Keylogger, echt weg?

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • BlueCola
  • Registratie: November 2006
  • Laatst online: 28-04 23:03
Hoi allemaal,

ik had laatst iets gedownload, waarvan ik wist dat het niet goed kon zijn. Ik eigenwijs en toch geopend. Adaware laten scannen, er bleek een keylogger op mijn PC te zitten. Keylogger met adaware verwijderd. Adaware nog een keer laten scannen, weg. Ik wil er 100% zeker van zijn dat de keylogger weg is. ( Het was een trojan, die volgens AdAware passworden verzamelde, keylogger dus? ).
Ik heb nu de volgende virusscanners laten scannen in deze volgorde :

Spybot Search & Destroy : Niks
Adaware : heeft een keylogger gevonden, succesvol verwijderd.
Adaware : Niks
Avast : Niks
Windows Defender : Niks
Avira : Niks
Housecall.trendmicro.com : Bezig

Kan ik er nu zeker van zijn dat de keylogger weg is? Want ik gebruik ook dingen zoals PayPal.

Alvast bedankt,
Marijn

And that's how one and one makes three.


Acties:
  • 0 Henk 'm!

  • RainerSGF
  • Registratie: Juli 2008
  • Laatst online: 29-03 10:07
Nog eens taakbeheer nakijken ?
Eventueel nog informatie verder opzoeken over het keylogger-programma (als je de naam ervan wist).
Nog eens opstarten in veilige modus en daar eventueel nog eens scannen.
Kijk ook zeker nog eens na wat er allemaal opstart bij het booten van Windows, de zaken die je dan
onvertrouwd voorkomen kun je dan nog verder onderzoeken.
Als laatste ding zit ik ook nog te denken aan een monitoring-programma (vb. Wireshark) die je nog
nadien (dus vanaf het moment dat je nu denkt dat het keylogger-programma weg is) zou kunnen
gebruiken om na te gaan wat er uiteindelijk verstuurt wordt vanaf je computer. Dus als nazicht/nacontrole.

Maar uit hetgeen je tot hier hebt aangegeven ziet dat er al goed uit, wat zou kunnen aangeven
dat de keylogger effectief is verwijderd.

Systeem - I'm learning, I learn it from a book :)


Acties:
  • 0 Henk 'm!

  • SKiLLa
  • Registratie: Februari 2002
  • Niet online

SKiLLa

Byte or nibble a bit ?

Nee, genoemde scanners vinden lang niet alle aanwezig malware; ik heb vele malen malware gecleaned die niet eens gedetecteerd werden door S&D, Adaware en/of Housecall.

Draai voor de zekerheid b.v. een SUPER AntiSpyware en/of Malwarebytes' Anti-Malware en/of b.v. een antivirus-oplossing vanaf een BootCD ... staat vast wel iets over in de FAQ :)

'Political Correctness is fascism pretending to be good manners.' - George Carlin


Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 00:40

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

De enige manier om echt zeker te zijn is een herinstallatie van het systeem met betrouwbare en up 2 date installatiemedia helaas. Wannee je alleen scanners gebruikt loop je altijd een risico dat de malware meer heeft geïnstalleerd / aangepast wat de scanner op dit moment nog niet detecteren.

[ Voor 41% gewijzigd door Bor op 02-03-2009 21:17 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

  • BlueCola
  • Registratie: November 2006
  • Laatst online: 28-04 23:03
Als ik wireshark opstart loopt hij vast. Ik krijg een scherm of ik een rapport naar microsoft wil verzenden. WireShark werkt dus niet. Ik heb een verdacht procces en ook al google ik heel hard, ik kom er niet achter wat het is : s2AD.exe.
Iemand enig idee?

Er is dus echt geen andere mogelijkheid dan het opnieuw installeren van me PC? Om er zeker van te zijn dat ie weg is?

[ Voor 19% gewijzigd door BlueCola op 02-03-2009 21:24 ]

And that's how one and one makes three.


Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 00:40

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Als het een exe is kun je proberen om hem online te scannen op bv jotti's malware scan: http://virusscan.jotti.org/

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

  • BastiaanCM
  • Registratie: Juni 2008
  • Laatst online: 21:32
SUPERAntiSpyware zou ik er even overheen gooien, en dan ben ik er zelf wel zeker van.

