Som rubriken säger. Jag misstänker att det finns en keylogger på två av våra datorer här i butiken. Hur kan jag hitta dem? Väldigt vagt men texten flashade förbi skärmen i en fjärdedels sekund innan den försvann.

kolla om det sitter något fysiskt mellan tangentbord och dator, är det något installerat borde antivirusprogrammet hitta det, för ni har väl antivirus?

Vilket OS använder ni?

kolla om det sitter något fysiskt mellan tangentbord och dator, är det något installerat borde antivirusprogrammet hitta det, för ni har väl antivirus?
Will do.

Vilket OS använder ni?

Windows Xp.

Hittade inget mellan datorn och tangentbordet. Virusprogrammet borde upptäcka det men jag har viss anledning att misstänka att det kan ha blivit gömt av den som installerat det. Det kanske bara är min inbillning och nätta paranoia kring detta som får mig att tro det, men det är bäst att checka.

Nå, någon som är så bra på att koda så att denne kan gömma elack kod för ett antivirusprogram kan antagligen gömma det på ett sådant sätt att inte du heller har en chans att hitta det.

Har du kollat lamporna vid datorn så att ingen kamerautrustning finns där? Hål i väggen?

Jag och en polare installerade lite keyloggers på några av skolans datorer en gång. Oj vad lösenord och nytt skvaller vi kom över :D

Du kan kolla bland installerade program i kontrollpanelen, i aktivitetshanteraren men även under c:\program ifall det finns något installerat.

Nå, någon som är så bra på att koda så att denne kan gömma elack kod för ett antivirusprogram kan antagligen gömma det på ett sådant sätt att inte du heller har en chans att hitta det.
Troligen är det ju så. Ska kolla igenom de vanliga grejerna igen, som maaherra föreslog. Killen som jag kan tänka mig skulle ha gjort det, är för datorer vad jag är för wrestling, sas.

Har du kollat lamporna vid datorn så att ingen kamerautrustning finns där? Hål i väggen?

Ser inget sådant so far.

Kör någon onlinescanner också kanske? Beroende på vad för antivirus ni har.
http://www.kaspersky.com/virusscanner är ju helt ok.

Varför skulle antivirus programmet hitta alla keyloggers?
På min jobbdator så loggas allt.

Antivirusprogram hittar sällan keyloggers. Det är inga virus, utan kommersiella, legitima program.

Antivirusprogram hittar sällan keyloggers. Det är inga virus, utan kommersiella, legitima program.

Nu använder inte jag anti-virus men borde inte de flesta ha någon typ av igenkänning av misstänkt programvara?

Typ som denna som jag hittade med en snabb googling:
http://support.kaspersky.com/faq/?qid=200880205

Keyloggers processer kan man många gånger välja att gömma, liksom att antivirusprogrammet ska ignorera vissa filer/processer.

Keyloggers processer kan man många gånger välja att gömma, liksom att antivirusprogrammet ska ignorera vissa filer/processer.

Fast ett antivirusprogram är inte skrivet så att ett externtprogram bestämmer vad som ska kontrolleras. Skulle inte gå att skapa så säkra system då =).

Men det Grub. skriver är korrekt.

Nu använder inte jag anti-virus men borde inte de flesta ha någon typ av igenkänning av misstänkt programvara?

Det är HIPS.

http://en.wikipedia.org/wiki/Intrusion-prevention_system

Dom flesta keyloggers som är av någon användning är "Detectable"
Och även kommersiella program som t.ex "UltraVnc" upptäcks av antivirusprogram

Själva principen gör det ju väldigt enkelt att upptäcka program som avlyssnar I/O.

Fast ett antivirusprogram är inte skrivet så att ett externtprogram bestämmer vad som ska kontrolleras. Skulle inte gå att skapa så säkra system då =).

Men det Grub. skriver är korrekt.I antivirusprogrammet.

Jag tycker väl att anti-virus även borde gå på signaturer, skulle vara förvånad om de inte varnade på de mest vanliga. Sedan krävs det självklart att de går på beteende om man råkar få en okänd/custom made.

Fast ett antivirusprogram är inte skrivet så att ett externtprogram bestämmer vad som ska kontrolleras. Skulle inte gå att skapa så säkra system då =).

Men det Grub. skriver är korrekt.

Dom flesta keyloggers som är av någon användning är "Detectable"
Och även kommersiella program som t.ex "UltraVnc" upptäcks av antivirusprogram

Själva principen gör det ju väldigt enkelt att upptäcka program som avlyssnar I/O.

Om det inte är ett rootkit som installeras som gömmer processerna.

