zteb4543

Frage zu Keylogger Erkennung

Recommended Posts

Hallo,

 

die Keylogger-Erkennung von Emsisoft Antimalware meldet für gängige Editoren (z.B. Notepad++) und andere Tools Keyloggerverhalten, wenn ich mit copy-paste Text in den Editor kopiere.

 

Warum ist das so? Ist das normal? Wenn ich das "Keyloggerverhalten" blockiere, kann ich copy-paste nicht nutzen.

 

Bin für Erklärungen dankbar.

 

M

Share this post


Link to post
Share on other sites

Hallo,

 

ich habe einmal Notepad++ in den Standardeinstellungen installiert und kann das Verhalten mit Emsisoft Anti-Malware Keyloggermeldungen bei copy & paste hier nicht reproduzieren.

 

Bitte einmal Emsisoft Anti-Malware öffnen, links im Menü auf Protokoll gehen und zum Karteireiter Verhaltensanalyse wechseln. Hier bitte das Log exportieren und die Datei auf Ihrem Rechner abspeichern. Die Logdatei bitte an das Forumsthema anhängen. Der Datei anhängen Dialog kann unten rechts über den Schalter More Reply Options erreicht werden.

Share this post


Link to post
Share on other sites

Hallo.

 

Danke für die schnelle Antwort. Im Protokoll ist dazu kein Eintrag vermerkt. Hab' den Eintrag unter Keyloggers gerade nochmal entfernt und nochmal probiert. Siehe unten.

 

Gruß,

M

 

Emsisoft Anti-Malware - Version 8.1
Verhaltensanalyse Protokoll

Datum    PID    Ursprung    Vorgang    Fund
24.03.2014 17:06:32    788    C:\Users\xxxxx\AppData\Local\Temp\MSI5838.tmp    Von Benutzer terminiert    Behavior.CodeInjector
14.03.2014 18:21:27    3808    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.Spyware
14.03.2014 18:21:27    3808    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.TrojanDownloader
14.03.2014 18:21:26    3808    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.NewProcess
14.03.2014 18:21:07    3444    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.Spyware
14.03.2014 18:21:07    3444    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.TrojanDownloader
14.03.2014 18:21:07    3444    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.NewProcess
14.03.2014 18:20:53    3580    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.Spyware
14.03.2014 18:20:53    3580    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.TrojanDownloader
14.03.2014 18:20:53    3580    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.NewProcess
14.03.2014 18:20:11    2308    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.Spyware
14.03.2014 18:20:11    2308    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.TrojanDownloader
14.03.2014 18:20:10    2308    C:\Unified_Android_ToolKit\tools\curl.exe    Von Regel erlaubt    Behavior.NewProcess
14.03.2014 18:16:51    2240    C:\Unified_Android_ToolKit\tools\curl.exe    Von Benutzer erlaubt    Behavior.Spyware
14.03.2014 18:16:45    2240    C:\Unified_Android_ToolKit\tools\curl.exe    Von Benutzer erlaubt    Behavior.TrojanDownloader
14.03.2014 17:55:19    4004    C:\Users\xxxxx\AppData\Local\Temp\SAMSUNG\USB Drivers\Setup.exe    Von Regel erlaubt    Behavior.NewProcess
14.03.2014 17:52:41    3172    C:\Users\xxxxx\AppData\Local\Temp\SAMSUNG\USB Drivers\Setup.exe    Von Benutzer erlaubt    Behavior.AutorunCreation
 

Share this post


Link to post
Share on other sites

Hallo.

 

Nur um sicherzustellen, daß kein Mißverständnis entstanden ist. Ich bekomme weiterhin die Keylogger-Warnung, aber im Protokoll wird nichts dazu vermerkt.

 

Was kann ich tun, um das näher zu untersuchen? Warum wird das im Verhaltensanalyse-Protokoll nicht vermerkt?

 

Danke,

M

Share this post


Link to post
Share on other sites

Hallo,

 

kommen die Meldungen evtl. von Online Armor? Wenn Sie Online Armor nutzen bitte Online Armor öffnen und links im Menü auf Ereignisse gehen. Hier die Online Armor Historie exportieren und die Datei auf dem Rechner abspeichern. Die Datei dann hier mit an das Forumsthema anhängen. Der Datei anhängen Dialog kann unten rechts über den Schalter More Reply Options erreicht werden.

Share this post


Link to post
Share on other sites

Hallo,

 

ein Eintrag aus dem Online-Armor Log für Notepad++ ist z.B. folgender:

 

 Keylogger erkannt: notepad++.exe,25.03.2014 10:21:27,Verboten,C:\Program Files\Notepad++\notepad++.exe

 

Notepad++ war ja auch nur ein Beispiel. Auch bei copy-paste in ein Eclipse-Fenster hatte er das gemeldet und das ist der dazugehörige Eintrag:

 

Keylogger erkannt: org.eclipse.equinox.launcher_1.3.0.v20130327-1440.jar,25.03.2014 10:28:27,Erlaubt,C:\eclipse\plugins\org.eclipse.equinox.launcher_1.3.0.v20130327-1440.jar
 

Die Installationsdatei für Notepad++ stammte von hier: http://dl.cdn.chip.de/downloads/32286/npp.6.5.5.Installer.exe?1395668367-1395675867-72235b-B-751a83abb1852a83185737ad3b705b8b.exe

 

Danke,

M

Share this post


Link to post
Share on other sites

Hallo,

 

wenn die Meldungen von Online Armor kommen ist das normal da die Programme bei copy & paste Tastatureingaben emulieren und daher die Meldung von Online Armor kommt.

 

Sie können in Online Armor unter Keylogger und Programme die jeweilige ausführbare Datei, z.B. für Notepad++ die notepad++.exe auf Sicher stellen. Dazu den Eintrag mit der rechten Maustaste anklicken und Sicher auswählen.

 

Alternativ können Sie die kompeltten Programmordner der jeweiligen Porgramme (Notepad++ oder Eclipse) in Online Armor unter Einstellungen Karteireiter Ausnahmen zu den Ausnahmen hinzufügen.

Share this post


Link to post
Share on other sites

Hallo,

1) könnten diese Programme theoretisch sämtliche Tastaturevents / -eingaben sehen? Also neben der erlaubten C+P Funktionalität auch noch Paßworteingaben im Browser abfangen? Ist wohl bei den o.g. nicht unbedingt zu erwarten, aber ich versuche immer noch, die Meldung an sich zu verstehen und besser beurteilen zu können.

2) Sie hatten außerdem oben gesagt, daß Sie mit Notepad++ die Meldung nicht sehen. Sie haben also ohne Online Armor getestet?

Danke,

M

Share this post


Link to post
Share on other sites

Hallo,

 

zu 1. Theoretisch ist dies natürlich möglich. Aber wie schon von Ihnen bemerkt macht es keinen Sinn.

 

zu 2. Ja ich hatte ohne Online Armor getestet. Mit Online Armor bekomme ich die selben Meldungen wie Sie bei Notepad++ und Copy & Paste.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.