Niejaki ArdmaxKeylogger się zagnieździł

Ford · 8 Grudzień 2006 06:31

Witam, od wczoraj jak musiałem Kasperskiego wywalić i zainstalować F-Secure, to Windows Defender wywala cały czas coś o Ardmax Kelogger, niby za każdym razem to usuwa, ale po resie znów to samo…

Mój log:

Logfile of HijackThis v1.99.1 Scan saved at 07:32:09, on 2006-12-08 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe J:\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE J:\Unlocker\UnlockerAssistant.exe J:\Windows Defender\MSASCui.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\ctfmon.exe J:\FRAPS\FRAPS.EXE C:\Program Files\Tlen.pl\tlen.exe C:\AppServ\Apache2.2\bin\httpd.exe J:\F-Secure\backweb\4476822\Program\SERVIC~1.EXE C:\AppServ\Apache2.2\bin\httpd.exe J:\F-Secure\backweb\4476822\program\fsbwsys.exe J:\F-Secure\backweb\4476822\Program\fspex.exe J:\Kerio\Personal Firewall 4\kpf4ss.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE J:\Kerio\Personal Firewall 4\kpf4gui.exe j:\SQLSER~1\MSSQL\binn\sqlservr.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe J:\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\Mozilla Firefox 2 Beta 2\firefox.exe C:\WINDOWS\system32\wuauclt.exe J:\F-Secure\Common\FSMA32.EXE J:\F-Secure\Common\FSMB32.EXE J:\F-Secure\Common\FCH32.EXE J:\F-Secure\Anti-Virus\fsgk32st.exe J:\F-Secure\Anti-Virus\FSGK32.EXE J:\F-Secure\Anti-Virus\fsqh.exe J:\F-Secure\Common\FAMEH32.EXE J:\F-Secure\Anti-Virus\fsrw.exe J:\F-Secure\FWES\Program\fsdfwd.exe J:\F-Secure\Anti-Virus\fssm32.exe J:\F-Secure\Anti-Virus\fsav32.exe J:\F-Secure\Common\FSM32.EXE J:\F-Secure\ANTI-S~1\fsaw.exe J:\F-Secure\FSGUI\fsguidll.exe J:\Winamp\winamp.exe D:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://ftp.pcf.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - J:\SpyBot S&D\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - J:\MegaManager\MegaIEMn.dll O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM…\Run: [unlockerAssistant] “J:\Unlocker\UnlockerAssistant.exe” -H O4 - HKLM…\Run: [Windows Defender] “J:\Windows Defender\MSASCui.exe” -hide O4 - HKLM…\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM…\Run: [iSUSScheduler] “C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” -start O4 - HKLM…\Run: [GXHO] C:\WINDOWS\Sys\GXHO.exe O4 - HKLM…\Run: [F-Secure Manager] “J:\F-Secure\Common\FSM32.EXE” /splash O4 - HKLM…\Run: [F-Secure TNB] “J:\F-Secure\TNB\TNBUtil.exe” /CHECKALL /WAITFORSW O4 - HKLM…\Run: [F-Secure Startup Wizard] “J:\F-Secure\FSGUI\FSSW.EXE” /reboot O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Fraps] J:\FRAPS\FRAPS.EXE O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - Global Startup: F-Secure Anti-Virus 2006.lnk = J:\F-Secure\backweb\4476822\Program\fspex.exe O8 - Extra context menu item: &Clean Traces - J:\DAP\Privacy Package\dapcleanerie.htm O8 - Extra context menu item: &Download with &DAP - J:\DAP\dapextie.htm O8 - Extra context menu item: &Zablokuj to okienko - J:\F-Secure\Anti-Spyware\blockpopups.htm O8 - Extra context menu item: Download &all with DAP - J:\DAP\dapextie2.htm O8 - Extra context menu item: Download Link Using Mega Manager… - J:\MegaManager\mm_file.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://J:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Osłona programu IE - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - J:\F-Secure\Anti-Spyware\ieshield.dll O9 - Extra ‘Tools’ menuitem: Osłona programu IE… - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - J:\F-Secure\Anti-Spyware\ieshield.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - J:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [iNTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.pcf.pl/ O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 3831112468 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup … 9161089843 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing) O23 - Service: Apache2.2 - Unknown owner - C:\AppServ\Apache2.2\bin\httpd.exe" -k runservice (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: F-Secure Anti-Virus 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - J:\F-Secure\backweb\4476822\Program\SERVIC~1.EXE O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - J:\F-Secure\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - J:\F-Secure\backweb\4476822\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - J:\F-Secure\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - J:\F-Secure\Common\FSMA32.EXE O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - J:\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: mysql - Unknown owner - C:\AppServ\MySQL\bin\mysqld-nt.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Phylby · 8 Grudzień 2006 07:02

To jest zdaje sie to :

http://download.chip.pl/download_89987.html

Nie instalowałeś sobie tego ??

Ford · 8 Grudzień 2006 13:16

Jakbym instalował, to bym sie nie pytał jak to wywalić Czyli w logu tylko to?? Może w jv16 PowerTools poszukam tego.

Phylby · 8 Grudzień 2006 14:24

Jak byś to instalował też by się pytał . Po analizie własnego loga byś rozpoznał - a nie rozpoznałeś - co nie ??

Inaczej byś nie wklejał loga.

No to masz problem kolego . Radzę po usunięci tego pozmieniać hasełka .

To dziadowtwo zapisuje wciskane klawisze i wysyła je gdzieś w sieć .

Zastanów się kto Ci to zainstalował albo i naczej mówiąć ,skąd to sie przypałętało.

Nie instalowałeś ostatnio jakiegoś lewego programu ? . Na przykład tego

nowego F-Secure . W crackach łamiących zabezpieczenia często dodają takie badziewie.

O czym niby świadczy twoja wypowiedz :

Ford · 8 Grudzień 2006 14:47

No tego F-Secure ściągnąłem z dobreprogramy. Żadnych haseł to prawa zapisać nie miało, bo ja mam na wszystkich stronach autologowanie, a jest to dopiero od wczoraj, no chyba, że do gry, ale to mi zwisa. W logu może bym i to poznał, ale popatrz na czas wysłania posta, troche się do szkoły spieszyłem…

Złączono Posta : 08.12.2006 (Pią) 15:50

A no i te pliki z tego folderu C:/windows/sys wywaliłem wszystkie.