Jak usunąć keylogery?

krzys1438 · 26 Luty 2011 11:52

Witam. W jaki sposób mogę usunąć keylogery z komputera? Jeżeli je posiadam oczywiście. Proszę bardziej doświadczonych informatyków o rzucenie oka.

http://wklej.org/id/482848/ Combofix

http://wklej.org/id/482808/ HijackThis.

Z góry dziękuje

Acorus · 26 Luty 2011 11:56

Potrzebne logi z OTL otl-gmer-rsit-dss-inne-instrukcje-t370405.html

krzys1438 · 26 Luty 2011 13:24

http://wklej.org/id/482906/ Proszę

Acorus · 26 Luty 2011 13:41

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKLM…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKLM…\URLSearchHook: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files (x86)\myBabylon_English\tbmyB1.dll (Conduit Ltd.) IE - HKLM…\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.) IE - HKU\S-1-5-21-1892373647-1224120539-2562645906-1000…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.)(x86)\myBabylon_English\tbmyB1.dll (Conduit Ltd.) IE - HKU\S-1-5-21-1892373647-1224120539-2562645906-1000…\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.) FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…extensions.enabledItems: engine@conduit.com:3.2.5.2 [2010/09/01 15:34:09 | 000,000,000 | —D | M] (Winamp Toolbar) – C:\Users\Gałuszewscy\AppData\Roaming\mozilla\Firefox\Profiles\sutv7bbd.default\extensions{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2010/09/01 15:34:06 | 000,000,000 | —D | M] (myBabylon English Toolbar) – C:\Users\Gałuszewscy\AppData\Roaming\mozilla\Firefox\Profiles\sutv7bbd.default\extensions{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} [2011/02/10 23:45:16 | 000,000,000 | —D | M] (uTorrentBar Community Toolbar) – C:\Users\Gałuszewscy\AppData\Roaming\mozilla\Firefox\Profiles\sutv7bbd.default\extensions{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011/02/10 23:45:17 | 000,000,000 | —D | M] (Conduit Engine) – C:\Users\Gałuszewscy\AppData\Roaming\mozilla\Firefox\Profiles\sutv7bbd.default\extensions\engine@conduit.com [2011/02/10 23:45:16 | 000,000,863 | ---- | M] () – C:\Users\Gałuszewscy\AppData\Roaming\Mozilla\Firefox\Profiles\sutv7bbd.default\searchplugins\conduit.xml [2010/01/15 18:37:25 | 000,001,201 | ---- | M] () – C:\Users\Gałuszewscy\AppData\Roaming\Mozilla\Firefox\Profiles\sutv7bbd.default\searchplugins\winamp-search.xml O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.) O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (myBabylon English Toolbar) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files (x86)\myBabylon_English\tbmyB1.dll (Conduit Ltd.) O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.) O3:64bit: - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O3 - HKLM…\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (myBabylon English Toolbar) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files (x86)\myBabylon_English\tbmyB1.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.) O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKU\S-1-5-21-1892373647-1224120539-2562645906-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O3 - HKU\S-1-5-21-1892373647-1224120539-2562645906-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-1892373647-1224120539-2562645906-1000…\Toolbar\WebBrowser: (myBabylon English Toolbar) - {B2E293EE-FD7E-4C71-A714-5F4750D8D7B7} - C:\Program Files (x86)\myBabylon_English\tbmyB1.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-1892373647-1224120539-2562645906-1000…\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-1892373647-1224120539-2562645906-1000…\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.) O4 - Startup: C:\Users\Gałuszewscy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smgr32.exe () MsConfig:64bit - StartUpReg: AlcoholAutomount - hkey= - key= - File not found MsConfig:64bit - StartUpReg: ALLUpdate - hkey= - key= - File not found MsConfig:64bit - StartUpReg: DU Meter - hkey= - key= - File not found MsConfig:64bit - StartUpReg: egui - hkey= - key= - File not found MsConfig:64bit - StartUpReg: IPLA! - hkey= - key= - File not found MsConfig:64bit - StartUpReg: UfSeAgnt.exe - hkey= - key= - File not found [2011/02/10 23:45:21 | 000,000,000 | —D | C] – C:\Program Files (x86)\ConduitEngine :Files C:\Users\Gałuszewscy\AppData\Local\Temp*.html :Commands [emptytemp]

Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

krzys1438 · 26 Luty 2011 16:17

http://wklej.org/id/483050/ - raport po restarcie.