Om det inte är ett rootkit som installeras som gömmer processerna.

Det har du självklart rätt i, men säg att ett antivirusprogram har en "livescanner" och märker ändringar på viktiga processer i operativsystemet, t.ex när keyloggern hookar till Inputen.
Visst borde den kunna märka av även ett rootkit?

Eller är jag helt fel ute? :D

Kör Hijack This som skriver ut alla program och processer som är startade,
posta en kopia på loggen här så kan jag eller någon annan se över den och se om vi hittar något misstänkt.

http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

Det har du självklart rätt i, men säg att ett antivirusprogram har en "livescanner" och märker ändringar på viktiga processer i operativsystemet, t.ex när keyloggern hookar till Inputen.
Visst borde den kunna märka av även ett rootkit?

Eller är jag helt fel ute? :DOch då väljer man att det ska ignoreras i framtiden.

Hijack This visar inget dolt.

Kör RootkitRevealer så får du ser vad som verkligen finns:

http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx

Autoruns visar vad som startas automatiskt:

http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

Och då väljer man att det ska ignoreras i framtiden.

Eller tas bort? :confused:

Det har du självklart rätt i, men säg att ett antivirusprogram har en "livescanner" och märker ändringar på viktiga processer i operativsystemet,

Det där är HIPS, som sagt. Det är få antivirus som har HIPS som övervakar processer och förändringar som sker dessa inbyggt.

Eller tas bort? :confused:Möjligen är det installerat på order av hans chefer som vill ha koll på vad de gör vid datorerna.

Det har du självklart rätt i, men säg att ett antivirusprogram har en "livescanner" och märker ändringar på viktiga processer i operativsystemet, t.ex när keyloggern hookar till Inputen.
Visst borde den kunna märka av även ett rootkit?

Eller är jag helt fel ute? :D

Ett rootkit som är på kernel-nivå går inte att upptäcka på det sättet. Det är inte på samma nivå utan ett rootkit manipular själva kärnan. Ett exempel det kan ändra "ls" så det inte listar vissa filer, det kan ändra så vissa processer inte syns etc.

Väldigt svåra att hitta oftast även om rootkitrevealer verkar fungera rätt bra. Men då måste man misstänka något från början.

Ett rootkit som är på kernel-nivå går inte att upptäcka på det sättet. Det är inte på samma nivå utan ett rootkit manipular själva kärnan. Ett exempel det kan ändra "ls" så det inte listar vissa filer, det kan ändra så vissa processer inte syns etc.

Väldigt svåra att hitta oftast även om rootkitrevealer verkar fungera rätt bra. Men då måste man misstänka något från början.


Jojo, det vet jag, men tänkte eftersom vi snackar Windows XP, hade ärligt talat ingen aning om att det fanns rootkits på kernelnivå till XP.

Det där är HIPS, som sagt. Det är få antivirus som har HIPS som övervakar processer och förändringar som sker dessa inbyggt.

Det var ju lite tråkigt, trodde att utvecklarna hade vett nog att implementera det i sina skydd?

Det var ju lite tråkigt, trodde att utvecklarna hade vett nog att implementera det i sina skydd?

Myntets baksida är ju smällen mot prestanda som man får när exakt allt skall övervakas.

Om man inte använder Kaspersky Internet Security 2009. Där har dom lyckats stoppa in övervakning av allt utan påverkan på prestanda och dessutom på ett användarvänligt sätt.

Då har vi alltså ett svar på den ursprungliga frågeställningen, TS kan använda Kaspersky Internet Security 2009 :thumbup:

Jojo, det vet jag, men tänkte eftersom vi snackar Windows XP, hade ärligt talat ingen aning om att det fanns rootkits på kernelnivå till XP.

Du menar att Windows kernel skulle vara så säker ;-). Nu är den säkrare än ryktet men riktigt så bra är den inte.

Du menar att Windows kernel skulle vara så säker ;-). Nu är den säkrare än ryktet men riktigt så bra är den inte.

Det krävs ju en högre nivå av engagemang av kodaren om han ska göra ett rootkit till Windows när det är stängd källkod.
Många kanske inte tar sig besväret och kodar för UNIX istället helt enkelt, det var bara så jag tänkte :)

Har du möjlighet så kan du köra igång Wireshark och se om maskinen verkar skicka data någonstans den inte borde. Inte för att det löser problemet med keyloggern i sig... men det är en början att blocka det åtminstone.

Har någon annan haft fysisk access till maskinen så kan man ju aldrig vara säker. Jag skulle ha ominstallerat direkt.