Pilna prośba o pomoc. Wirus / Keylogger / Riskware


(Peterwiejaczka) #1

Witam.

Mam pytanie. Kupiłem laptopa z zainstalowanym systemem Windows Vista HE. Włączyłem w domu lapka i zainstalowałem program antywirusowy: AVAST!

Który ewidętnie nie wykrył czegoś co nazywa się samo Keyloggerem. Skąd wiem? Odinstalowałem AVAST! Bo z czasem chodził coraz wolniej... Zainstalowałem: Avira AntiVir Personal... no i ten oto program antywirusowy znalazł mi na dysku... jakieś "cos".

Log:

Virus or unwanted program 'SPR/KeyLogger.QH [riskware]'

detected in file 'C:\Windows\System32\kbfiltr.sys.

Action performed: Deny acces

Problem w tym że nie idzie tego ani usunąć, ani przez poddanie kwarantannie wyleczyć pliku, ani normlanie, ani w trybie awaryjnym a z poziomu CMD nie mam dostępu do pliku: kbfiltr.sys gdzie wykryło to dziadostwo. Stwierdziłem że przeinstaluje system jeszcze raz i od samego początku zainstaluje Avire AntiVira. Co nie zmieniło nic! Dokładnie od samego początku program nadal wykrywa mi to dziadostwo, ale za żadne skarby nie mam jak tego usunąć. Czy to w ogóle możliwe żeby już sam windows którego mam na partycji recovery był zainfekowany? Nigdzie nie moge znaleść opisu po polsku do tego dziadostwa.

Proszę o info jak się tego skutecznie pozbyć? A jak by ktoś miał info co to za dziadostwo to też mile widziane. I z góry proszę spamiarzy z tekstem skorzystaj z google. Niestety nie pomogły. No chyba że nie wiem jak szukać. Pozdrawiam


(system) #2

daj log

combofix


(system) #3

Owszem idzie usunąć - odinstaluj sterownik klawiatury, tyko nie wiem, czy o to Ci chodzi.

Nigdy nie traktuj AV jako wyrocznie, te programy często generują fałszywe alarmy.


(Peterwiejaczka) #4

Postawiłem system jeszcze raz, bez instalacji Avira AntiVira i nie ma problemu, zainstalowalem Clamav, który nic nie znalazł. Nie wiem czy to możliwe żeby firma Avira dając mi antywirusa dołączyła dla checy jakiegos durnego "programika" ala keylogger? Poniżej log z Combofix`a. Ciekawy jestem co o tym myślicie.

ComboFix 09-04-21.06 - Kogut 2009-04-20 23:49.1 - NTFSx86

Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1250.48.1033.18.984.275 [GMT 1:00]

Uruchomiony z: c:\users\Kogut\Downloads\ComboFix.exe

* Utworzono nowy punkt przywracania

.

((((((((((((((((((((((((( Pliki utworzone od 2009-03-21 do 2009-04-21 )))))))))))))))))))))))))))))))

.

2009-04-20 22:42 . 2009-04-20 22:42 -------- d-----w c:\windows\system32\Macromed

2009-04-20 22:19 . 2009-04-20 22:19 -------- d-----w c:\users\Kogut\AppData\Local\Google

2009-04-20 22:02 . 2007-01-16 13:38 92032 ----a-w c:\windows\system32\drivers\ewusbmdm.sys

2009-04-20 22:02 . 2007-01-16 13:38 23424 ----a-w c:\windows\system32\drivers\ewdcsc.sys

2009-04-20 21:51 . 2009-04-20 21:51 -------- d-----w c:\users\Kogut\AppData\Roaming.clamwin

2009-04-20 21:51 . 2009-04-20 21:51 -------- d-----w c:\programdata.clamwin

2009-04-20 21:43 . 2009-04-20 21:43 70176 ----a-w c:\users\Kogut\AppData\Local\GDIPFONTCACHEV1.DAT

2009-04-20 21:42 . 2009-04-20 21:42 -------- d-----w c:\users\Kogut\AppData\Roaming\The TechGuys

2009-04-20 21:42 . 2009-04-20 21:42 -------- d-----r c:\users\Kogut\Searches

2009-04-20 21:42 . 2009-04-20 21:42 -------- d-----r c:\users\Kogut\Contacts

2009-04-20 21:42 . 2009-04-20 21:42 -------- d-----w c:\users\Kogut\AppData\Local\VirtualStore

2009-04-20 21:41 . 2009-04-20 21:41 -------- d-----w c:\users\Kogut\AppData\Local\Adobe

2009-04-20 21:35 . 2009-04-20 21:35 -------- d-----r c:\windows\system32\config\systemprofile\Contacts

