Makers van kwaadaardige "print screen" utilities zal er alles aan gelegen zijn dat jij die software niet eenvoudig op kunt sporen. Naast antivirussoftware en rootkitdetectors ken ik geen specifieke software die dit soort ongewenste software opspoort (doe bij voorkeur een off-line scan, dwz boot van een betouwbaar medium met virusscanner).

Ik denk dat je out-of-the-box moet denken om dit soort software te detecteren. Als de software hele schermen kaapt is er sprake van relatief veel data die "ergens moet blijven" (op je eigen schijf of wellicht meteen doorgestuurd naar de aanvaller). Als een slideshow met veel beeldwisselingen van hoge-resolutie JPG foto's onverwacht netwerkverkeer genereert heb je een aanwijzing (filmpjes zijn vaak niet te "capturen" vanaf je scherm, dus dat is geen goede test).

Als het om software gaat die zich op gebruikersnaam en wachtwoordvelden in webapplicaties richt, zou je een webapplicatie kunnen maken waarine je voorturend door bijv. AutoIt velden laat invullen. Als die webapplicatie lokaal op je PC draait zou dat zelf natuurlijk geen netwerkverkeer moeten veroorzaken.

Affijn, zomaar wat ideeën. Waarom denk je eigenlijk dat je last hebt van een ongewenste schermlogger? Met wat meer informatie kunnen we je wellicht beter helpen!

Ik denk veel opzich niet echt extreem veel data verkeer genereert maar toch wel een aantal screenshots om de zoveel seconden. Gemiddeld zo'n 100kb/s (blackshades). Kijk eens met TCPview wat eruit komt.

En als het een noob virus is zet hij alles tijdelijk in het clipboard dus kun je testen om eens in paint CTRL+ V te doen.
Maar dat zal waarschijnlijk niet zo zijn, dus kijk gewoon eens met TCPview en Wireshark.

Ik zou als ik jouw was ook maar voor de zekerheid eens kijken in;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Maar niet met de windows regedit. Omdat er in dat virus een anti in kan zitten. Wat hij dan doet is, hij verwijderd de reg keys als regedit.exe open is en maakt deze keys en values opnieuw aan als het programma weer gesloten is.

Als er een process is dat je niet vertrouwd kill dit dan eens met taskkill en open het in process monitor, zodat je kunt zien wat het allemaal doet. En als je even geen geluk hebt kan het een virus zijn dat zich in explorer of een ander belangrijk process inject en dan gaat het lastiger worden. Vindt de stub die inject bij startup upload deze naar virustotal.com en download het anti-virus programma waar dit virus gedetecteerd wordt. Of probeer veilige modes. Maar kleine kans dat ook dat niet werkt dan, ik bedoel niet echt mogenlijk om het zomaar even te verwijderen.

Probeer Zemana anti logger .Is ook een Gratis versie van !

Goede tip! Maar zoals je zegt, de malware kan sleutels en/of naam/waarde paren voor je verstoppen. Dat gebeurt echter zelden door die informatie tijdelijk te verwijderen als je regedit start. In plaats daarvan zal de malware meestal de Windows API functies "hooken" die door alle programma's gebruikt worden die iets met het register doen.

Feitelijk is zo'n function hook een MITM (Man In THe Middle) aanval waarbij de malware bepaalt of de gevraagde informatie wel, niet of in aangepaste vorm wordt doorgegeven. Daarmee kan de malware eenvoudig sommige name/value pairs onder bijv. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ verstoppen nadat de shell het bijbehorende proces heeft opgestart (direct na inloggen).

Probleem is dat er ontzettend veel plaatsen in Windows zijn waar "autorun" functionaliteit zich kan verstoppen. De tool om hiernaar te kijken is Autoruns (http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx). Echter deze tool gebruikt (voor zover ik weet) ook gewoon de Windows API calls die door malware gekaapt kunnen zijn. Het loont echter zeker de moeite om die tool te downloaden en ermee te spelen, zodat je een idndruk hebt van alle plaatsen waar "autostart" functionaliteit in Windows aanwezig is. En wie weet ontdek je daarme een BHO in MSIE waarvan je helemaal niet wist dat die met je meekijkt...

Uit dit soort situaties blijkt meteen hoe onverstandig het is om altijd met admin rechten te computeren. Zonder adminrechten kan malware die jij onbedoeld start niets wijzigen onder HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\. Wel natuurlijk onder HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ zodat jij er zelf nog steeds last van kunt hebben. Maar, zodra je met de ander (bijv. admin) account inlogt, kun je met veel meer vertrouwen het register inspecteren en eventueel de persoonlijk hive van het betreffende account mounten en troep verwijderen.

Wil je persé altijd als admin computeren, dan helpt UAC zeker, maar dan raad ik wel aan om het meldingniveau op maximaal te zetten (vervelend maar wel veilig).

Als je vermoedt dat je een rootkit op je PC hebt, kun je natuurlijk ook de harddisk uit de betreffende PC halen en deze als tweede HDD aan een schone Windows PC hangen (als het een 2.5" diskje is kan dat eenvoudig via een SATA naar USB convertertje - die kosten bijna niets meer tegenwoordg, dan hoef je de schone PC niet eens open te schroeven/het mag ook een notebook zijn).

Dan kun je met boordmiddelen op die PC het register op de verdachte HDD inspecteren (en zonodig opruimen) zonder dat de malware draait en zaken voor je kan verhullen. Een virusscan van die verdachte HDD kan dan ook veel effectiever zijn.

Dit kan in veel gevallen ook inderdaad het geval zijn in advanced malware in big botnets.

Maar daar heb je TDSSKiller based tools voor. Ik weet zeker dan je de stub kunt vinden met behulp van Hijackthis of TCPview. Zou deze inderdaad hooking gebruiken dan zou dan in het nadeel zijn want dan werkt dit alleen bij bepaalde bekende tools zoals TCPview, Wireshark, etc.

Hier zijn noob methodes die 9 van de 10 keer gebruikt worden door kids zoals op Hackforums.
http://www.opensc.ws/malware-samples-information/9146-dev-puppet-master-1-1-info-anti-tcpview-etc.html
http://www.opensc.ws/c-snippets/6889-anti-wireshark.html

In de meeste gevallen gebruiken deze allemaal noob methodes waardoor je het met niet bekende 3rd party tools kunt voorkomen dat de Anti je bijvoorbeeld Registery viewer/editor sluit of de output veranderd door middel van hooking.

Meeste skiddie malware zoals op hackforums te vinden is gebruiken allemaal "external" methods. Als anti.
Zoals FindWindow GetModuleHandle etc etc etc

GetModuleHandle is wel lastiger om te bypassen tenzij er een mogenlijkheid is om de library naam te wijzigen.

UAC is waardeloos bijna elke crypter of rat deot het bypassen hier is zo een patch: http://pastebin.com/pk7HWVZ3

Ik zie allemaal ingewikkelde termen en afkortingen voorbij komen,ik zie bij kaspersky overzicht wel dat er hooks zijn geplaatst op vrijwel alle programma's maar dit kan door kaspersky zelf gedaan zijn en niet kwaadaardig zijn.Of Kaspersky moet zelf gemanipuleerd zijn het is tenslotte ook maar een software programma.Kaspersky meldt helemaal niks verdachts,en ook malwarebytes en hitman pro niet. Moet ik wellicht eens TDSS killer v.Kaspersky eens proberen en kijken of die wat vindt?

Zemana is voor zover ik weet alleen tegen keyloggers,niet tegen schermloggers.