Podejrzenie keyloggera albo innego syfu

Matisza · 25 Lipiec 2012 15:09

Podejrzewam, że na moim komputerze coś siedzi. Użyłem programów - Nod eset, ccleaner, spybot S&D, dr. web, antimalware real-time guard, malwarebytes anti-malware (tak wiem cała masa tego). Mam włączonego firewalla, nie ściągam żadnych plików (oprócz tych programów wyżej wymienionych) ani nie wchodzę na żadne “ruskie strony”, ale mam paranoję, że coś siedzi na twardzielu.

http://wklej.to/fxGdg - OTL

http://wklej.to/xcBL3 - Extras

Acorus · 25 Lipiec 2012 15:34

Odinstaluj Spybot - Search & Destroy,YouTube Downloader Toolbar v4.5,Ad-Aware SE Professional,MediaBar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – G:\INSTALL\GMSIPCI.SYS – (GMSIPCI) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Program Files\Garena Classic\safedrv.sys – (GGSAFERDriver) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.imesh.com/sidebar.html?src=ssb&sysid=1 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.imesh.com/sidebar.html?src=ssb&sysid=1 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.imesh.com/sidebar.html?src=ssb&sysid=1 IE - HKCU…\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - SOFTWARE\Classes\CLSID{F3FEE66E-E034-436a-86E4-9690573BEE8A}\InprocServer32 File not found FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…browser.search.param.yahoo-fr: “chr-greentree_ff&type=937811” FF - prefs.js…browser.search.selectedEngine: “Search the web (Babylon)” FF - prefs.js…browser.startup.homepage: “http://search.babylon.com/?babsrc=HP_Prot” FF - prefs.js…extensions.enabledItems: wtxpcom@mybrowserbar.com:4.5 FF - prefs.js…extensions.enabledItems: youtubedownloader@mybrowserbar.com:4.5 FF - prefs.js…sweetim.toolbar.previous.browser.search.defaulturl: “http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch” FF - prefs.js…sweetim.toolbar.previous.browser.search.selectedEngine: “Yahoo” FF - prefs.js…browser.startup.homepage: “http://home.sweetim.com” FF - prefs.js…sweetim.toolbar.previous.keyword.URL: “http://search.imesh.com/web?src=ffb&systemid=1&q=” [2011-02-23 00:32:13 | 000,000,000 | —D | M] (MediaBar) – C:\Documents and Settings\Wlasciciel\Dane aplikacji\Mozilla\Firefox\Profiles\chxqi1y1.default\extensions{28387537-e3f9-4ed7-860c-11e69af4a8a0} [2012-07-22 12:04:29 | 000,000,000 | —D | M] (No name found) – C:\Documents and Settings\Wlasciciel\Dane aplikacji\Mozilla\Firefox\Profiles\chxqi1y1.default\extensions\ffxtlbr@babylon.com [2010-09-02 10:09:28 | 000,002,486 | ---- | M] () – C:\Documents and Settings\Wlasciciel\Dane aplikacji\Mozilla\Firefox\Profiles\chxqi1y1.default\searchplugins\iMeshWebSearch.xml [2011-07-14 23:29:06 | 000,003,915 | ---- | M] () – C:\Documents and Settings\Wlasciciel\Dane aplikacji\Mozilla\Firefox\Profiles\chxqi1y1.default\searchplugins\SweetIM Search.xml O3 - HKLM…\Toolbar: (MediaBar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Program Files\iMesh Applications\MediaBar\ToolBar\imeshdtxmltbpi.dll () O3 - HKLM…\Toolbar: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - Reg Error: Value error. File not found O3 - HKLM…\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [DATAMNGR] C:\Program Files\iMesh Applications\MediaBar\Datamngr\datamngrUI.exe (iMesh, Inc) O4 - HKCU…\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - HKCU…\Run: [startup] File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Aktywacja Testera.lnk = File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [resethosts]

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete

Matisza · 25 Lipiec 2012 16:11

Wszystko zrobione tak jak napisałeś. Nie wiem tylko czy mam dać jeszcze wyciąg z OTL’a/AdwCleaner’a, czy może to już wszystko

EDIT: W takim razie serdeczne Bóg zapłać za pomoc. Zdrowia życzę. V

adam9870 · 25 Lipiec 2012 16:21

To wszystko.

Pozdrawiam.