Keylogger, wyłączanie się strony!


(Cs1020) #1

Cześć. Mam wrażenie, że ściągnąłem keyloggera. Próbuje zalogować się na stronie http://www.tibia.com i nie mogę. Naciskam login i strona mi się wyłącza. Po włączeniu kompa pokazało mi że mam wirusa w pliku ssms.cmd ale to chyba plik od systemu? :cry:. Możecie mi jakoś pomóc? Dać logi z hijact?


(Henio Mazurek) #2

Daj z OTL i gmer

http://oldtimer.geekstogo.com/OTL.exe

http://www.gmer.net/

Wklejasz na www.wklej.org a tutaj dajesz tylko link.


(koleś git) #3

jeszcze z combofixa dorzuć


(Henio Mazurek) #4

Z ComboFix'a nie trzeba. OTL i gmer pokazują to samo a są nie-inwazyjne.


(Cs1020) #5

Tak o:

log z OTL

http://www.wklej.org/id/110453/

był jakiś jeszcze extras , też wkleiłem. Oto on:

http://www.wklej.org/id/110452/

combofix (usunął jakieś 2 pliki).

http://www.wklej.org/id/110454/

gmer

http://www.wklej.org/id/110455/

Gdy włączę antywira pojawia mi się takie coś:

beztytuurvp.th.jpg

Przepraszam, że tak długo. Jakbyście mogli tu zobaczyć:

wydajnosc-procesora-bardzo-duza-keylogger-t338083.html


(Henio Mazurek) #6

Nie kazałem stosować ComboFix'a bo i tak nic tutaj właściwie nie ma, wygląda na to, że się w dodatku pomylił i usunął bibliotekę od HP. Tutaj żadnego keyloggera nie widać. Jest jakiś smss.cmd i wygląda na to, że jest do usunięcia.

Poznajesz te rzeczy?

W OTL wklej

Klikasz Run Fix. Pokazujesz nowo robiony log z OTL.


(Cs1020) #7

Te ;] to zdjęcie znajomej

łŘ˝Ľ ÇĂ·Ż±× pusty folder

ealregsnapshot1.reg a to nie wiem

Usunąłem wszystko ręcznie. O to log ze scanu:

http://www.wklej.org/id/110466/

a to mi się pokazało:

http://www.wklej.org/id/110467/

Strona już mi normalnie otwiera się.

Otworzyłem to :arrow: i pokazało że ssms.cmd jest wirusem :?: C://_OTL/MovedFiles/06232009_090339/WINDOWS/ssms.cmd

nic nie robiłem z nim, usunąć???

W 06232009_090339 są foldery:

FOUND.001

FOUND.002

FOUND.003


(96jasio96) #8

To są foldery , a nie pliki . Aha , i jeszcze jedno . ComboFix to nie to samo co OTL i Gmer razem . ComboFix umie sam usunąć syf , a OTL i Gmer nie . Mówisz że ComboFix nic nie znalazł ?? Znalazł to samo co OTL i Gmer .


(Henio Mazurek) #9

Nie wiem po co majstrujesz przy kwarantannie OTL, gdyby tam był Sality to też byś otworzył?

AskToolbar do deinstalacji. Nic więcej nie ma. W OTL klikasz Clean up.

Wyłącz na chwilę przywracanie systemu.

Wykonaj dokładny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

http://dobreprogramy.pl/index.php?dz=2& ... lware+1.37

Przeczyść rejestr CCleaner'em

http://dobreprogramy.pl/index.php?dz=2& ... +v2.19.901

jasio96, wiem, że to foldery, komenda w OTL jest ta sama dla folderów co i plików.

Poza tym po co od razu stosować ComboFix, zwłaszcza jak nic wielkiego tutaj nie ma. To czasem może się źle skończyć.


(Cs1020) #10


(Henio Mazurek) #11

Ja to usunąłem skryptem, to jest w kwarantannie OTL. Pozbędziesz się tego wykonując to co jest w moim poprzednim poście.

Folder C:_OTL jest kwarantanną OTL i zniknie jak klikniesz w OTL Clean up. To sprzątnie też resztki po ComboFix.

W logu nic więcej nie ma.


(Cs1020) #12

po skanie log:

http://www.wklej.org/id/110545/

log z otl:

http://www.wklej.org/id/110547/

Tamte ssms.cmd usunięte :stuck_out_tongue:

zaraz jeszcze cleanera użyje.

CCleaner'a użyłem ale rejestr cały naprawił.

Loga już chyba nie muszę dawać?

-- Dodane 23.06.2009 (Wt) 11:53 --

Możecie zajrzeć tutaj :?:

:arrow: wydajnosc-procesora-bardzo-duza-keylogger-t338083.html


(Henio Mazurek) #13

Znaczy, że co, usunąłeś z kwarantanny OTL? To nie było potrzebne - wystarczyło kliknąć Clean up w OTL - masz to zrobić.


(Cs1020) #14

Okej zrobiłem tak. Zrestartowało mi komputer. Dobrze?


(Henio Mazurek) #15

Tak. Nic już nie ma.


(Cs1020) #16

Dziękuje! a mógłbyś jeszcze tutaj pomóc? :arrow: wydajnosc-procesora-bardzo-duza-keylogger-t338083.html