Keylogger - logonInit.dll


(Cebul96) #1

Witam, ostatnio zauważyłem, że jedna z moich gier mmorpg wykorzystuje moduł "logonInit.dll", który znajduje się w folderze C:/Program Files/Common Files

Czytałem troszkę o nim i stwierdzam, że to jest keylogger. Ostatnio ktoś na moje konto wszedł, więc staram się tego pozbyć. Oczywiście ręcznie nie da się tego usunąć nawet w trybie awaryjnym, ponieważ jest już używany.. Proszę o pomoc, log z OTL niżej;

http://wklej.to/DV8I


(deFco247) #2

Przede wszystkim musisz się pozbyć źródła infekcji, czyli:

Bot do odinstalowania, a instalka do kasacji.

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

Wykonaj skrypt i zatwierdź restart.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Skanuj.


(Cebul96) #3

Przepraszam, za moją nieobecność ale nie byłem w domu..

Usunąłem Elfbota ręcznie [po prostu folder->usuń i z kosza], ponieważ nie posiadał uninstalki.

Wykonałem skrypt. Oto log z usuwania; http://wklej.to/Bg0Z

logonInit.dll i userInit.dll zniknęły z Common Files. Ale nie sądzę, że keylogger by tak łatwo się usunął.. Logi po usuwaniu; http://wklej.to/rum7 , http://wklej.to/zbm8


(deFco247) #4

Proszę nie przestawiaj w OTL-u wszystkich opcji na All (Wszystko), gdyż to tylko utrudnia analizę. Skan ma być wykonywany na ustawieniach domyślnych.

Poza tym:

Uruchamiałeś Combofix. To nie jest zabawka, by odpalać go jak skaner. Używa się go tylko i wyłącznie jak ktoś kompetentny o to poprosi.

Jeśli przy tym uruchomieniu log powstał, to musisz go pokazać.


(Cebul96) #5

Używałem Combo Fixa, to prawda i to jeszcze bodajże dzień przed postem.. Tak mam jeszcze loga [wtedy logonInit.dll jeszcze posiadałem]

http://wklej.to/knHn | Nowy log OTL z poprawionymi ustawieniami [te z tematu] [http://wklej.to/g8kD](http://wklej.to/g8kD) ; Extras -> http://wklej.to/PqGg


(deFco247) #6

Combofix usunął jeden plik, który zdaje się być deinstalatorem:

Przywróć go do tej lokalizacji z folderu C:\Qoobox\Quarantine\C\WINDOWS\System32 i usuń z nazwy pliku końcówkę .vir.

Wykonaj: Start -> Uruchom... -> Combofix /uninstall

W OTL użyj opcji Sprzątanie.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP/Vista/Windows 7.

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

Zaktualizuj:

Internet Explorer 8 (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)

Java 6 Update 20

Skype 4.2/5.0 beta