Keylogger, trojan


(Adam5051) #1

Siema.

Nie wiem czemu ale mam dziwne przeczucie ze w moim kompie cos siedzi :confused: Czy widzicie tu coś złego?? Jesli nie trojan to czy jest tu cos odpowiedzialnego za powolność kompa??

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:22:16, on 2007-11-26

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe

D:\menu\PowerMenu.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [HP Software Update] "c:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE

O4 - Startup: PowerMenu.lnk = D:\menu\PowerMenu.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{3FC9CB13-5C70-4E75-A135-DF30381DEFD4}: NameServer = 194.204.159.1 217.98.63.164

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe


--

End of file - 3445 bytes

(Lost World) #2

Nie widzę nic podejrzanego.

Daj log z Combofix

Opis użycia ComboFix jest na tej stronie z linku.

Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/, a tu daj tylko link.


(Adam5051) #3

Oto link:

http://www.wklej.org/id/a45363d4cd


(Gutek) #4

skąd te przypouszczenia? Log wg mnie czysty


(Adam5051) #5

Teraz jestem pewien ze cos mam (ale wtedy chyba jeszcze tego nie bylo) avast wykryl mi exploita, lecz gdy probowalem znaleść go innymi programami nic nie znalazłem... Czy na podstawie loga z combofix mozecie tez powiedziec czy mam exploita/wirusa/robaka?? I czy na forum jest jakiś dobry artykół jak sie zbezpieczyć przed tym wszystkim??


(Gutek) #6

nie masz czym sie martwić.

Skan AVG Anti-Spyware 7.5 po update + raport :wink:


(Adam5051) #7

Oto raport:

---------------------------------------------------------

AVG Anti-Spyware - Scan Report

---------------------------------------------------------


 + Created at:	19:03:52 2007-12-05


 + Scan result:	




C:\Documents and Settings\Administrator\Cookies\administrator@auto.search.msn[1].txt -> TrackingCookie.Msn : Cleaned.

:mozilla.18:C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\wvgl07jz.default\cookies.txt -> TrackingCookie.Netflame : Cleaned.

:mozilla.33:C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\wvgl07jz.default\cookies.txt -> TrackingCookie.Revsci : Cleaned.

:mozilla.34:C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\wvgl07jz.default\cookies.txt -> TrackingCookie.Revsci : Cleaned.

:mozilla.35:C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\wvgl07jz.default\cookies.txt -> TrackingCookie.Revsci : Cleaned.

:mozilla.36:C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\wvgl07jz.default\cookies.txt -> TrackingCookie.Revsci : Cleaned.

:mozilla.51:C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\wvgl07jz.default\cookies.txt -> TrackingCookie.Webtrends : Cleaned.

C:\Documents and Settings\Administrator\Cookies\administrator@m.webtrends[2].txt -> TrackingCookie.Webtrends : Cleaned.



::Report end

A jeszcze co do tego artykułu, czy jest taki na forum gdzieś?

Tylko nie piszcie, ze starczy antyvir i firewall bo chcialbym sie zabezpieczyć bardzo dobrze przed wszystkim w tym najbardziej keyloggery itp przechwytujące hasla.


(Gutek) #8

No to Ok