Zaraz wrzuce skana.

edit. O co chodzi z tym raportem usuwania ?

Raport po skanie - http://wklej.org/id/483069/

Leon1 · 26 Luty 2011 20:23

Usuń Combofix i pozostałości po nim tym http://oldtimer.geekstogo.com/OTC.exe

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL IE - HKU\S-1-5-21-1892373647-1224120539-2562645906-1000…\URLSearchHook: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Reg Error: Key error. File not found O28:64bit: - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found MsConfig:64bit - StartUpReg: AlcoholAutomount - hkey= - key= - File not found MsConfig:64bit - StartUpReg: ALLUpdate - hkey= - key= - File not found MsConfig:64bit - StartUpReg: DU Meter - hkey= - key= - File not found MsConfig:64bit - StartUpReg: egui - hkey= - key= - File not found MsConfig:64bit - StartUpReg: IPLA! - hkey= - key= - File not found MsConfig:64bit - StartUpReg: UfSeAgnt.exe - hkey= - key= - File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

User_Profile · 27 Luty 2011 09:56

Na przyszłość - http://www.instalki.pl/programy/downloa … _Free.html

krzys1438 · 27 Luty 2011 14:26

Wykonałem skrypt , ale nie chcący wyłączyłem raport ten co się pojawił po restarcie.

http://wklej.org/id/483630/ - nowy log robiony według otl-gmer-rsit-dss-inne-instrukcje-t370405.html.

– Dodane 27.02.2011 (N) 15:37 –

Co do tego , mam system 64-bitowy i nie działa.

Leon1 · 27 Luty 2011 15:04

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp (Sprzątanie)

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

krzys1438 · 27 Luty 2011 15:58

Ccleaner to tam po lewej rejestr , wyszukać problemy i usunąć???

W Otl zrobiłem to sprzątanie.

Nie rozumiem tego “Wyłącz i włącz przywracanie systemu na wszystkich dyskach.” mógłbyś wyjaśnić ???

Ten programik mi się ściąga , zaraz przeskanuje .

Leon1 · 27 Luty 2011 16:10

Wyłączyć przywracanie systemu na wszystkich dyskach:

Instrukcja XP: Prawoklik na Mój Komputer>>>>Właściwości>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.
Instrukcja VISTA: START>>>Panel Sterowania>>>System>>>Ochrona Systemu>>>Kontynuuj>>>w polu “Dostępne dyski” usuń zaznaczenia z okienek przy tych dyskach>>>Zastosuj>>>OK.

Ccleaner >> po lewej Cleaner >> uruchom cleaner

Ccleaner >> po lewe Rejestr >> skanuj by znaleźć problemy

User_Profile · 27 Luty 2011 16:11

@krzys1438

http://www.instalki.pl/programy/downloa … ogger.html

Wersja trial,ale naprawdę warto pobrać i zainstalować .

krzys1438 · 27 Luty 2011 16:53

Miałem wyłączone to przywracanie systemu. “Wyłącz i włącz przywracanie systemu na wszystkich dyskach.” “Wyłączyć przywracanie systemu na wszystkich dyskach” To w końcu to ma być włączone czy wyłączone ;] ? Zrobiłem szybkie skanowanie tym Dr. WEB to było 0 zagrożeń. Robić pełne?

– Dodane 27.02.2011 (N) 18:05 –

Coś nie chce robić tego pełnego . To wersja demo chyba jest ;x

Leon1 · 27 Luty 2011 17:14

jeśli miałeś wyłączone to OK po skanowaniu możesz włączyć jeżeli chcesz

krzys1438 · 27 Luty 2011 17:35

jak to ? zrobiłem szybkie skanowanie i 0 infekcji. Mój komputer jest czysty?