vertrouwen in virus scanners. Ik voel me op Linux/BSD toch een stukje veiliger.

Stuur ik jou toch even een keylogger voor Linux of BSD? Tot zo ver jouw vertrouwen in Linux/BSD.

IMHO beetje kortzichtig dus om op basis van 1 zo'n voorbeeld je vertrouwen in virusscanners op te zeggen.

Als iemand een gerichte aanval doet op een bepaald persoon en daarvoor specialistische software gebruikt dan is de kans erg klein dat een virusscanner zoiets kan herkennen. Al heb je wel virusscanners met heuristieke analysatie technieken die zoiets wel eruit kunnen pakken. Een paar virusscanners testen is niet echt een goede test om gelijk alle virusscanners af te schrijven.

Je moet ook nog zoiets op de PC krijgen van iemand zonder dat diegene het merkt. Als jouw tooltje wil inhaken op specifieke systeem DLL's dan zal jouw tool daarvoor admin rechten nodig hebben. Stel je stuurt mij een mailtje met als tekst: Check mijn vakantiefoto's en een attachment "Vette fotos.jpg.exe" en dat ding vraagt ineens om admin rechten dan gaan bij mij toch de alarmbellen af. Plus dat programma's als Outlook en WLM het doorsturen van executables niet eens toestaat (al is dat eenvoudig te overkomen maar toch).

Dan kom je weer terug op het vraagstuk hoe slim is de gebruiker. Als je even het aantal gele briefjes met wachtwoord aan de monitor gaat tellen dan zie je dat de gemiddelde gebruiker niet zo slim is.

De personen die PC's inzetten als zombieboxen richten zich ook helemaal niet op die handvol slimme gebruikers die op het internet zitten, ze richten zich op de enorm grote groep gebruikers die lekker browsen met IE6, hun PC nooit updaten, geen firewall en virusscanner hebben etc. Zo lang die groep groot blijft hoeft degene met iets meer verstand zich nog niet zo'n zorgen te maken.

@TS:

Doe een herinstallatie vanaf de officiele Windows DVD en installeer dan alleen nog programma's van vertrouwde bronnen. Dat is de enige manier om een beetje zekerheid te krijgen hierover.

Occy74 schreef op woensdag 04 maart 2009 @ 22:09:
Installeer in ieder geval even het gratis programma KeyScrambler Personal op je pc, mocht er toch nog een keylogger op staan dan wordt alles wat je in IE en Firefox intypt gecodeerd verzonden..

In hoeverre werkt zo iets gezien de meeste keyloggers de ingetypte toetsen op een erg laag niveau onderscheppen. Gezien de tool alleen werkt in een browser heb ik sterk mijn twijfels bij de werking van deze tool. Als je de toetsinvoer met een tool kunt scramblen kun je als keylogger hier natuurlijk ook voor gaan zitten.