Pomoc w pozbyciu się "Perfect Keylogger"

Trio · 22 Maj 2010 13:42

Dzisiaj gdy mój młodszy brat siedział przy komputerze, ściągnął i zainstalował “Ventrilo”, po czym wyskoczył dymek z paska tray “Thanks for install pefrect keylogger”… Na początku myślałem ze to żart ale jak zobaczyłem ze nie moge tego w żaden sposób się pozbyć to troche się przeraziłem i postanowiłem poszukać pomocy… Mój antywirus to kaspersky 10 i jestem bardzo zdziwiony że nie idzie mu jako tako neutralizacja tego programu… Możecie mi jakoś pomóc, najlepiej w miare szybko? W razie co system Windows XP.

poniżej zamieszczam logi z HiJackTHis:

http://wklej.org/id/339265/

Lukasz6 · 22 Maj 2010 14:03

HJT od dawna się nie używa daje krótkie i nie szczegółowe logi, po za tym infekcje nauczyły się ukrywać i ich nie wykryje .

Pobierz OTL : http://oldtimer.geekstogo.com/OTL.exe

Zapisz na pulpit

W OTL przestawiasz Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes:

Kliknij Run Scan.

Zawartość logów ( otl.txt i extras.txt ) wklej na www.wklej.org lub www.wklej.to, ale ręcznie kopiuj > wklej z notatnika w pole do wklejania tekstu a w poście daj link.

Trio · 22 Maj 2010 14:37

Zrobiłem jak mówiłeś, tu jest link:

OTL.txt: http://www.wklej.org/id/338300/

Extras.txt: http://www.wklej.org/id/338302/

W między czasie poszperałem troche w internecie i w tym “perfect keylogger” ponieważ siedzi mi on cały czas w pasku i powyłączałem robienie screenów, i usunąłem mail itd. na który miał to wysyłać… Nie wiem czy to coś pomogło więc ciągle czekam na jakieś rady jak to wywalić z kompa…

suchmen · 22 Maj 2010 14:41

System jest ładnie zaśmiecony. A sprawdź też przy okazji może czy C:\Documents and Settings\Mati\Pulpit\OTL.exe nie ma wirusa? Bo często bywa, że właśnie ma ukrytego rootkita albo trojana, którego nawet dobre programy nie są w stanie wykryć. Brat gra w tibię? To powiedz mu żeby nie hakował ani nie grywał na jakiś dziwnych serwerach nieoficjalnych oraz nie pobierał śmieci, bo sam może sobie zaszkodzić tylko

Trio · 22 Maj 2010 14:51

Nie no, jako tako staram się kontrolowac co młody robi na komputerze w sumie on tylko gra w tą “prawdziwą” Tibie, nie hackuje bo za mało rozumu na to ma, a co do ściągania to tylko gry ściąga, no i teraz Ventrilo chciał ściągnąć bo mikrofon sobie kupił… A co do tego że system zaśmiecony, to nie da rady czegoś z tym Perfect keyloggerem zrobić? Bo format kompa planowałem dopiero za jakiś czas i wolałbym nie robić tego teraz…

djkamil09061991 · 22 Maj 2010 19:21

przede wszystkim warto byłoby przeczyścić autostart ponieważ jest bardzo dużo wpisów a każdy z nich uruchamia proces a co z tym idzie spowalnia komputer. wejdz w start nastepnie w uruchom wpisz msconfig wejdz w zakładke uruchamianie i odznacz co możesz zostaw parę najpotrzebniejszych wpisów

