Podejrzenie KeyLoggera - Skan FARBAR


(Czajo) #1

Witam. Miałem podejrzenie, że ktoś wrzucił mi keylogger, znalazłem KeyTurion. Usunąłem go z dysku i wrzucam logi, czy już czysto

http://wklej.org/id/3064981/ - FRST
http://wklej.org/id/3064982/ - additions
http://wklej.org/id/3064983/ - shortcut


(Acorus) #2

Otwórz notatnik systemowy i wklej:

Task: {D269F0FE-2425-408F-839F-E1E546DE4209} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku <==== UWAGA
Task: {EAB3C88D-EF65-4BF7-A764-C202714E25B2} - \MySQL\Installer\ManifestUpdate -> Brak pliku <==== UWAGA
HKU\S-1-5-21-727771192-3258685975-175913012-1001…\Run: [KeyTurion] => D:\Nowy folder\Datpol\KeyTurion.exe [3469312 2017-03-10] ()
HKU\S-1-5-21-727771192-3258685975-175913012-1001…\RunOnce: [Uninstall C:\Users\czajo\AppData\Local\Microsoft\OneDrive\17.3.6390.0509_1\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\czajo\AppData\Local\Microsoft\OneDrive\17.3.6390.0509_1\amd64"
HKU\S-1-5-21-727771192-3258685975-175913012-1001…\MountPoints2: {4ad27c6f-8799-11e6-af19-40b89a38099e} - "F:\AutoRun.exe"
HKU\S-1-5-21-727771192-3258685975-175913012-1001…\MountPoints2: {74d9aded-ac9f-11e5-aebf-806e6f6e6963} - "E:\bin\cdviewer.exe"
HKU\S-1-5-21-727771192-3258685975-175913012-1001…\MountPoints2: {d9169bda-db55-11e6-af40-40b89a38099e} - "F:\AutoRun.exe"
GroupPolicy: Ograniczenia <======= UWAGA
S3 OracleXEClrAgent; D:\oracle\database\app\oracle\product\11.2.0\server\bin\OraClrAgnt.exe agent_sid=CLRExtProc max_dispatchers=2 tcp_dispatchers=0 max_task_threads=6 max_sessions=25 ENVS=“EXTPROC_DLLS=ONLY:D:\oracle\database\app\oracle\product\11.2.0\server\bin\oraclr11.dll” <==== UWAGA
S2 OracleXETNSListener; D:\oracle\database\app\oracle\product\11.2.0\server\BIN\tnslsnr.exe [X]
S3 dcdbas; \SystemRoot\System32\drivers\dcdbas64.sys [X]
S3 Ser2pl; \SystemRoot\system32\DRIVERS\ser2pl64.sys [X]
C:\Users\czajo\Rainmeter.dll
C:\Users\czajo\Rainmeter.exe
C:\Users\czajo\SkinInstaller.exe
C:\Users\czajo\uninst.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom jako administrator FRST i kliknij w Fix/Napraw.
Przeskanuj progr. Malwarebytes Anti-Malware http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/