na100we
(Ermar123)
13 Październik 2012 20:23
#1
Witam.
Mam problem.
Jestem pewna że mam Keyloggera na pc.
Właśnie okradli moją sis w jednej grze.
Stało się to tak, że otworzyła ona pewien link od nieznajomego, a tam ss z napisem “MASZ KEYLOGGERA”.
Zeskanowałam OTL, a tutaj raporty:
OTL:
http://www.wklej.org/id/846840/
Extras:
http://www.wklej.org/id/846842/
Zupełnie nie wiem co dalej robić.
Jestem w tym zielona.
Proszę o dalsze instrukcję.
Acorus
(Acorus)
14 Październik 2012 08:58
#2
Odinstaluj Browser Manager,Internet Explorer Toolbar 4.6 by SweetPacks,BabylonObjectInstaller,Babylon toolbar on IE,Hero_Fighter Toolbar,Incredibar Toolbar on IE and Chrome,McAfee Security Scan Plus,Optimizer Pro v3.0,Web Optimizer.Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL MOD - [2012-09-13 15:26:52 | 001,006,448 | ---- | M] () – C:\WINDOWS\system32\dmwu.exe SRV - File not found [Auto | Stopped] – C:\Program Files\Web Assistant\ExtensionUpdaterService.exe – (Web Assistant Updater) SRV - File not found [Auto | Stopped] – -- (Browser Manager) SRV - [2012-09-13 15:26:52 | 001,006,448 | ---- | M] () [Auto | Running] – C:\WINDOWS\system32\dmwu.exe – (WebOptimizer) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva399.sys – (XDva399) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva398.sys – (XDva398) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=18&barid={8BC1D83D-9959-11DB-9608-001D7DD980E4} IE - HKLM…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=18&q={searchTerms}&barid={8BC1D83D-9959-11DB-9608-001D7DD980E4} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = http://search.babylon.com/?affID=112763 … 0acd011a84 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://isearch.avg.com/?cid={2075D65A-E8F0-4833-B4B3-877DD2406A0B}&mid=76f3501d88ca4d8d80155f6700d22c3e-157166706cb5ea2ded7a6d53537286ddbbda8e9c〈=pl&ds=AVG&pr=pr&d=2012-09-09 20:54:19&v=12.2.5.4&sap=hp IE - HKCU…\URLSearchHook: {b12785f5-d8d0-4530-a3ea-5c4263b85bef} - C:\Program Files\Hero_Fighter\prxtbHer2.dll (Conduit Ltd.) IE - HKCU…\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.) IE - HKCU…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=112763&tt=120912_pcp_3712_2&babsrc=SP_ss&mntrId=8cd03a49000000000000020acd011a84 IE - HKCU…\SearchScopes{95B7759C-8C7F-4BF1-B163-73684A933233}: “URL” = https://isearch.avg.com/search?cid={2075D65A-E8F0-4833-B4B3-877DD2406A0B}&mid=76f3501d88ca4d8d80155f6700d22c3e-157166706cb5ea2ded7a6d53537286ddbbda8e9c〈=pl&ds=AVG&pr=pr&d=2012-09-09 20:54:19&v=12.2.5.4&sap=dsp&q={searchTerms} IE - HKCU…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2342185 IE - HKCU…\SearchScopes{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: “URL” = http://mystart.incredibar.com/mb165/?search={searchTerms}&loc=IB_DS&a=6PQzJBCajP&i=26 IE - HKCU…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=18&q={searchTerms}&barid={8BC1D83D-9959-11DB-9608-001D7DD980E4} IE - HKCU…\SearchScopes{FCFA4A3B-B7F4-43D1-ACA8-183E7677D992}: “URL” = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 [2012-09-21 15:51:50 | 000,000,000 | —D | M] (SweetPacks Toolbar for Firefox) – C:\Documents and Settings\piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\ee6rr09l.default\extensions{EEE6C361-6118-11DC-9C72-001320C79847} [2012-09-21 15:51:37 | 000,000,000 | —D | M] (Babylon) – C:\Documents and Settings\piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\ee6rr09l.default\extensions\ffxtlbr@babylon.com [2012-06-07 10:42:39 | 000,000,000 | —D | M] (incredibar.com ) – C:\Documents and Settings\piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\ee6rr09l.default\extensions\ffxtlbr@incredibar.com [2007-01-01 07:55:31 | 000,002,223 | ---- | M] () – C:\Documents and Settings\piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\ee6rr09l.default\searchplugins\BabylonMngr.xml [2012-06-07 10:42:18 | 000,002,203 | ---- | M] () – C:\Documents and Settings\piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\ee6rr09l.default\searchplugins\MyStart Search.xml [2007-01-01 00:22:16 | 000,004,002 | ---- | M] () – C:\Documents and Settings\piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\ee6rr09l.default\searchplugins\sweetim.xml [2012-09-09 20:54:14 | 000,003,768 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml [2007-01-01 07:55:01 | 000,002,360 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.6.9.12\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM…\Toolbar: (Hero Fighter Toolbar) - {b12785f5-d8d0-4530-a3ea-5c4263b85bef} - C:\Program Files\Hero_Fighter\prxtbHer2.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) O3 - HKLM…\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKLM…\Toolbar: (&Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_0_1.dll (Yahoo! Inc.) O3 - HKLM…\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files\Incredibar.com \incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD) O3 - HKCU…\Toolbar\WebBrowser: (Hero Fighter Toolbar) - {B12785F5-D8D0-4530-A3EA-5C4263B85BEF} - C:\Program Files\Hero_Fighter\prxtbHer2.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) O3 - HKCU…\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (&Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_0_1.dll (Yahoo! Inc.) O4 - HKCU…\Run: [Optimizer Pro] C:\Program Files\Optimizer Pro\OptProLauncher.exe (PC Utilities Pro) O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\22643~1.41{16cdf~1\browse~1.dll) - File not found [2012-10-01 22:01:05 | 000,000,238 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2012-09-13 15:26:52 | 001,006,448 | ---- | M] () – C:\WINDOWS\System32\dmwu.exe :Commands [emptytemp]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
na100we
(Ermar123)
14 Październik 2012 11:04
#3
Odinstalowałam dane programy…
Nie wiem czy mam dać wklejkę dwóch dokumentów więc dam dwa
Raport, po restarcie komputera:
http://wklej.org/id/847055/
OTL:
http://wklej.org/id/847057/
Proszę o dalsze instrukcję.
Acorus
(Acorus)
14 Październik 2012 11:54
#4
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
.Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”
na100we
(Ermar123)
14 Październik 2012 13:13
#5
Acorus…
Zrobiłam format pc, przed Twoją odpowiedzią.
Cały dysk C został sformatowany.
Nie wiem, czy keylogger został zlikwidowany czy nie…
Mam postępować wg. dalszych instrukcji ?
Czy robić coś innego?
– Dodane 14.10.2012 (N) 16:21 –
Tutaj jest raport, z skanowania:
http://wklej.org/id/847181/
SS z skanowania:
– Dodane 14.10.2012 (N) 19:29 –
Hacker, wie co piszę np. w notatniku.
To nie jest Keylogger tylko na gre.
– Dodane 14.10.2012 (N) 19:50 –
Napisał mi, że nie pozbędę się tego g*wnianym OTL’em .
Na prawdę zaczynam się bać. Ja mu nie pisałam tego, że usuwam OTL’em.
Nie wiem czy iść z tym na policję.