Keyloger na komputerze

matulek25 · 2 Marzec 2011 16:14

Witam, mam takie podejrzenie, że posiadam keylogera. Wiele znalazłem informacji na google czym przeskanować itp. Przeskanowałem programem hijackthis, wyszły mi takie logi:

http://www.wklejto.pl/90933

Prosił bym kogoś aby mi sprawdził i powiedział co jest nie tak. Z góry dziękuje, pozdrawiam.

RedGhost · 2 Marzec 2011 16:20

Tu siedzi keyloger: O23 - Service: AppleChargerSrv - Unknown owner - C:\WINDOWS\system32\AppleChargerSrv.exe

Podpowiedź jak usunąć: http://www.virus-com.com/viruscom/viruscom_96645.html

matulek25 · 2 Marzec 2011 16:27

Dobra chyba usunąłem, teraz mam takie logi: http://www.wklejto.pl/90934

matulek25 · 2 Marzec 2011 16:31

Wszystkie co były z czerwonym krzyżykiem usunąłem. Te z znakiem zapytania też usunąć? Bezpieczne to jest?

RedGhost · 2 Marzec 2011 16:34

Poczytaj najpierw co kryje się pod danym procesem zanim coś skasujesz, pewne procesy wykrywane są jako potencjalne zagrożenie choć wcale nie muszą nim być - Google pomogą w znalezieniu informacji o każdym procesie.

matulek25 · 2 Marzec 2011 16:44

Już się pogubiłem. Czym mam pousuwać te pliki?

User_Profile · 2 Marzec 2011 16:45

Nie ty nie masz nic usuwać,tylko podać logi z OTL…

Acorus · 2 Marzec 2011 16:46

otl-gmer-rsit-dss-inne-instrukcje-t370405.html

matulek25 · 2 Marzec 2011 16:56

Przeskanowałem i:

http://www.wklejto.pl/90938

Da radę coś z tym zrobić?

Acorus · 2 Marzec 2011 17:10

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL SRV - File not found [Auto | Stopped] – -- (PavPrSrv) IE - HKU\S-1-5-21-1417001333-764733703-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= … =CT2530240 IE - HKU\S-1-5-21-1417001333-764733703-682003330-1003…\URLSearchHook: {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll (DeviceVM, Inc.) IE - HKU\S-1-5-21-1417001333-764733703-682003330-1003…\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&q=” [2010-02-13 14:19:36 | 000,000,000 | —D | M] (Softonic-Polska Community Toolbar) – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\iziggl4k.default\extensions{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2010-02-13 14:19:35 | 000,000,000 | —D | M] (Conduit Engine) – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\iziggl4k.default\extensions\engine@conduit.com O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) @Alternate Data Stream - 40 bytes -> C:\Documents and Settings\Admin\Dane aplikacji:NT :Commands [emptytemp]

Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Odinstaluj Softonic-Polska Toolbar.

matulek25 · 2 Marzec 2011 18:21

Nadal mam tego keylogera. Wiem, że mam dwa. Przy starcie włączają się, są to: BCU i NvCpl. Nie wiem jak to wyłączyć. Przy wyłączaniu same się włączają. Po zrobieniu tego co mi dałeś wyskoczyło mi coś takiego:

http://www.wklejto.pl/90953

drobok · 2 Marzec 2011 18:29

Oczywiście ponownie wg instrukcji, Acorus , ci sprawdzi bowiem ja się w tej kwesti nie czuję jeszcze zbyt pewnie ;], natomiast co do porady RedGhost , nieumiejętne, oraz samodzielne usuwanie jest NIEWSKAZANE, ponieważ może doprowadzić do uszkodzenie systemu, bądź usunięcia krytycznych procesów niezbędnych do jego funkcjonowania. Automatów nie można używać, ta strona nie powinna być używana przez nikogo. Tak samo jak hjt który jest przestarzały i nie wykrywa większości nowszego szkodliwego oprogramowania. Za taką poradę, powinien być odpowiednio nagrodzony, ale niestety nie leży to w mojej kwestii ;]

matulek25 · 2 Marzec 2011 18:55

Sry, że nie dałem ale już daję. http://www.wklejto.pl/90960

Tego pliku nie mogę usunąć.

Acorus · 2 Marzec 2011 19:20

W porządku.W OTL użyj opcji Sprzątanie .Przeskanuj progr.Malwarebytes Anti-Malware i Dr.WEB CureIt.

matulek25 · 2 Marzec 2011 19:26

Jeszcze nie przeskanowałem. Co to są te dwa pliki w MSConfig —> Uruchomianie BCU i NvCpl ?

RedGhost · 3 Marzec 2011 09:07

Naucz się czytać ze zrozumieniem, wyraźnie napisałem

nie wiem gdzie w tym tekście dopatrzyłeś się zachęcania użytkownika do samodzielnego i nieumiejętnego usuwania procesów bez pozyskania o nich informacji.

Zmień kolego okulistę, obecny Cię oszukuje… chętnie nagrodzłbym Cię parą nowych czystych szkiełek pozwalających czytać ze zrozumieniem ale… niestety nie leży to w mojej kwestii ;]

matulek25 · 3 Marzec 2011 18:49

Dobra przeskanowałem tymi dwoma programami. Oto jeden log: http://www.wklejto.pl/91065

Tu zrobiłem jeszcze raz z OTL: http://www.wklejto.pl/91066

Teraz już nie mam tego keylogera?

Acorus · 3 Marzec 2011 19:11

W porządku.W OTL użyj opcji Sprzątanie.Możesz jeszcze przeskanować progr.Dr.WEB CureIt.

matulek25 · 3 Marzec 2011 19:20

Czyli już nie mam tego świństwa? Bo nie chce aby się okazało, że po zmianie haseł ktoś mi wszystko zmienił i zrobił mi szkodę.