Kedriik
(Kedriik)
6 Styczeń 2007 14:57
#1
Czy ktoś moze wie jak sie pozbyć keyloggera ? Wystarczy poprostu przeskanować hdd czy trzeba podejmować jakies inne środki ? z góry dzięki pozdro
laki000
(Laki000)
6 Styczeń 2007 15:02
#2
przeskanować antywirusem i dać logi
Kedriik
(Kedriik)
6 Styczeń 2007 15:05
#3
dać logi ? czyli ? Noobkiem jestem i zabardzo sie nie znam na tych sprawach
adam9870
(adam9870)
6 Styczeń 2007 15:05
#4
Przeskanuj http://www.ewido.net/en/ . Potem wklej raport ze skanowania oraz logi (do tego tematu) - HijackThis i SilentRunners:
http://forum.dobreprogramy.pl/viewtopic.php?t=36654
Joan
(Joan Sunshine)
6 Styczeń 2007 15:17
#6
Wyłączasz przywracanie systemu (Panel sterowania -> System -> Przywracanie systemu -> zaznaczasz „Wyłącz przywracanie systemu” ).
W HJT odpalonym z trybie awaryjnym zaznaczasz wpisy i klikasz na dole “Fix checked” , to co na czerwono usuwasz ręcznie z dysku:
Po zabiegach nowe logi z HiJacka oraz Silent Runners (zaznaczasz No i czekasz aż skończy pracować w tle).
MarioC
(Mario C)
6 Styczeń 2007 15:20
#7
Nie trzymaj Hijacka w folderze tymczasowym umiejść go w innej lokalizacji np. na pulpicie
Kedriik
(Kedriik)
6 Styczeń 2007 15:58
#8
Skąd bede wiedział jakie wpisy zaznaczyć ?
btw jak mam dysk podzielony na dwie partycje to coś zmienia ? czy toi co wyzej podałem jest wystarczające ?
adam9870
(adam9870)
6 Styczeń 2007 16:05
#9
Spisz sobie np. na kartkę. Albo w oknie przeglądarki wybierz Plik => zapisz jako => wskaż gdzie chcesz zapisać stronę (np. na pulpit) i będąc w trybie awaryjnym otworzysz tą stronę bez konieczności łączenia z internetem i będziesz wiedział co i jak.
Ewentualnie będąc w trybie normalnym, mając uruchomioną przeglądarkę internetową usuń te wpisy.
Możesz zajrzeć tutaj:
http://forum.dobreprogramy.pl/viewtopic … 580#578580
Kedriik
(Kedriik)
6 Styczeń 2007 16:17
#10
adam9870:
Spisz sobie np. na kartkę. Albo w oknie przeglądarki wybierz Plik => zapisz jako => wskaż gdzie chcesz zapisać stronę (np. na pulpit) i będąc w trybie awaryjnym otworzysz tą stronę bez konieczności łączenia z internetem i będziesz wiedział co i jak. Ewentualnie będąc w trybie normalnym, mając uruchomioną przeglądarkę internetową usuń te wpisy. Możesz zajrzeć tutaj: http://forum.dobreprogramy.pl/viewtopic … 580#578580
ano fakt, źle zrozumiałem wypowiedź kolegi, czyli to co zaznaczył na czerwono mam zaznaczyc i wykasować (FIx checked)
adam9870
(adam9870)
6 Styczeń 2007 16:35
#11
Szukasz plików zaznaczonych na czerwono na dysku => na dany plik klikasz prawym klawiszem myszki i wybierasz Usuń.
Zaś wpisy usuwasz w HijackThis.
