Podejzenie KeyLoggera , log z combi fix


(Tyroton12) #1

Witam jak tak w temacie.Otóż przez ostatnie 2 dni zdaje mi się że posiadam jakieś key loggery na komputerze.Nie jest to pewne na 100% dlatego zrobiłem skanowanie combo fixem.Daje logi , proszę o sprawdzenie , ponieważ wbijanie w rożne gry online może być niebezpieczne z tym syfem.Poniżej daje logi.

http://wklej.org/id/90155/

Z góry dziękuje za pomoc.


(@Blade@) #2

Wylecz pamięci przenośne Flash Disinfector lub sformatuj

Wklej do notatnika:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a616b3e-38ad-11de-977c-001fd08b2a7f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3c7c1677-2da5-11de-9755-001fd08b2a7f}]

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie utworzony plik i potwierdź

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizację uruchamiania

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj log


(Tyroton12) #3

Podczas skanowania avast wykryl mi wirusa w C/tempdata


(Henio Mazurek) #4

c:\temp\data czy c:\tempdata

Wymieniony wyżej CCleaner ma funkcję czyszczenia tempów. Jeśli nie pomoże zobacz tym

http://cybertrash.pl/images/tata/ATF/ATF.html

Możesz zamieścić log z tego co wykrył Avast. Ale Malwarebytes Anti-Malware masz przeskanować.


(Tyroton12) #5

http://wklej.org/id/90328/ <-- log z Malwarebytes Anti-Malware

Zainfekowany jest c:\tempdata


(Henio Mazurek) #6

W logu czysto. Jednak podaj log z Avast. PPM na ikonę w trayu => Podgląd logu, szukasz wpisów gdzie jest wykrywany wirus, PPM => Eksportuj bieżącą listę, zapisz np na pulpicie i wklej tu jej zawartość.


(Tyroton12) #7

http://wklej.org/id/90334/ oto te logi z avasta.Jest tam wiele innych , lecz starych wirusow.Chodzi mi szczegolnie o te 2 ostatnie z 13 maja na samym dole.


(96jasio96) #8

Pobierasz ComboFix , ale nie uruchamiasz go . Tworzysz dokument tekstowy o nazwie CFScript . Zapisujesz w nim

.

Zapisujesz go obok ComboFix'a . Przeciągasz CFScript na ikonke ComboFix i upuszczasz . Ma się rozpocząć usuwanie . (Tak jak na rysunku)

CFScript-8a-4.gif


(Tyroton12) #9

Some instalation files are corrupt

Please download a refresh copy and retry instalation.

Co jest? nie moge usunac.. gdy przeciagam wyskakuje mi takie cos.

edit.

Juz dałem sobie rade,oto nowe logi: http://wklej.org/id/90341/


(96jasio96) #10

Log jest czysty

:arrow: Usuń folder C:\Qoobox

:arrow: Wyłącz i włącz przywracanie systemu

:arrow: Usuń zbędniki z autostartu

:arrow: Usuń śmieci i wyczyść rejestr CCleaner'em

:arrow: Wykonaj pełne skanowanie Dr.Web CureIt! i daj log na forum


(deFco247) #11

[-o<

Tytan16 , jeszcze nic nie usuwaj.

:arrow: Usuń infekcje z pendrive tymi programami

lub format. :frowning:

Wszelkie instrukcje dotyczące usuwania szkodników z pendrive, znajdziesz w linku powyżej, od 2 postu.

Wklej do notatnika:

File::

j:\ntglm7x.sys


Driver::

SetupNTGLM7X


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a616b3e-38ad-11de-977c-001fd08b2a7f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3c7c1677-2da5-11de-9755-001fd08b2a7f}]

Plik zapisz jako CFScript.txt , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

Potem dajesz log z usuwania Combofix.


(Henio Mazurek) #12

Tego nie usuwaj. Wpisy w mountpoints już podał @Blade@ - widocznie jeszcze się za nie nie zabrał.

http://dllinfo.dll-free-download.org/n/ ... x.sys.html


(Tyroton12) #13

Czyli co mam wreszcie zrobić? bo sie pogubiłem.

-- Dodane 13.05.2009 (Śr) 19:30 --

Windows Registry Editor Version 5.00


    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a616b3e-38ad-11de-977c-001fd08b2a7f}]

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3c7c1677-2da5-11de-9755-001fd08b2a7f}]

To właśnie przed chwila zrobiłem.Dodalem te wpisy do rejestru.


(deFco247) #14

ciemnowidz , nie dziwi cię lokalizacja tego sterownika?

W linku od ciebie nie podają prawidłowej lokalizacji tego pliku, a gdy sam przeszukałem, to wyszło mi http://www.file.net/process/ntglm7x.sys.html

Tam pisze, że plik powinien być w podfolderze C:\Program Files , a ten sobie siedzi w katalogu głównym partycji.

Tytan16 , przeskanuj ten plik na http://virusscan.jotti.org/:

Upewnimy się w końcu, co to jest. :?


(Tyroton12) #15

Otóż nie posiadam partycji "j" i nie wiem gdzie ten plik sie znajduje.

Opcja start/wyszukaj też nie znajduje tego pliku.


(Henio Mazurek) #16

Sprawdzić można. Oczywiście, że mogę się mylić. Opierałem się na tych stronach

http://www.searchengines.pl/lofiversion ... 93853.html

http://www.searchengines.pl/lofiversion ... 24025.html

viewtopic.php?f=2&t=329316

Z tym plikiem nic nie robiono. Co masz pod J (CD\DVD, USB)?


(Tyroton12) #17

Stacja Dysków DVD-Ram (J:)


(Henio Mazurek) #18

I wszystko jasne - prawidłowy. Odpowiedź w moim wcześniejszym poście (pierwszy link, ostatni post picasso).


(Tyroton12) #19

Oczywiscie dodam także ze mam 1 napęd "Super multi" czyli wszystko w jednym.. wiec powinna być tylko jedna stacja dysków.. a są 2 czyli "J:" i "K:" Stacja "K:" jest prawidłowa ponieważ do niej nie mogę wejść po pisze ze mam włożyć dysk , natomiast "J:" normalnie wchodzę jak na jakaś z partycji lecz tam nic sie nie znajduje.

edit.

Czyli O co chodzi? Coś jeszcze usuwać czy jak?


(Henio Mazurek) #20

To właśnie wynik tego NTGLM7X.SYS. A po co to to nie mam pojęcia.

Co usuwać masz napisane we wcześniejszych postach.