Mam problem chyba keylogger zobaczcie prosze i pomozcie :(


(Empireofmagic) #1

Witam to znowu ja.Kiedys wklajalem juz log z HJT a teraz musze zrobic to ponownie.Ale najpierw napisze o co mi chodzi.Wiec tak gralem sobie w tibie (ogolnie to juz mialem konczyc i dac kumplowi konto) potem mnie wylogowalo itd wlaczam manager zadan i patrze proces (WinCE3.exe) juz wiedzialem o co chodzi wylaczylem go i teraz juz sie nie wlacza ale zrobilem log w HJT i usunolem pare programow i dalej sa w nim logi itd czy jak zadzialam HJT to usune te usuniete programy ?? (np na kompie juz nie mam Nortona tylko KIS 2009 i nie mma tez FlashGet) Ale wkleje tu logi dla pewnosci czy nie ma tutaj jakiegos syfu (aha zapomnialem napisac ze juz jakis smiec mi te konto odebral :/)

#


Logfile of Trend Micro HijackThis v2.0.2


#


Scan saved at 19:43:56, on 2009-07-31


#


Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)


#


MSIE: Internet Explorer v7.00 (7.00.5730.0013)


#


Boot mode: Normal


#



#


Running processes:


#


C:\WINDOWS\System32\smss.exe


#


C:\WINDOWS\system32\winlogon.exe


#


C:\WINDOWS\system32\services.exe


#


C:\WINDOWS\system32\lsass.exe


#


C:\WINDOWS\system32\svchost.exe


#


C:\WINDOWS\System32\svchost.exe


#


C:\WINDOWS\system32\svchost.exe


#


C:\WINDOWS\Explorer.EXE


#


C:\WINDOWS\system32\spoolsv.exe


#


C:\WINDOWS\system32\svchost.exe


#


C:\WINDOWS\system32\nvsvc32.exe


#


C:\Program Files\AutoConnect\AutoConnect.exe


#


C:\WINDOWS\system32\ctfmon.exe


#


C:\WINDOWS\system32\wscntfy.exe


#


C:\Program Files\Mozilla Firefox\firefox.exe


#


C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


#



#


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl


#


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157


#


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896


#


R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157


#


R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 


#


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza


#


R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL


#


O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll


#


O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll


#


O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll


#


O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\ppp\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll


#


O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup


#


O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"


#


O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe


#


O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe


#


O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')


#


O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')


#


O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')


#


O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')


#


O8 - Extra context menu item: &Pobierz wszystko przez FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm


#


O8 - Extra context menu item: &Pobrane przez FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm


#


O8 - Extra context menu item: Dodaj do listy blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm


#


O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000


#


O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll


#


O9 - Extra button: Wyslij SMS'a - {215940F1-E7E0-4801-BEE3-44D045534106} - C:\Program Files\Common Files\moje.js


#


O9 - Extra button: Kolekcja wycinków HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll


#


O9 - Extra button: Zaznaczanie HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll


#


O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL


#


O17 - HKLM\System\CCS\Services\Tcpip\..\{D4AB98DD-9C73-44F2-83E5-9096A4B25717}: NameServer = 194.204.159.1 217.98.63.164


#


O20 - AppInit_DLLs: C:\WINDOWS\SYSTEM32\comglt32a.dll,C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2009\mzvkbd.dll,C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2009\mzvkbd3.dll,C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2009\adialhk.dll,C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2009\kloehk.dll


#


O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe


#


O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe


#


O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe


#


O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


#


O23 - Service: Remote Procedure Call (RPCE) (RPCHE) - Conexant - (no file)


#


O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe


#


O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe


#


O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe


#



#


--


#


End of file - 5415 bytes

cos dziwnie sie log wkleil ale mniejsza z tym.Aha jak zrobic by pewne procesy sie nie wlaczaly ?? np TUProgSt.exe ?? zuzywa tylko pamiec a w msconfig go wylaczylem lecz dalej sie odpala.

Z gory dziekuje za pomoc i prosze napisac co usunac itd.


(deFco247) #2

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

Nie, on w większości przypadków usuwa tylko wpisy w rejestrze. Pliki zostają na dysku.

Pokaż logi z OTL oraz GMER.

W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj.