Witam, podejrzewam, iż mam na kompie keyloggera, oto log z HiJackThis.
Proszę o pomoc
http://wklej.org/id/472561/ - log z hjt
i dodaje jeszcze log z OTL
http://wklej.org/id/472571/ - log z OTL
HiJackThis…
To jak chcesz znależć keylogera…? :o
Patrzyłem w innych tematach o keyloggerach, że ludzie skanowali HJT i wklejali logi, więc też to uczyniłem, a jeśli nie tym to co mam zrobić żeby sprawdzić?
wklej w OTL i naciśnij wykonaj skrypt:
:OTL FF - prefs.js…browser.search.defaultenginename: “Ask” FF - prefs.js…browser.search.defaulturl: “http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query= ” FF - prefs.js…browser.search.order.1: “Ask” O4 - HKLM…\Run: [Regedit32] File not found O4 - HKLM…\Run: [RegistryMonitor1] File not found O4 - HKCU…\Run: [svchost] File not found O20 - HKLM Winlogon: Shell - (rundll32.exe) - File not found O20 - HKLM Winlogon: Shell - (cpcp.cpo) - File not found O20 - HKLM Winlogon: Shell - (bef0regiiav) - File not found O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - File not found O33 - MountPoints2{0908a898-a6d0-11df-abc8-4d6564696130}\Shell\AutoPlay\Command - “” = autoply.exe OPEN O33 - MountPoints2{0908a898-a6d0-11df-abc8-4d6564696130}\Shell\AutoRun\command - “” = autoply.exe OPEN O33 - MountPoints2{0908a898-a6d0-11df-abc8-4d6564696130}\Shell\explore\Command - “” = autoply.exe EXPLORE O33 - MountPoints2{0908a898-a6d0-11df-abc8-4d6564696130}\Shell\open\Command - “” = autoply.exe OPEN O33 - MountPoints2{3f599c2e-c4ca-11de-aa7c-4d6564696130}\Shell - “” = AutoRun O33 - MountPoints2{3f599c2e-c4ca-11de-aa7c-4d6564696130}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL SIUoN.eXE O33 - MountPoints2{3fa79f1c-a861-11de-aa48-4d6564696130}\Shell\AutoRun\command - “” = vlvtdflx.exe O33 - MountPoints2{3fa79f1c-a861-11de-aa48-4d6564696130}\Shell\open\Command - “” = vlvtdflx.exe O33 - MountPoints2{de315580-2a45-11e0-aca5-4d6564696130}\Shell\AutoRun\command - “” = G:\0hct8ybw.bat O33 - MountPoints2{de315580-2a45-11e0-aca5-4d6564696130}\Shell\explore\Command - “” = G:\0hct8ybw.bat O33 - MountPoints2{de315580-2a45-11e0-aca5-4d6564696130}\Shell\open\Command - “” = G:\0hct8ybw.bat O33 - MountPoints2{ea30a244-a164-11de-aa3a-4d6564696130}\Shell - “” = AutoRun O33 - MountPoints2{ea30a244-a164-11de-aa3a-4d6564696130}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL SIUop.ExE MsConfig - StartUpReg: restorer64_a - hkey= - key= - File not found @Alternate Data Stream - 24 bytes -> C:\WINDOWS:3324BB12E58EC97B :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
dajesz log z usuwania i nowy log z OTL
Zrobiłem tak jak napisałeś i wyskoczyło to:
http://wklej.org/id/472935/
Już teraz jest spoko, czy jeszcze muszę coś zrobić?
Jak dla mnie czysto, naciśnij w OTL sprzątanie, możesz dla pewności przeskanować system programem Malwarebytes.