Witam.
Otóż mam podejrzenia, że na moim lapku jest keyloger.
Gdy włączam Metin2PL wyskakuje mi w Comodo że ClientMetin2.bin to zagrożenie;/
Stwierdziłem że to fałszywy alarm i zalogowałem mało istotne konto po czym chcę
wejść na EliteMT2 (priv) znów Comodo wykrywa mi zagrożenie z EliteMT2.bin
Czy jest możliwe że to keyloger? jak się upewnić? jak go usunąć?
Dodam że przeskanowałem cały system i nic nie wykryto.
Proszę o jak najszybszą pomoc i z góry serdecznie Wam dziekuję.
Edit:
Zrobiłem ss ze szczegółów powiadomienia z Comodo nie wiem czy przydatny
ale zrobiłem
http://www.bankfotek.pl/view/1037132
keyloger123 , proszę zapoznaj się z tą stroną oraz tym tematem , a następnie popraw tytuł tematu, używając przycisku
Poza tym, na forum używamy polskich znaków (ż, ł, ć, ś, ą itp.). Proszę wyedytować swojego posta i poprawić co trzeba.
W przypadku zignorowania prośby temat poleci do śmietnika.
rets
(Ertam494)
25 Lipiec 2011 06:06
#3
Przeskanuj system tym: (Przed użyciem zaktualizuj) http://www.dobreprogramy.pl/Malwarebyte … 13117.html
Miałem podobny problem z antywirusem Mcaffe, który wykrywał zagrożenie w pliku metin2.bin.Ale okazało się, że to fałszywy alarm.
bardzo dziekuję ale może trzeba zrobić loga? potrzebuję 100% pewności że mam czystego lapka
trochę mi to zajęło ale robiłem jeszcze scan Malwarebytes i oto jego log
http://www.bankfotek.pl/view/1037517
a oto logi z OTL
http://wklej.to/9A2Fw
http://wklej.to/qvUmj
logi z OTL zostały zrobione już po użyciu Malwarebytes i usunięciu znalezionego syfu.
Bardzo proszę o sprawdzenie logów i odpowiedź czy mogę już czuć się bezpieczny?
Edit:
Comodo nadal wykrywa zagrożenie;/
Acorus
(Acorus)
25 Lipiec 2011 16:55
#7
Wyłącz przeglądarki.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1308706564-1182089822-3121366468-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddr [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com \facemoods\1.4.17.3\bh\facemoods.dll (facemoods.com BHO) O2 - BHO: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com \GenericAskToolbar.dll (Ask) O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files (x86)\HyperCam Toolbar\tbcore3.dll () O3:64bit: - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (HyperCam Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files (x86)\HyperCam Toolbar\tbcore3.dll () O3 - HKLM…\Toolbar: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files (x86)\facemoods.com \facemoods\1.4.17.3\facemoodsTlbr.dll (facemoods.com ) O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1308706564-1182089822-3121366468-1000…\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3:64bit: - HKU\S-1-5-21-1308706564-1182089822-3121366468-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O3 - HKU\S-1-5-21-1308706564-1182089822-3121366468-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-1308706564-1182089822-3121366468-1000…\Toolbar\WebBrowser: (HyperCam Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files (x86)\HyperCam Toolbar\tbcore3.dll () O4:64bit: - HKLM…\Run: [setwallpaper] File not found O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com \Updater\Updater.exe (Ask) O4 - HKLM…\Run: [facemoods] C:\Program Files (x86)\facemoods.com \facemoods\1.4.17.3\facemoodssrv.exe (facemoods.com ) [2011-07-24 20:00:00 | 000,000,382 | ---- | M] () – C:\Windows\tasks\At2.job [2011-07-24 14:00:00 | 000,000,382 | ---- | M] () – C:\Windows\tasks\At1.job [2011-07-24 08:00:00 | 000,000,382 | ---- | M] () – C:\Windows\tasks\At3.job :Commands [emptytemp]
Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Odinstaluj Akamai NetSession Interface,DAEMON Tools Toolbar,HyperCam Toolbar.
log z usuwania
http://wklej.to/2Okc0
OTL log
http://wklej.to/W1CHA
extras log
http://wklej.to/wx2ah
czy już po kłopocie? mogę czuć się bezpiecznie?
Acorus
(Acorus)
25 Lipiec 2011 17:36
#9
W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu na wszystkich dyskach:http://support.microsoft.com/kb/310405/pl
http://www.vista.pl/artykuly/11250_przy … vista.html
Przeskanuj progr.Malwarebytes Anti-Malware
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY WIRUSÓW
Zrobilem o co prosiles oto log z Malware
http://wklej.to/eJ0N6
dodam ze Comodo nadal wykrywa zagrozenie;/
Acorus
(Acorus)
25 Lipiec 2011 20:25
#11
Gdzie wykrywa to zagrożenie?
gdy wlączam EliteMT2 (jest to prywatny serwer metina) wyskakuje mi zagrożenie (sciezka dostepu/Elitemt2.exe) ale skanowanie tego folderu nic nie wskazuje;/ skanowałem folder z grą wszystkim ale nic nie pomaga w dodatku czasem zdarza sie że Comodo nie wykryje zagrożenia ale jest to rzadkim zjawiskiem. Na czyszczenie lapka musze szykować 100zł minimum a jak do jutra tego nie zrobię to nie mam wyjścia;/
EDIT: Areh tak lepiej?
keyloger123 , chyba nie do końca zrozumiałeś o co chodziło mi w prośbie o zmianę tematu na konkretny. zapoznaj się z linkami które Ci dałem i spróbuj jeszcze raz.