Witam! Ja sprawdzić czy na komputerze jest key-logger? I czym najlepiej usunąć? Podobno w rejestrze w folderze currentversion>run> należy szukać SysCtrl lob winl0gon? Czy to prawda? Proszę o odp. Z góry Dziękuję.
Jeśli zły dział lub był taki temat to sory, ale pisałem tego posta na komie.
Daj loga z Hijack i ComboFix
Hijack:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\EXPERTool\TBPanel.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
E:\sorc\Tibia\Tibia.exe
E:\TibiaBot NG\loader.exe
E:\TibiaBot NG\loader.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe”
O4 - HKLM…\Run: [HP Software Update] “C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe”
O4 - HKLM…\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [GAINWARD] C:\Program Files\EXPERTool\TBPanel.exe /A
O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe”
O4 - HKCU…\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU…\Run: [Komunikator] E:\Tlen.pl\tlen.exe
O4 - HKCU…\Run: [uniblue RegistryBooster 2009] E:\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
– Dodane 12.02.2009 (Cz) 17:24 –
Fix:
2009-02-10 17:13 . 2009-02-10 17:13
2009-02-05 13:59 . 2009-02-05 13:59
2009-02-05 00:16 . 2009-02-05 00:16
2009-02-05 00:13 . 2009-02-05 00:13
2009-02-05 00:13 . 2009-02-05 00:13
2009-02-04 21:13 . 2009-02-04 21:13
2009-02-04 21:12 . 2009-02-04 21:12
2009-02-04 21:12 . 2009-02-04 21:12
2009-02-04 21:11 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2009-02-04 19:24 . 2009-02-04 19:24
2009-02-03 14:58 . 2009-02-09 17:27 69 --a------ c:\windows\NeroDigital.ini
2009-02-02 21:48 . 2009-02-02 21:48 151 --a------ c:\windows\PhotoSnapViewer.INI
2009-02-01 16:55 . 2003-03-18 21:20 1,060,864 --a------ c:\windows\system32\MFC71.dll
2009-02-01 16:55 . 2003-03-18 20:14 499,712 --a------ c:\windows\system32\MSVCP71.dll
2009-02-01 16:55 . 2003-02-21 04:42 348,160 --a------ c:\windows\system32\MSVCR71.dll
2009-02-01 11:30 . 2009-02-01 11:51
2009-01-30 09:43 . 2009-02-02 09:36 15,688 --a------ c:\windows\system32\lsdelete.exe
2009-01-30 09:36 . 2009-01-30 09:36 64,160 --a------ c:\windows\system32\drivers\Lbd.sys
2009-01-30 09:35 . 2009-01-30 09:35
2009-01-30 09:35 . 2009-01-30 09:36
2009-01-30 09:35 . 2009-01-30 09:35
2009-01-29 16:19 . 2008-06-14 18:36 273,024 --------- c:\windows\system32\drivers\bthport.sys
2009-01-29 16:19 . 2008-06-14 18:36 273,024 -----c— c:\windows\system32\dllcache\bthport.sys
2009-01-29 16:18 . 2008-08-14 14:26 2,190,464 -----c— c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-29 16:18 . 2008-08-14 14:26 2,146,816 -----c— c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-29 16:18 . 2008-08-14 14:26 2,067,328 -----c— c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-29 16:18 . 2008-08-14 14:26 2,025,472 -----c— c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-29 16:18 . 2008-10-24 12:21 455,296 -----c— c:\windows\system32\dllcache\mrxsmb.sys
2009-01-29 16:15 . 2009-01-29 16:22
2009-01-29 16:15 . 2006-06-29 13:07 22,752 --a------ c:\windows\system32\spupdsvc.exe
2009-01-29 13:47 . 2009-02-12 17:20
2009-01-29 13:24 . 2009-01-29 13:25
2009-01-29 10:41 . 2009-01-29 10:41 0 --a------ c:\windows\nsreg.dat
2009-01-29 10:37 . 2009-01-29 10:37
2009-01-29 10:37 . 2009-01-29 10:38
2009-01-29 10:37 . 2003-12-11 11:15 626,960 -ra------ c:\windows\system32\hpvaut32.dll
2009-01-29 10:37 . 2003-12-11 11:15 487,424 -ra------ c:\windows\system32\hpvcp70.dll
2009-01-29 10:37 . 2003-12-11 11:15 344,064 -ra------ c:\windows\system32\hpvcr70.dll
2009-01-29 10:37 . 2009-01-29 10:38 71,984 --a------ c:\windows\hpdj3840.his
2009-01-29 10:37 . 2003-12-11 11:15 44,544 -ra------ c:\windows\system32\MSXML4a.dll
2009-01-29 10:37 . 2009-01-29 10:38 7,216 --a------ c:\windows\hpdj3840.ini
2009-01-29 10:36 . 2009-01-29 10:37 3,970 --a------ c:\windows\hpbvspst.his
2009-01-29 10:36 . 2009-01-29 10:37 414 --a------ c:\windows\hpbvspst.ini
2009-01-29 10:34 . 2008-04-14 00:17 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-01-29 10:34 . 2008-04-14 00:17 25,856 --a–c— c:\windows\system32\dllcache\usbprint.sys
2009-01-29 10:31 . 2009-01-29 10:31 13,712 --a------ c:\windows\system32\wpa.bak
2009-01-28 21:13 . 2009-01-28 21:13 5,208 --a------ c:\windows\system32\pid.PNF
2009-01-28 21:08 . 2001-08-17 22:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys
2009-01-28 21:07 . 2008-04-14 22:35 58,880 --a------ c:\windows\system32\drivers\redbook.sys
2009-01-28 21:06 . 2008-04-14 22:50 77,312 --a------ c:\windows\system32\usbui.dll
2009-01-28 21:06 . 2008-04-14 22:50 77,312 --a–c— c:\windows\system32\dllcache\usbui.dll
2009-01-28 21:06 . 2001-08-17 22:46 6,400 --a------ c:\windows\system32\drivers\enum1394.sys
2009-01-28 21:05 . 2009-01-28 21:05
2009-01-28 21:05 . 2009-01-28 21:05
2009-01-28 21:05 . 2009-01-28 20:15
2009-01-28 21:05 . 2009-01-28 21:05
2009-01-28 21:05 . 2009-01-28 21:05
2009-01-28 21:05 . 2009-01-28 21:05
2009-01-28 21:05 . 2009-01-28 21:05
2009-01-28 21:05 . 2009-01-28 21:05
2009-01-28 21:05 . 2009-01-28 21:05
2009-01-28 21:05 . 2009-02-10 17:19
2009-01-28 21:05 . 2009-01-29 10:31
2009-01-28 21:05 . 2009-02-03 14:57
2009-01-28 21:05 . 2009-02-11 10:25
2009-01-28 21:03 . 2009-01-28 20:19 261 --a------ c:\windows\system32$winnt$.inf
2009-01-28 19:32 . 2009-01-28 19:32
2009-01-28 19:09 . 2009-01-28 19:09
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-01 10:24 --------- d-----w c:\program files\Common Files\InstallShield
2009-02-01 10:23 --------- d–h--w c:\program files\InstallShield Installation Information
2009-01-30 13:18 --------- d-----w c:\documents and settings\user\Dane aplikacji\Ahead
2009-01-28 19:40 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-01-28 19:40 --------- d-----w c:\program files\AGEIA Technologies
2009-01-28 19:37 --------- d-----w c:\program files\EXPERTool
2009-01-28 19:33 --------- d-----w c:\program files\Intel
2009-01-28 19:28 315,392 ----a-w c:\windows\HideWin.exe
2009-01-28 19:28 --------- d-----w c:\program files\Realtek
2009-01-28 19:25 --------- d-----w c:\program files\MSXML 4.0
2009-01-28 19:18 --------- d-----w c:\documents and settings\user\Dane aplikacji\Gadu-Gadu
2009-01-28 19:17 --------- d-----w c:\program files\Usługi online
2009-01-28 18:16 --------- d-----w c:\program files\microsoft frontpage
2009-01-28 18:16 --------- d-----w c:\documents and settings\user\Dane aplikacji\Microsoft Web Folders
2009-01-28 18:13 --------- d-----w c:\program files\Common Files\LightScribe
2009-01-28 18:12 --------- d-----w c:\program files\Common Files\Ahead
2009-01-28 18:09 --------- d-----w c:\program files\Nero
2008-11-12 12:45 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2008-04-15 15360]
“GAINWARD”=“c:\program files\EXPERTool\TBPanel.exe” [2008-12-03 2181672]
“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe” [2007-05-04 149040]
“LightScribe Control Panel”=“c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe” [2007-04-19 484904]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2008-12-03 13672448]
“NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2008-12-03 86016]
“NeroFilterCheck”=“c:\program files\Common Files\Ahead\Lib\NeroCheck.exe” [2007-05-04 161328]
“HPDJ Taskbar Utility”=“c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe” [2004-03-04 172032]
“HP Component Manager”=“c:\program files\HP\hpcoretech\hpcmpmgr.exe” [2003-12-22 241664]
“HP Software Update”=“c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe” [2004-02-18 49152]
“Ad-Watch”=“c:\program files\Lavasoft\Ad-Aware\AAWTray.exe” [2009-01-30 509784]
“RTHDCPL”=“RTHDCPL.EXE” [2008-07-03 c:\windows\RTHDCPL.exe]
“nwiz”=“nwiz.exe” [2008-12-03 c:\windows\system32\nwiz.exe]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-15 15360]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@=“Service”
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusOverride”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\Network Diagnostic\xpnetdiag.exe”=
“%windir%\system32\sessmgr.exe”=
“e:\Gadu-Gadu\gg.exe”=
“e:\sony vegas\VegSrv70.exe”=
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-01-30 64160]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]
R3 e1yexpress;Intel® Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [2009-01-28 244368]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
“c:\program files\Common Files\LightScribe\LSRunOnce.exe”
.
Zawartość folderu ‘Zaplanowane zadania’
2009-02-02 c:\windows\Tasks\Ad-Aware Update (Weekly).job
.
HKCU-Run-Komunikator - e:\tlen.pl\tlen.exe
HKCU-Run-Uniblue RegistryBooster 2009 - e:\uniblue\RegistryBooster\RegistryBooster.exe
.
------- Skan uzupełniający -------
.
FF - ProfilePath - c:\documents and settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\eoezd0ud.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\npganymedenet.dll
– Dodane 12.02.2009 (Cz) 17:25 –
i jak?
Wklej do notatnika:
File::
c:\windows\system32\lsdelete.exe
Plik -> zapisz jako -> CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
I jak teraz?
Do czego służyło to co miałem zrobić?
Dlaczego jak uruchamiam ComboFix za każdym razem pojawia się że brakuje jakiegoś pliku?
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport
