Keylogger (Spybot werkt niet)

Status
Niet open voor verdere reacties.
N

Nightshade

Gebruiker
Lid geworden
9 jan 2002
Berichten
213
Ik heb 100% zeker een keylogger...(Noteert toetsen en stuur naar ander ip/pc)
Spybot vindt em niet...

Geen idee hoe ik er vanaf moet komen
Weet iemand een progje dat bijna alle keyloggers vind?
 
Download HijackThis (zorg ervoor dat je versie 1.96 hebt). Uitleg en link vind je hier: http://www.tomcoyote.org/hjt/
Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post.

Groetjes,
Bennie
 
Ohja die had ik al :)
Komt ie: (Kheb die keylogger nog niet eens een uur geleden gekregen :s)

Logfile of HijackThis v1.96.0
Scan saved at 22:50:36, on 13-8-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\bpk.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Jasper\Bureaublad\runescape.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Howies Quick Screen Capture\HQScreen.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\Jasper\LOCALS~1\Temp\Rar$EX00.593\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fok.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pagina.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.packardbell.nl/center
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\System32\bpkwb.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [bpk] C:\WINDOWS\System32\bpk.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Packard Bell (HKLM)
O9 - Extra button: Suggestions (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.fotovanmijnhuis.nl/plugins/huis48/nl/nl.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37808.2449305556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
 
C:\WINDOWS\System32\bpk.exe is de boosdoener:)

Laat Hijackthis de volgende items fixen:

O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\System32\bpkwb.dll
O4 - HKLM\..\Run: [bpk] C:\WINDOWS\System32\bpk.exe

Start PC daarna opnieuw op. Verifieer of bpk.exe echt weg is van je computer (staat dus in de map boven aangegeven).

Groetjes,
Bennie
 
ehm....ik heb dat gedaan
Maar als ik na start up weer check staat ie er weer.
Dat .exe kan ik handmatig verwijderen maar dat .dll bestand niet. (In de system32 map dus)

Hijack this zegt nog dat ik alle IE en gewone Eplorer windows moet sluiten en dat had ik. Daarna zei Hijack weer wat in rare tekentjes en werd de lijst geleegt.

Ik scande weer ent was weg. Maar na opstart weer terug.
 
Laat nogmaals een log zien.

Groetjes,
Bennie
 
ik heb ze net weer geprobeerd handmatig te deleten en weer alleen die .dll niet...
Nu heb ik net weer gescanned en nu staat het niet in de lijst!
Terwijl de Bpk bestanden er nog steeds allemaal staan....
 
zo ziet het er nu uit:

Logfile of HijackThis v1.96.0
Scan saved at 0:06:38, on 14-8-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\bpk.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Howies Quick Screen Capture\HQScreen.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Jasper\LOCALS~1\Temp\Rar$EX00.454\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fok.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pagina.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.packardbell.nl/center
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Packard Bell (HKLM)
O9 - Extra button: Suggestions (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.fotovanmijnhuis.nl/plugins/huis48/nl/nl.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37808.2449305556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab




En C:\Windows\System32
daar staan:
2× BPK.dat
1× Bpk.?? (Toepassing) gekleurdfotorolletje icoon
1× bpkhk.dll
1× Bpkr.?? (Toepassing)
1× Bpkwb.dll
 
Ja, die moet je verwijderen. Inclusief bpk.exe. Doe dat onder veilige modus.

Groetjes,
Bennie
 
Heel erg bedankt!
Het is inderdaad in veilige modus gelukt om dat ene bestand weg te krijgen.
Ik ben er nu van af :D

Bedankt :thumb:
 
Nightshade,

Start op in de veilige modus en verwijder dan deze bestanden:

apps.dat
bpk.bin
bpk.dat
bpk.exe
bsdhooks.dll
mc.dat
rinst.dat
rinst.exe
titles.dat
web.dll

Leeg je prullenbak daarna. Restart in normale modus. Probleem opgelost.
 
ff een randvraag, over keyloggers. Als ik het goed begrijp was deze een software keylogger. Indien (bvb op werk?) er een hardwarematige keylogger op je pc zou zitten, kan je dit dat ook zien met hijackthis? Of heeft een hardware keylogger geen soft nodig? Naar het schijnt verkoopt men nu zelfs toetsenborden waar zo een hardware logger in zit, en je dat als normale gebruiker aan de buitenkant niet kan zien...
 
Ik kan me niet voorstellen dat een hardware keylogger het zonder software zou kunnen doen. En ergens zal die info toch ook vastgelegd moeten worden (logbestand).

Groetjes,
Bennie
 
Geplaatst door Bennie
Ik kan me niet voorstellen dat een hardware keylogger het zonder software zou kunnen doen. En ergens zal die info toch ook vastgelegd moeten worden (logbestand).

Groetjes,
Bennie
Klik om te vergroten...

Persoonlijk dacht ik dat die dingen misschien een intern geheugen of zo hebben? Misschien te veel 007 gehalte :D
 
Geplaatst door saldos
Nightshade,

Start op in de veilige modus en verwijder dan deze bestanden:

apps.dat
bpk.bin
bpk.dat
bpk.exe
bsdhooks.dll
mc.dat
rinst.dat
rinst.exe
titles.dat
web.dll

Leeg je prullenbak daarna. Restart in normale modus. Probleem opgelost.
Klik om te vergroten...

Ik heb alleen de BPK bestanden gedelete.
Wat is de rest dan?
 
De rest hoort ook bij de keylogger.
Delete de rest ook indien je die dingen natuurlijke hebt.
 
Geplaatst door Bennie
Ik kan me niet voorstellen dat een hardware keylogger het zonder software zou kunnen doen. En ergens zal die info toch ook vastgelegd moeten worden (logbestand).

Groetjes,
Bennie
Klik om te vergroten...

Toch wel. Je kunt zo'n hardware keylogger tussen de aansluiting van je toetsenbord en computer plaatsen.
Er hoeft dus geen software op de PC geplaatst te worden.

Zo'n ding heeft inderdaad een eigen geheugen.

Zie hier :
http://www.keyghost.com/hardware_keylogger.htm

Auk
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan