Keyloger na komputerze

matulek25 (Matulek25) 2011-03-02 16:14:50 UTC #1

Witam, mam takie podejrzenie, że posiadam keylogera. Wiele znalazłem informacji na google czym przeskanować itp. Przeskanowałem programem hijackthis, wyszły mi takie logi:

http://www.wklejto.pl/90933

Prosił bym kogoś aby mi sprawdził i powiedział co jest nie tak. Z góry dziękuje, pozdrawiam.

RedGhost (Redghost) 2011-03-02 16:20:38 UTC #2

Tu siedzi keyloger: O23 - Service: AppleChargerSrv - Unknown owner - C:\WINDOWS\system32\AppleChargerSrv.exe

Podpowiedź jak usunąć: http://www.virus-com.com/viruscom/viruscom_96645.html

matulek25 (Matulek25) 2011-03-02 16:27:29 UTC #3

Dobra chyba usunąłem, teraz mam takie logi: http://www.wklejto.pl/90934

matulek25 (Matulek25) 2011-03-02 16:31:46 UTC #4

Wszystkie co były z czerwonym krzyżykiem usunąłem. Te z znakiem zapytania też usunąć? Bezpieczne to jest?

RedGhost (Redghost) 2011-03-02 16:34:29 UTC #5

Poczytaj najpierw co kryje się pod danym procesem zanim coś skasujesz, pewne procesy wykrywane są jako potencjalne zagrożenie choć wcale nie muszą nim być - Google pomogą w znalezieniu informacji o każdym procesie.

matulek25 (Matulek25) 2011-03-02 16:44:21 UTC #6

Już się pogubiłem. Czym mam pousuwać te pliki?

User_Profile (User Profile) 2011-03-02 16:45:39 UTC #7

Nie ty nie masz nic usuwać,tylko podać logi z OTL...

Acorus (Acorus) 2011-03-02 16:46:14 UTC #8

otl-gmer-rsit-dss-inne-instrukcje-t370405.html

matulek25 (Matulek25) 2011-03-02 16:56:52 UTC #9

Przeskanowałem i:

http://www.wklejto.pl/90938

Da radę coś z tym zrobić?

Acorus (Acorus) 2011-03-02 17:10:02 UTC #10

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL SRV - File not found [Auto | Stopped] -- -- (PavPrSrv) IE - HKU\S-1-5-21-1417001333-764733703-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= ... =CT2530240 IE - HKU\S-1-5-21-1417001333-764733703-682003330-1003..\URLSearchHook: {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll (DeviceVM, Inc.) IE - HKU\S-1-5-21-1417001333-764733703-682003330-1003..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&q=" [2010-02-13 14:19:36 | 000,000,000 | ---D | M] (Softonic-Polska Community Toolbar) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\iziggl4k.default\extensions{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2010-02-13 14:19:35 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\iziggl4k.default\extensions\engine@conduit.com O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) O3 - HKLM..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM..\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.) @Alternate Data Stream - 40 bytes -> C:\Documents and Settings\Admin\Dane aplikacji:NT :Commands [emptytemp]

Kliknij Wykonaj skrypt..Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Odinstaluj Softonic-Polska Toolbar.

matulek25 (Matulek25) 2011-03-02 18:21:46 UTC #11

Nadal mam tego keylogera. Wiem, że mam dwa. Przy starcie włączają się, są to: BCU i NvCpl. Nie wiem jak to wyłączyć. Przy wyłączaniu same się włączają. Po zrobieniu tego co mi dałeś wyskoczyło mi coś takiego:

http://www.wklejto.pl/90953

drobok (Drobok) 2011-03-02 18:29:18 UTC #12

Oczywiście ponownie wg instrukcji, Acorus , ci sprawdzi bowiem ja się w tej kwesti nie czuję jeszcze zbyt pewnie ;], natomiast co do porady RedGhost , nieumiejętne, oraz samodzielne usuwanie jest NIEWSKAZANE, ponieważ może doprowadzić do uszkodzenie systemu, bądź usunięcia krytycznych procesów niezbędnych do jego funkcjonowania. Automatów nie można używać, ta strona nie powinna być używana przez nikogo. Tak samo jak hjt który jest przestarzały i nie wykrywa większości nowszego szkodliwego oprogramowania. Za taką poradę, powinien być odpowiednio nagrodzony, ale niestety nie leży to w mojej kwestii ;]

matulek25 (Matulek25) 2011-03-02 18:55:28 UTC #13

Sry, że nie dałem ale już daję. http://www.wklejto.pl/90960

Tego pliku nie mogę usunąć.

Acorus (Acorus) 2011-03-02 19:20:26 UTC #14

W porządku.W OTL użyj opcji Sprzątanie .Przeskanuj progr.Malwarebytes Anti-Malware i Dr.WEB CureIt.

matulek25 (Matulek25) 2011-03-02 19:26:55 UTC #15

Jeszcze nie przeskanowałem. Co to są te dwa pliki w MSConfig ---> Uruchomianie BCU i NvCpl ?

RedGhost (Redghost) 2011-03-03 09:07:33 UTC #16

Naucz się czytać ze zrozumieniem, wyraźnie napisałem

nie wiem gdzie w tym tekście dopatrzyłeś się zachęcania użytkownika do samodzielnego i nieumiejętnego usuwania procesów bez pozyskania o nich informacji.

Zmień kolego okulistę, obecny Cię oszukuje... chętnie nagrodzłbym Cię parą nowych czystych szkiełek pozwalających czytać ze zrozumieniem ale... niestety nie leży to w mojej kwestii ;]

matulek25 (Matulek25) 2011-03-03 18:49:29 UTC #17

Dobra przeskanowałem tymi dwoma programami. Oto jeden log: http://www.wklejto.pl/91065

Tu zrobiłem jeszcze raz z OTL: http://www.wklejto.pl/91066

Teraz już nie mam tego keylogera?

Acorus (Acorus) 2011-03-03 19:11:38 UTC #18

W porządku.W OTL użyj opcji Sprzątanie.Możesz jeszcze przeskanować progr.Dr.WEB CureIt.

matulek25 (Matulek25) 2011-03-03 19:20:12 UTC #19

Czyli już nie mam tego świństwa? Bo nie chce aby się okazało, że po zmianie haseł ktoś mi wszystko zmienił i zrobił mi szkodę.

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem