Infekcja systemu - keylogger

Wingman · 31 Marzec 2012 09:54

Witam!

Schakowano mi postać w Tibii. Na 90% to jakiś keylogger, proszę o sprawdzenie logów:

Pozdrawiam!

Acorus · 31 Marzec 2012 10:55

Odinstaluj DAEMON Tools Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL MOD - [2012-03-22 18:40:45 | 000,472,064 | ---- | M] () – C:\Users\dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\navtra.exe MOD - [2012-02-17 18:12:05 | 000,144,896 | RHS- | M] () – C:\Users\dell\AppData\Local\Temp\System\UccApi.exe IE - HKLM…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKU\S-1-5-21-2941326343-367167958-878521766-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://vshare.toolbarhome.com/?hp=df IE - HKU\S-1-5-21-2941326343-367167958-878521766-1000…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found IE - HKU\S-1-5-21-2941326343-367167958-878521766-1000…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=ACA8BC43-ABFB-47C4-9BF1-E87AA9390630&apn_sauid=D04AF726-B2C8-4DB0-B5B6-1190528E8959 IE - HKU\S-1-5-21-2941326343-367167958-878521766-1000…\SearchScopes{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: “URL” = http://www.daemon-search.com/search/web?q={searchTerms} FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Ask.com” FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.9.1.14019 FF - prefs.js…extensions.enabledItems: vshare@toolbar:1.0.0 [2011-05-01 19:38:46 | 000,000,000 | —D | M] (“DAEMON Tools Toolbar”) – C:\Users\dell\AppData\Roaming\mozilla\Firefox\Profiles\0vm3s65d.default\extensions\DTToolbar@toolbarnet.com [2011-12-12 11:27:12 | 000,002,568 | ---- | M] () – C:\Users\dell\AppData\Roaming\Mozilla\Firefox\Profiles\0vm3s65d.default\searchplugins\askcom.xml [2010-11-21 20:47:07 | 000,002,059 | ---- | M] () – C:\Users\dell\AppData\Roaming\Mozilla\Firefox\Profiles\0vm3s65d.default\searchplugins\daemon-search.xml [2011-08-05 13:36:04 | 000,001,565 | ---- | M] () – C:\Users\dell\AppData\Roaming\Mozilla\Firefox\Profiles\0vm3s65d.default\searchplugins\web-search.xml O2 - BHO: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKU\S-1-5-21-2941326343-367167958-878521766-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-2941326343-367167958-878521766-1000…\Toolbar\WebBrowser: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O4 - HKU\S-1-5-21-2941326343-367167958-878521766-1000…\Run: [© Microsoft Real Time Media Stack] C:\Users\dell\AppData\Local\Temp\System\ntvdmd.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-2941326343-367167958-878521766-1000…\Run: [RMF FM Miasto Muzyki] File not found O4 - Startup: C:\Users\dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\navtra.exe () O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll () [2012-03-22 18:40:45 | 000,472,064 | ---- | M] () – C:\Users\dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\navtra.exe [2012-03-03 12:58:36 | 000,027,958 | ---- | M] () – C:\Program Files\Common Files\logonInit.dll :Commands [emptytemp]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Wingman · 31 Marzec 2012 12:17

Zrobione:

http://wklejto.pl/121401

http://wklejto.pl/121402

Acorus · 31 Marzec 2012 12:33

W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW

Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.

michu1589 · 1 Kwiecień 2012 09:09

Witam. Mi też wczoraj shackowano postać w tibii i okradziono na dużą sumę. Jakoś się wkradł keylogger. Co mam zrobić żeby go usunąć? Widziałem, że tu kolega jakimś programem robił skany tyle że ja jestem zielony w tego typu programach Ściągnąłem hijackthis 2.0.4 i nim myślałem przeskanować? Ale lepiej tym OTL? Doradźcie, chcę usunąć tą kupe z kompa