cebul96
(Cebul96)
27 Czerwiec 2010 08:26
#1
Witam, ostatnio zauważyłem, że jedna z moich gier mmorpg wykorzystuje moduł “logonInit.dll”, który znajduje się w folderze C:/Program Files/Common Files
Czytałem troszkę o nim i stwierdzam, że to jest keylogger. Ostatnio ktoś na moje konto wszedł, więc staram się tego pozbyć. Oczywiście ręcznie nie da się tego usunąć nawet w trybie awaryjnym, ponieważ jest już używany… Proszę o pomoc, log z OTL niżej;
http://wklej.to/DV8I
deFco247
(deFco247)
27 Czerwiec 2010 09:18
#2
Przede wszystkim musisz się pozbyć źródła infekcji, czyli:
Bot do odinstalowania, a instalka do kasacji.
W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:
:OTL FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” [2010-01-24 13:07:46 | 000,000,000 | —D | M] – C:\Documents and Settings\Acer\Dane aplikacji\Mozilla\Firefox\Profiles\crpx1n16.default\extensions\DTToolbar@toolbarnet.com [2010-03-14 21:37:05 | 000,002,423 | ---- | M] () – C:\Documents and Settings\Acer\Dane aplikacji\Mozilla\Firefox\Profiles\crpx1n16.default\searchplugins\askcom.xml [2010-01-24 13:07:27 | 000,000,523 | ---- | M] () – C:\Documents and Settings\Acer\Dane aplikacji\Mozilla\Firefox\Profiles\crpx1n16.default\searchplugins\daemon-search.xml O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKLM…\Run: [KernelFaultCheck] File not found O20 - Winlogon\Notify\LogonInit: DllName - logonInit.dll - C:\Program Files\Common Files\logonInit.dll () MsConfig - StartUpReg: ctfmon.exe - hkey= - key= - File not found [2010-06-27 10:11:47 | 000,000,073 | ---- | M] () – C:\Program Files\Common Files\userInit.dll :Reg [HKCU\Software\Microsoft\Internet Explorer\Main] “Start Page”=“http://www.google.pl/ ” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Program Files\Nowe Gadu-Gadu\gg.exe”=- “C:\Program Files\uTorrent\uTorrent.exe”=- “C:\srcds\srcds.exe”=- “D:\gry\metin\metin2.bin”=- “D:\gry\metin\metin2client.bin”=- “D:\gry\TmNationsForever\TmForever.exe”=- “D:\gry\TmUnitedForever\TmForever.exe”=- :Commands [emptytemp]
Wykonaj skrypt i zatwierdź restart.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Skanuj .
cebul96
(Cebul96)
30 Czerwiec 2010 08:05
#3
Przepraszam, za moją nieobecność ale nie byłem w domu…
Usunąłem Elfbota ręcznie [po prostu folder->usuń i z kosza], ponieważ nie posiadał uninstalki.
Wykonałem skrypt. Oto log z usuwania; http://wklej.to/Bg0Z
logonInit.dll i userInit.dll zniknęły z Common Files. Ale nie sądzę, że keylogger by tak łatwo się usunął… Logi po usuwaniu; http://wklej.to/rum7 , http://wklej.to/zbm8
deFco247
(deFco247)
30 Czerwiec 2010 08:31
#4
Proszę nie przestawiaj w OTL-u wszystkich opcji na All (Wszystko), gdyż to tylko utrudnia analizę. Skan ma być wykonywany na ustawieniach domyślnych.
Poza tym:
[2010-06-28 10:59:47 | 000,031,232 | ---- | C] (NirSoft) – C:\WINDOWS\NIRCMD.exe [2010-06-28 10:59:46 | 000,161,792 | ---- | C] (SteelWerX) – C:\WINDOWS\SWREG.exe [2010-06-28 10:59:46 | 000,136,704 | ---- | C] (SteelWerX) – C:\WINDOWS\SWSC.exe [2010-06-28 10:59:45 | 000,212,480 | ---- | C] (SteelWerX) – C:\WINDOWS\SWXCACLS.exe [2010-06-28 10:59:31 | 000,000,000 | —D | C] – C:\WINDOWS\ERDNT [2010-06-28 10:57:26 | 000,000,000 | —D | C] – C:\Qoobox
Uruchamiałeś Combofix. To nie jest zabawka, by odpalać go jak skaner. Używa się go tylko i wyłącznie jak ktoś kompetentny o to poprosi.
Jeśli przy tym uruchomieniu log powstał, to musisz go pokazać.
cebul96
(Cebul96)
30 Czerwiec 2010 20:08
#5
Używałem Combo Fixa, to prawda i to jeszcze bodajże dzień przed postem… Tak mam jeszcze loga [wtedy logonInit.dll jeszcze posiadałem]
http://wklej.to/knHn | Nowy log OTL z poprawionymi ustawieniami [te z tematu] http://wklej.to/g8kD ; Extras -> http://wklej.to/PqGg
deFco247
(deFco247)
30 Czerwiec 2010 20:32
#6
Combofix usunął jeden plik, który zdaje się być deinstalatorem:
Przywróć go do tej lokalizacji z folderu C:\Qoobox\Quarantine\C\WINDOWS\System32 i usuń z nazwy pliku końcówkę .vir .
Wykonaj: Start -> Uruchom… -> Combofix /uninstall
W OTL użyj opcji Sprzątanie .
Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP /Vista /Windows 7 .
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
Zaktualizuj:
Internet Explorer 8 (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)
Java 6 Update 20
Skype 4.2/5.0 beta