Keylogger bei meiner freundin???

#1 Hallo Leute...

Erstmal vorweg: nein ich habe nicht vor einen keylogger auf den Pc meiner Freundin zu machen

Also ich weiß garnicht wo ich anfangen soll.
Ich schildere mal meine Situation damit ihr dem vll ein wenig besser folgen könnt und mir evtl einen rat geben könnt wie ich das sichern kann und zur anzeige bringen kann.
Es geht um folgendes:
Meine neue freundin ist verheiratet, und hat ein Kind... Sie hat sich getrennt und ihr Mann hat, schon vor der trennung, anscheinend einen keylogger auf ihrem Laptop installiert um sie auszuspionieren. So scheint es zumindest.
Wir haben uns zu anfang heimlich getroffen. Als sie sich getrennt hat fing er an ihr sachen vorzulegen die er nur haben könnte wenn er einen Keylogger installiert hat.
Screenshots wie wir beide camen, den GESAMTEN verlauf unserer MSN gespräche, er hat sich bei ihr in email und Facebook accounts eingeloggt (auch nach mehrmaligen PW-änderungen) uvm.
All dies kann ein KEYlogger wenn ich mich nicht irre oder?
Wie können wir ihn finden und entfernen? Und wie können wir evtl beweisen das er das gemacht hat?

Wir haben zwar 1-2 zeugen die bestätigen können das er zugegen hat das er, wie er sagt "einen virus auf ihrem lappi eingespeist hat" aber ob das reicht? Was können wir tun?

Ich hoffe ihr könnt mir helfen

LG

#2 Als ersten Schritt könntest Du einen Online-Virusscanner über das System jagen lassen.
Zum Beispiel: http://www.bitdefender.de/scanner/online/free.html

Bezüglich Anzeige kann ich Dir nichts sagen.

#3

Zitat

Screenshots wie wir beide camen, den GESAMTEN verlauf unserer MSN gespräche, er hat sich bei ihr in email und Facebook accounts eingeloggt (auch nach mehrmaligen PW-änderungen) uvm.
All dies kann ein KEYlogger wenn ich mich nicht irre oder?

Naja ich würde das eher als Trojaner bezeichnen, ein Keylogger tut eigentlich nur das Keyboard protokolieren kann aber natürlich durchaus Bestandteil eines Trojaners sein.

Zitat

Wie können wir ihn finden und entfernen? Und wie können wir evtl beweisen das er das gemacht hat?

Wir haben zwar 1-2 zeugen die bestätigen können das er zugegen hat das er, wie er sagt "einen virus auf ihrem lappi eingespeist hat" aber ob das reicht? Was können wir tun?

Gute Frage, es muss auf jedenfall irgendwann mal auf den PC kopiert worden sein - ich würde Anfangen laufende Prozesse zu checken sowie die Netzwerkkommunikation überwachen.
Wenn du eine entsprechende Datei findest dann könntest du anhand der creation date schon sehen wann es kopiert worden ist.

Beweisen kannst du es wenn du nachweisen kannst das der Trojaner Daten sendet... die müssen ja nun mal irgendwo hin gehen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#4 Danke für die schnellen antworten...
Also den Bitdefender scanner habe ich schon durchlaufen lassen, dieser gab als ergebnis das alles sauber ist
Spybot Search & destroy auch schon drüber gejagt, dieser hat nur folgendes gefunden





Die prozesse habe ich auch schon angeschaut diese schienen mir aber wenig verdächtig






Gerade schrieb sie mir das ihr Bildschrim aus und wieder angeganen sei (laptop)... und es ihr vor paar tagen auch schon aufgefallen sei...
Was du sagtest mit Netzwerkkommuntikation überwachen... keine ahnung wie das geht und auf was ich achten müsste... ich weiß ja jetzt nichtmal wo drauf ich achten muss... bzw sie

#5 Was mich gerade etwas stutzig macht, ist der Prozess avp.exe. Bin nicht aus der Windows-Welt, aber ein Virenscanner mit solch einem geringen Speicherverbraucht sollte doch etwas Aufmerksamkeit erregen. Hat Sie wirklich Kaspersky Anti-Virus installiert und das Teil läuft?

#6 Wenn du auf Nummer sichern gehen willst, das keine Trojaner und Co. auf dem Laptop verbleiben, solltest du alle Daten sichern und ihn anschließend komplett neu aufsetzen. Das ist bei den meisten Laptops über eine extra CD oder "Recovery" Partition problemlos möglich und dauert im Normalfall nicht länger als eine halbe Stunde.
Anschließend ist der Laptop wieder im Auslieferungszustand und garantiert virenfrei. Der nächste Schritt sollte das einspielen aller verfügbaren Windows Updates sein und danach hast du ziemlich sicher Ruhe vor dem Typen.

Von einer Anzeige würde ich absehen, das dauert im Zweifelsfall Monate und bringt maximal eine geringe Geldstrafe oder wird gleich fallen gelassen. Dafür braucht man auch handfeste Beweise und wenn der Trojaner schon gar nicht mehr auffindbar ist sieht es schlecht aus.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#7

Zitat

Bin nicht aus der Windows-Welt, aber ein Virenscanner mit solch einem geringen Speicherverbraucht sollte doch etwas Aufmerksamkeit erregen.

Wieso woher weißt du wieviel Speicher der Virenscanner verbraucht, nur weil es ein Prozess gibt - ein Virenscanner besteht ja i.d.R. nicht aus diesem einen Prozess.
Wird einfach nur irgendein Bestandteil davon sein.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8 Kaspersky braucht im User-Kontext nicht sehr viel Speicher (wenn er nur als Wächter aktiv ist und keinen Virenscan durchführt) - im System-Kontext (wie man aus dem Screenshot entnehmen kann) verbraucht er mehr. Das ist vollkommen normal.

Vielleicht ist der "Trojaner" auch in Form eines Rootkits auf dem PC. Das könnte erklären, warum Virenscanner nichts finden (denn das Rootkit entscheidet ja, was der Virenscanner sehen darf).

@asdrubael
Ich hatte die Tage mit einem Rootkit zu kämpfen, was die Verwendung der Recovery-Partition unmöglich gemacht hat. Hier half nur ein Eingriff in die Partitionstabelle und eine Neuinstallation.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#9

Zitat

@asdrubael
Ich hatte die Tage mit einem Rootkit zu kämpfen, was die Verwendung der Recovery-Partition unmöglich gemacht hat. Hier half nur ein Eingriff in die Partitionstabelle und eine Neuinstallation.

Am besten eignet sich dafür dd if=/dev/zero of=/dev/sda bs=4k (Recovery Partitionen sind eh ein schlechter Witz, Festplatte kann ja au kaputt gehen - müßte jeder Endkunde eh sofort spiegeln aber das macht ja niemand).

Zitat

Vielleicht ist der "Trojaner" auch in Form eines Rootkits auf dem PC.

Sollte gmer ja dann anzeigen, den MBR kann man auch leicht überprüfen....
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#10 Was ist nun raus gekommen? Fündig geworden?

Das liest sich so als würde der Ex-Mann ganz einfach Ihre Passwörter für MSN und co kennen!??