Oh, en in safe mode is misschien beter.

[ Voor 20% gewijzigd door BastiaanCM op 02-03-2009 21:35 ]


Acties:
  • 0 Henk 'm!

  • BlueCola
  • Registratie: November 2006
  • Laatst online: 28-04 23:03
Bor de Wollef schreef op maandag 02 maart 2009 @ 21:30:
Als het een exe is kun je proberen om hem online te scannen op bv jotti's malware scan: http://virusscan.jotti.org/
En hoe kom ik er dan achter waar het bestand staat?

Wireshark werkt nu wel, alleen het scherm blijft leeg? Terwijl hij al 3 kwartier aanstaat. Ik heb hem wel gestart. Ik heb ook het interface gecheckt, dat klopt allemaal.

Na 1 uur werken nog steeds wit : http://www.imgdumper.nl/u...9ac4b3b5e891-naamloos.bmp


Het werkt nu. Hoe zie ik nu wat foute dingen zijn? Degene die rood gestreept zijn ( stuk of 20! )?
Print screen van de dingen die ik om de 10 sec. krijg : http://www.imgdumper.nl/u...ac4d29eb3c2-naamloos1.bmp

[ Voor 34% gewijzigd door BlueCola op 02-03-2009 22:15 ]

And that's how one and one makes three.


Acties:
  • 0 Henk 'm!

Anoniem: 194828

Die "rood gestreepte dingen" gaan naar een server van Google.

Gebruik de aangedragen oplossingen als Malwarebytes Anti-Malware en SUPERAntiSpyware eens.
Vinden die niets, scan dan ook nog eens met a-squared Anti-Malware (dubbele scan engine!) en Prevx Edge.

Wanneer er dan nog niets wordt gevonden mag je wel aannemen dat er geen malware actief is.

Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 00:40

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Heeft de pc alleen een wifi connectie? Dat is wat je scanned met wireshark namelijk. Overigens zie ik weinig heil in de wireshark aanpak omdat je ten eerste moet weten waar je naar kijkt en het goed mogelijk is dat malware geen permanente connectie naar buiten onderhoud. Kun je niet gewoon naar het bestand zoeken omdat je aangeeft dat het een exe betreft?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

  • BlueCola
  • Registratie: November 2006
  • Laatst online: 28-04 23:03
Ik scan nu eerst met de 4 proggramma's. Malmwarebytes heeft 2 trojanen eruitgehaald. Nu is er een andere bezig. Ik weet niet of het om een exe gaat. Het bestand s2AD.exe is alleen een verdacht progamma dat ik in me taaklijst zag staan. De keylogger komt wel uit een .exe die ik had geopent. Ik meld wel als ze allemaal klaar zijn met scannen.

And that's how one and one makes three.


Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 00:40

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Als je met zaken als paypall etc werkt zou ik mij toch gaan afvragen of je genoeg vertrouwen hebt in malware scanners of dat je het systeem uit voorzorg opnieuw gaat installeren en patchen. Je loopt nu onnodig risico's.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

  • Occy74
  • Registratie: September 2000
  • Laatst online: 01-05 16:04
Installeer in ieder geval even het gratis programma KeyScrambler Personal op je pc, mocht er toch nog een keylogger op staan dan wordt alles wat je in IE en Firefox intypt gecodeerd verzonden..

Systeem Specs


Acties:
  • 0 Henk 'm!

  • SKiLLa
  • Registratie: Februari 2002
  • Niet online

SKiLLa

Byte or nibble a bit ?

Sorry voor het bumpen, maar KeyScrambler geeft maar deels veiligheid; het werkt dan wel tegen noob- en oude keyloggers, maar geavanceerde varianten omzeilen KeyScrambler na elke update ook steeds weer.
Net zoals met (andere) virussen en AV-oplossingen het geijkte actie & reactie ...

[ Voor 6% gewijzigd door SKiLLa op 06-03-2009 00:36 . Reden: iets andere formulerinG#$%^ ]

'Political Correctness is fascism pretending to be good manners.' - George Carlin


Acties:
  • 0 Henk 'm!

  • RainerSGF
  • Registratie: Juli 2008
  • Laatst online: 29-03 10:07
Misschien nog een nuttig tooltje ter controle van je PC: 'Combofix'

Systeem - I'm learning, I learn it from a book :)


Acties:
  • 0 Henk 'm!

