Podejrzenie keyloggera

pawel9991 · 8 Luty 2011 20:20

Witam, podejrzewam, iż mam na kompie keyloggera, oto log z HiJackThis.

Proszę o pomoc

http://wklej.org/id/472561/ - log z hjt

i dodaje jeszcze log z OTL

http://wklej.org/id/472571/ - log z OTL

boria1975 · 8 Luty 2011 21:54

HiJackThis…

To jak chcesz znależć keylogera…? :o

pawel9991 · 8 Luty 2011 22:06

Patrzyłem w innych tematach o keyloggerach, że ludzie skanowali HJT i wklejali logi, więc też to uczyniłem, a jeśli nie tym to co mam zrobić żeby sprawdzić?

djkamil09061991 · 8 Luty 2011 22:29

wklej w OTL i naciśnij wykonaj skrypt:

:OTL FF - prefs.js…browser.search.defaultenginename: “Ask” FF - prefs.js…browser.search.defaulturl: “http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=” FF - prefs.js…browser.search.order.1: “Ask” O4 - HKLM…\Run: [Regedit32] File not found O4 - HKLM…\Run: [RegistryMonitor1] File not found O4 - HKCU…\Run: [svchost] File not found O20 - HKLM Winlogon: Shell - (rundll32.exe) - File not found O20 - HKLM Winlogon: Shell - (cpcp.cpo) - File not found O20 - HKLM Winlogon: Shell - (bef0regiiav) - File not found O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - File not found O33 - MountPoints2{0908a898-a6d0-11df-abc8-4d6564696130}\Shell\AutoPlay\Command - “” = autoply.exe OPEN O33 - MountPoints2{0908a898-a6d0-11df-abc8-4d6564696130}\Shell\AutoRun\command - “” = autoply.exe OPEN O33 - MountPoints2{0908a898-a6d0-11df-abc8-4d6564696130}\Shell\explore\Command - “” = autoply.exe EXPLORE O33 - MountPoints2{0908a898-a6d0-11df-abc8-4d6564696130}\Shell\open\Command - “” = autoply.exe OPEN O33 - MountPoints2{3f599c2e-c4ca-11de-aa7c-4d6564696130}\Shell - “” = AutoRun O33 - MountPoints2{3f599c2e-c4ca-11de-aa7c-4d6564696130}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL SIUoN.eXE O33 - MountPoints2{3fa79f1c-a861-11de-aa48-4d6564696130}\Shell\AutoRun\command - “” = vlvtdflx.exe O33 - MountPoints2{3fa79f1c-a861-11de-aa48-4d6564696130}\Shell\open\Command - “” = vlvtdflx.exe O33 - MountPoints2{de315580-2a45-11e0-aca5-4d6564696130}\Shell\AutoRun\command - “” = G:\0hct8ybw.bat O33 - MountPoints2{de315580-2a45-11e0-aca5-4d6564696130}\Shell\explore\Command - “” = G:\0hct8ybw.bat O33 - MountPoints2{de315580-2a45-11e0-aca5-4d6564696130}\Shell\open\Command - “” = G:\0hct8ybw.bat O33 - MountPoints2{ea30a244-a164-11de-aa3a-4d6564696130}\Shell - “” = AutoRun O33 - MountPoints2{ea30a244-a164-11de-aa3a-4d6564696130}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL SIUop.ExE MsConfig - StartUpReg: restorer64_a - hkey= - key= - File not found @Alternate Data Stream - 24 bytes -> C:\WINDOWS:3324BB12E58EC97B :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

dajesz log z usuwania i nowy log z OTL

pawel9991 · 9 Luty 2011 15:48

Zrobiłem tak jak napisałeś i wyskoczyło to:

http://wklej.org/id/472935/

Już teraz jest spoko, czy jeszcze muszę coś zrobić?

djkamil09061991 · 9 Luty 2011 15:49

pokaż nowe logi z OTL

pawel9991 · 9 Luty 2011 15:57

Nowe logi z OTL:

http://wklej.org/id/472942/

djkamil09061991 · 9 Luty 2011 16:02

Jak dla mnie czysto, naciśnij w OTL sprzątanie, możesz dla pewności przeskanować system programem Malwarebytes.

pawel9991 · 9 Luty 2011 16:07

Ok, dziękuję za pomoc