Perekt Keylogger i zamulenie kompa


(bart_grono) #1

Witam was ponownie. Zagladam tutaj juz 2 raz aby prosic was o pomoc

Problem:

Jak wiadomo kazdy lubi przegladac siec i wpadlem w "zasadzke" SPYWARE TERMINATOR wykryl mi Perfect KeyLogger i nie tylko .

Oto zamieszczam moj login z HijacThis.......

http://wklejto.pl/36894


(deFco247) #2

Fix w HiJackThis: ( Do a system scan only -> zaznaczasz pola przy podanych niżej wpisach -> Fix checked )

Jeśli sam nie nałożyłeś restrykcji na komputer, to to również sfiksuj.

Pobierz Combofix, ale nie uruchamiaj.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Otwórz Notatnik i wklej do niego:

File::

C:\WINDOWS\smss.cmd

Plik zapisz jako CFScript.txt , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

Potem dajesz log z usuwania Combofix.


(bart_grono) #3

http://wklejto.pl/36896

Jeszcze jedna informacja posiadam zapore Sygate Profesional FIrewall i podczas szperania i sciagania wlaczylem jakis plik co spowodowalo uruchomienie sie zapory. Zapora spytala sie (po angielsku) czy zezwolic na polaczenie wychace od system32 do portalu o2.pl zablokowalem bo mysle ze wysyla tam moje informacje


(deFco247) #4

Log bez ukośników ** - co uniemożliwia jego analizę.

Wklej loga na wklej.org lub wklej.to.


(bart_grono) #5

Nie rozumiem o co panu chdzi w wkleilem to na wklej z pliku txd z combofix

@EDIT

CHYBA wiem jaki blad nowy link

http://wklej.to/2Y4a


(96jasio96) #6

Kopiujesz zawartość pliku ComboFix , a nie wklejasz przez przeglądaj.


(deFco247) #7

Log wygląda tak:

A powinien wyglądać tak:


(bart_grono) #8

CHYBA wiem jaki blad nowy link

http://wklej.to/2Y4a

-- Dodane 22.06.2009 (Pn) 17:34 --

CHYBA wiem jaki blad nowy link

http://wklej.to/2Y4a


(deFco247) #9

O rany, pomyliłem literki dysku! #-o

Pobierz Avenger i uruchom.

Skopiuj ten tekst:

Files to delete:

E:\WINDOWS\smss.cmd

W oknie Avengera klikasz Paste Script from Clipboard , wybierasz Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt

Poza tym log z Combofixa wygląda na czysty.

Menu Start -> Uruchom... -> Combofix /u

Przeczyść system CCleanerem.

Usuń zbędniki z autostartu.

Wykonaj pełny skan DR WEB CureIt.


(bart_grono) #10

Krotki log wiec napisze tutaj

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com


Platform: Windows XP


*******************


Script file opened successfully.

Script file read successfully.


Backups directory opened successfully at E:\Avenger


*******************


Beginning to process script file:


Rootkit scan active.

No rootkits found!


File "E:\WINDOWS\smss.cmd" deleted successfully.


Completed script processing.


*******************


Finished! Terminate.

Trzeba sciagnac Dr.web chociaz posiadam Spyware terminator i nod32?


(deFco247) #11

Jak Spyware Terminator nic nie wykrywa, to powinno być już czysto. :))

Chociaż warto na wszelki wypadek zrobić skan DR WEB'em.


(bart_grono) #12

Boje sie ze zaraz beda sie grysc ale bardzo dziekuje

Niewiem jakiego anty wira uzywaz z AVAST przeszedlem na NOD32 wszyscy pisza ten dobry ten lepszy wiec nigdy nie wiem wiesz moze czy na forum jest jakis temat o tym ktory szczerze mowi o anty wirusach?


(96jasio96) #13

Nie ma tematu , ale Avast'a nie da się porównać do Nod'a . Odinstaluj Avasta :slight_smile:


(bart_grono) #14

OOOOOOOOOOO prosze bardzo przed sekunda siedze na forum dobre programy iiiiiiiii nod wzywa sestem32hk.dll w window/system32

-- Dodane 22.06.2009 (Pn) 18:14 --

2009-06-22 18:10:37 Ochrona systemu plików w czasie rzeczywistym plik E:\WINDOWS\SYSTEM32\SESTEM32HK.DLL Win32/Spy.PerfKey koń trojański wyleczony przez usunięcie - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: E:\PROGRAMY\Systemowe\SPF\smc.exe.