Anoniem: 289377

Even realistisch: je weet nooit 100% zeker of de keylogger daadwerkelijk voor 100% is verwijdert. Hiervoor zul je toch echt een herinstallatie moeten doen. Het kan altijd zijn dat hij niet wordt opgepakt door een virus scanner, het kan ook zijn dat het je hardware virtualiseert en daarom niet door virus scanners gescant wordt. Voor 100% zeker ben je nooit. Zelfs met een herinstallatie kan het zijn dat er ergens iets naar binnen glipt. Voor de zekerheid zou ik toch een herinstallatie overwegen, creditcard gegevens bijvoorbeeld zijn nou niet iets wat je graag prijsgeeft.

Een halfjaar terug moest ik een keylogger implementeren om de gescande gegevens van een barcode scanner af te vangen. Ik heb toen iets geschreven wat rechtstreeks inhaakte op een aantal Windows DLL's. Omdat ik ook wel benieuwd was of virusscanners dit toe lieten heb ik er een aantal op los gelaten. Geen 1 van de scanners haalde mijn executable eruit als potentieel gevaarlijk. Voor zo ver mijn vertrouwen in virus scanners. Ik voel me op Linux/BSD toch een stukje veiliger.

Acties:
  • 0 Henk 'm!

Anoniem: 178962

Anoniem: 289377 schreef op vrijdag 06 maart 2009 @ 03:13:
Voor zo ver mijn vertrouwen in virus scanners. Ik voel me op Linux/BSD toch een stukje veiliger.
Stuur ik jou toch even een keylogger voor Linux of BSD? Tot zo ver jouw vertrouwen in Linux/BSD.

IMHO beetje kortzichtig dus om op basis van 1 zo'n voorbeeld je vertrouwen in virusscanners op te zeggen.

Als iemand een gerichte aanval doet op een bepaald persoon en daarvoor specialistische software gebruikt dan is de kans erg klein dat een virusscanner zoiets kan herkennen. Al heb je wel virusscanners met heuristieke analysatie technieken die zoiets wel eruit kunnen pakken. Een paar virusscanners testen is niet echt een goede test om gelijk alle virusscanners af te schrijven.

Je moet ook nog zoiets op de PC krijgen van iemand zonder dat diegene het merkt. Als jouw tooltje wil inhaken op specifieke systeem DLL's dan zal jouw tool daarvoor admin rechten nodig hebben. Stel je stuurt mij een mailtje met als tekst: Check mijn vakantiefoto's en een attachment "Vette fotos.jpg.exe" en dat ding vraagt ineens om admin rechten dan gaan bij mij toch de alarmbellen af. Plus dat programma's als Outlook en WLM het doorsturen van executables niet eens toestaat (al is dat eenvoudig te overkomen maar toch).

Dan kom je weer terug op het vraagstuk hoe slim is de gebruiker. Als je even het aantal gele briefjes met wachtwoord aan de monitor gaat tellen dan zie je dat de gemiddelde gebruiker niet zo slim is.

De personen die PC's inzetten als zombieboxen richten zich ook helemaal niet op die handvol slimme gebruikers die op het internet zitten, ze richten zich op de enorm grote groep gebruikers die lekker browsen met IE6, hun PC nooit updaten, geen firewall en virusscanner hebben etc. Zo lang die groep groot blijft hoeft degene met iets meer verstand zich nog niet zo'n zorgen te maken.

@TS:

Doe een herinstallatie vanaf de officiele Windows DVD en installeer dan alleen nog programma's van vertrouwde bronnen. Dat is de enige manier om een beetje zekerheid te krijgen hierover.

Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 00:40

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Occy74 schreef op woensdag 04 maart 2009 @ 22:09:
Installeer in ieder geval even het gratis programma KeyScrambler Personal op je pc, mocht er toch nog een keylogger op staan dan wordt alles wat je in IE en Firefox intypt gecodeerd verzonden..
In hoeverre werkt zo iets gezien de meeste keyloggers de ingetypte toetsen op een erg laag niveau onderscheppen. Gezien de tool alleen werkt in een browser heb ik sterk mijn twijfels bij de werking van deze tool. Als je de toetsinvoer met een tool kunt scramblen kun je als keylogger hier natuurlijk ook voor gaan zitten.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

Pagina: 1