Piwollo
(Piwollo)
6 Styczeń 2007 16:44
#12
Noi po zabiegach:
Prosze wkleic na Forum nowe logi HijackThis + SilentRunners
Kedriik
(Kedriik)
7 Styczeń 2007 20:55
#13
Sorki ze nie odpowiadałem ale byłem u znajomej nvm
zrobiłem tak jak kazaliście o to nowe logi
Logfile of HijackThis v1.99.1 Scan saved at 21:56:51, on 2007-01-07 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\VIA\RAID\raid_tool.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Wapster\AQQ\AQQ.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe C:\PROGRA~1\NEOSTR~1\ComComp.exe C:\PROGRA~1\NEOSTR~1\Watch.exe C:\Program Files\Opera\Opera.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Odik\USTAWI~1\Temp\Rar$EX00.171\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O4 - HKLM…\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [i downloaded pirated Software from P2P] Just Cause O4 - HKLM…\Run: [Logitech Hardware Abstraction Layer] “C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE” O4 - HKLM…\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [AtiPTA] atiptaxx.exe O4 - HKLM…\Run: [RivaTunerStartupDaemon] “C:\Program Files\RivaTuner v2.0 RC 15.7\RivaTuner.exe” /S O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [AtiTrayTools] C:\Program Files\Radeon Omega Drivers\v2.6.61\ATI Tray Tools\atitray.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [AQQ] C:\PROGRA~1\Wapster\AQQ\AQQ.exe O4 - HKCU…\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe O4 - HKCU…\Run: [EdHTML] C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe /none O4 - HKCU…\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart O4 - Global Startup: Logitech SetPoint.lnk = ? O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip…{456691AF-ED21-43B8-8F1E-D7B5BBEA49EE}: NameServer = 194.204.152.34 217.98.63.164 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
Prosze uprzejmie o sprawdzenie, bardzo mi zależy zeby nie było żadnych keyloggerów (dość dobra, wykokszona postać w Silkroad OnLine, boje sie jej utraty)
Dziękuję uprzejmie
EDIT: BTW podac logi z drugiej (D) partycji ? czy wystarczy tylko z C ? Czy na D może znajdowac sie keylogger ?
adam9870
(adam9870)
7 Styczeń 2007 21:06
#14
Nie trzymaj hijacka w TEMPie - umieść go np. na pulpicie.
Ciachnij w hjt.
Po wykonaniu proszę pokazać nowy log z HijackThis plus z SilentRunners . Jeżeli podczas uruchamiania silenta pokaże się jakiś błąd, to proszę podać jego dokładną treść.
Narzędzia takie jak HijackThis pokazują najczęstsze miejsca, w których jest syf więc jeśli syf byłby na partycji D to prawdopodobnie byłoby widać.
Póki co postępuj według naszych wskazówek.
Kedriik
(Kedriik)
7 Styczeń 2007 21:43
#15
Logfile of HijackThis v1.99.1 Scan saved at 22:46:03, on 2007-01-07 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\VIA\RAID\raid_tool.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Wapster\AQQ\AQQ.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe C:\PROGRA~1\NEOSTR~1\ComComp.exe C:\PROGRA~1\NEOSTR~1\Watch.exe C:\Program Files\Opera\Opera.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Odik\USTAWI~1\Temp\Rar$EX27.500\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O4 - HKLM…\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [Logitech Hardware Abstraction Layer] “C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE” O4 - HKLM…\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM…\Run: [AtiPTA] atiptaxx.exe O4 - HKLM…\Run: [RivaTunerStartupDaemon] “C:\Program Files\RivaTuner v2.0 RC 15.7\RivaTuner.exe” /S O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [AtiTrayTools] C:\Program Files\Radeon Omega Drivers\v2.6.61\ATI Tray Tools\atitray.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [AQQ] C:\PROGRA~1\Wapster\AQQ\AQQ.exe O4 - HKCU…\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe O4 - HKCU…\Run: [EdHTML] C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe /none O4 - HKCU…\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart O4 - Global Startup: Logitech SetPoint.lnk = ? O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip…{456691AF-ED21-43B8-8F1E-D7B5BBEA49EE}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
Obciąłem to co mówiłeś a logi z Hijack, Sillent’a nie wiedzialem skąd ściągnąć (podany przez Ciebie link nie działa)
PS. na pewno nie ma żadnego keyloggera ? bardzo mi na tym zalezy
A i co do miejsca trzymania Hijack’a, trzymam go na pulpicie jak coś ;]
adam9870
(adam9870)
7 Styczeń 2007 21:46
#16
Log czysty.
O Silencie poczytaj TUTAJ lub TUTAJ .
Kedriik
(Kedriik)
7 Styczeń 2007 22:10
#17
Oki, wielkie dzięki za pomoc
Temat do wywalenia