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-20 22:48 . 2008-09-12 17:29 -------- d-----w c:\program files\Google

2009-04-20 22:02 . 2006-11-02 10:25 86016 ----a-w c:\windows\Inf\infstrng.dat

2009-04-20 22:02 . 2006-11-02 10:25 51200 ----a-w c:\windows\Inf\infpub.dat

2009-04-20 22:02 . 2006-11-02 10:25 86016 ----a-w c:\windows\Inf\infstor.dat

2009-04-20 22:01 . 2009-04-20 22:01 -------- d-----w c:\program files\Huawei technologies

2009-04-20 22:01 . 2008-09-11 22:27 -------- d--h--w c:\program files\InstallShield Installation Information

2009-04-20 21:51 . 2009-04-20 21:51 -------- d-----w c:\program files\ClamWin

2009-04-20 21:41 . 2009-04-20 21:41 -------- d-----w c:\program files\Common Files\Adobe

2008-01-21 02:43 . 2006-11-02 12:50 174 --sha-w c:\program files\desktop.ini

2008-04-21 14:46 . 2008-04-21 14:46 8192 --sha-w c:\windows\Users\Default\NTUSER.DAT

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]

2008-09-12 17:29 157168 ----a-w c:\programdata\Partner\partner.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-12 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-08-25 150040]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-08-25 178712]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-08-25 154136]

"SpareMessaging"="c:\program files\Spare Messaging\MessagingApp.exe" [2007-11-28 42824]

"Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-08-06 20480]

"UpdateP2GShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-01-04 222504]

"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2009-04-14 86016]

"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-05-07 6139904]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Launch.lnk - c:\windows\Installer{4A65DAD2-E914-4923-9C2A-81B968A68CE2}_A685CC3126A7CC37D335DE.exe [2008-9-12 17542]

OSD.lnk - c:\windows\Installer{73289228-1853-4623-982A-EB17FF0270CA}_1F0B30F16FFA954160D1AF.exe [2008-9-11 21630]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{4F248E39-207B-4855-BDE3-1C281B7C9F2E}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{CD9E6FB5-CDD5-4A60-B886-F63329F31A34}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

R3 Partner Service;Partner Service;c:\programdata\Partner\partner.exe [2008-09-12 110576]

S2 OsdService;OSD Service;c:\program files\OEM\OSD_1.2\OsdService.exe [2008-02-22 94208]

S3 GpdDevDPort;GpdDevDPort;c:\windows\system32\directport.sys [2008-05-21 7168]

S3 GpdKbFilter;GpdKbFilter;c:\windows\system32\kbfiltr.sys [2008-04-22 8192]

S3 IntcHdmiAddService;Intel® High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2008-07-15 112128]

S3 RTL8187Se;Realtek RTL8187SE Wireless LAN PCIE Network Adapter;c:\windows\system32\DRIVERS\RTL8187Se.sys [2008-07-10 331776]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{dea69d56-2df5-11de-859e-00030db18b3a}]

\shell\AutoRun\command - D:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{dea69d77-2df5-11de-859e-00030db18b3a}]

\shell\AutoRun\command - D:\AutoRun.exe

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.google.com/ig/redirectdomain ... bmod=DSGI;

mStart Page = hxxp://www.google.com/ig/redirectdomain ... &bmod=DSGI

Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\program files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-21 23:51

Windows 6.0.6001 Service Pack 1 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

Czas ukończenia: 2009-04-21 23:52

ComboFix-quarantined-files.txt 2009-04-21 22:52

Przed: 133 276 160 000 bytes free

Po: 133 274 820 608 bytes free

104


(system) #5

To jest niemożliwe, ponieważ firma Avira jest producentem oprogramowania AV, a nie sterników klawiatury!

Sterownik kbfiltr.sys należy do oprogramowania Dritek Hotkey Keyboard Filter Driver dostarczanego przez Dritek System Inc (http://www.dritek.com.tw).

Podejmujesz bezsensowne działania:

  1. Reinstalacja systemu

  2. Wymiana dobrego programu AV na skaner antywirusowy

  3. Katowanie nowo postawionego systemu narzędziem ComboFix

A rezultat tych działań - spójrz co listuje ComboFix:


(Peterwiejaczka) #6

Barnabo, katowanie systemu :wink: dobre :slight_smile: dobre :wink: napisano mi żeby dał loga z niego to dałem, wiec jakie katowanie?

A swoja droga, to przeciez Avira wywalala mi jakiś błąd którego żaden program nie dostrzegał. Więc starą zasada... kto pyta nie błądzi. Narazie jest chwilowy spokój. Pozdrawiam.