Trio · 22 Maj 2010 22:10

Co do porady “szymonek” to tak, ten link co dałeś to mi ie tego nie otwiera, tylko wczytuje tak jakby strone i zaraz ją zamyka, nie wiem czemu ale tak na tym kompie z niektórymi stronami jest. A apropo monitorowania klawiatury, to Kaspersky monitoruje napewno, bo kontrole rodzicielską ma młody na kompie włączoną od niego, może nie chodzi o tego samego w sobie keyloggera, tylko o kasperskiego…? No i jeszcze powiem wam, że tego “Perfect keyloggera” jak się w nim pogrzebało to dało się po prostu… wyłączyć. Przed wyłączeniem usunąłem też adres email do którego miał rzekomo wysyłać dane i powyłączałem wszystkie funkcje typu robienie screenów, zapamiętywanie haseł i tak dalej. Właśnie robie nowe logi po rzekomym wyłączeniu tego szitu, powiecie mi czy coś się zmieniło czy nie…

OTL: http://www.wklej.org/id/338491/

Extras: http://www.wklej.org/id/338492/

szymonek760 · 23 Maj 2010 06:34

sorka link nie działa zobacz czy działa ten http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button niestety program perfect keylooger też śledzi klawiaturę i na pewno przywraca ustawienia swoje ustawienia

Trio · 23 Maj 2010 10:04

Ojej… teoretycznie, znalazł 298 zainfekowanych plików… :o poniżej daje loga ze skanowania, i czekam na dalsze instrukcje…

http://www.wklej.org/id/338592/

Lukasz6 · 23 Maj 2010 12:12

Usuń wszystko co wykrył MBAM a następnie wykonaj nowego skana OTLem .

szymonek760 · 23 Maj 2010 13:09

masz mywebsearch trojan vundo i inne oraz jest keylooger i spyware.keylooger :o :o :o

Trio · 23 Maj 2010 15:59

No dobrze, ten MBAM usunął wszystko co uważał za złośliwe i teraz przy skanowaniu już nic nie pokazuje…

Zamieszczam logi z OTLa, ale nie wiedziałem czy robić takie jak na początku (z tymi różnymi rzeczami w Custom scan/fixes) czy bez nich więc daje taki i taki:

Z pustym polem:

OTL: http://www.wklej.org/id/338792/

Extras: http://www.wklej.org/id/338793/

Z wypełnionym tak jak mi radzono w 1 poście:

OTL: http://www.wklej.org/id/338795/

Extras: http://www.wklej.org/id/338797/

No, to teraz czekam na informacje, czy to wszystko, czy może jednak jeszcze coś mi grozi?

Z góry dziękuję za wszelkie wykazane chęci do pomocy.

capable225 · 23 Maj 2010 16:41

W OTL wklej:

W Custom Scans/Fixes w OTL wklej:

:OTL O2 - BHO: (Yahoo! Toolbar Helper) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) O2 - BHO: (BitComet Helper) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll (BitComet) O2 - BHO: (no name) - {6D023EBF-70B8-45A6-9ED5-556515FA0FE4} - No CLSID value found. O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5104.1546\swg.dll (Google Inc.) O3 - HKLM…\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (MSN Toolbar) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\msgr.en-us.en-gb\msntb.dll (Microsoft Corporation) O3 - HKLM…\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) O3 - HKCU…\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} Reg Error: Key error. (Reg Error: Key error.) O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shoc … tor/sw.cab (Shockwave ActiveX Control) O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} http://dl.tvunetworks.com/TVUAx.cab (CTVUAxCtrl Object) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microso … 3314272953 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinsta … s-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} Reg Error: Key error. (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinsta … s-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinsta … s-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/s … wflash.cab (Shockwave Flash Object) :Files C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job C:\WINDOWS\tasks\User_Feed_Synchronization-{ABC792FE-61E3-46FB-9B65-F8AC88F6916D}.job :Commands [emptytemp] [Reboot]

i klik: Run FIX

System samoczynnie się zrestartuje.

Po restarcie zrób i wrzuć nowego loga.

Lukasz6 · 23 Maj 2010 17:13

@Trio

Nie wykonuj skryptu podanego przez capable225 !

@capable225

Radzę nie wypowiadaj się w dziale Bezpieczeństwo bo jak widać nie masz jakiejkolwiek wiedzy na ten temat a skrypty które podajesz mogą uszkodzić system i zamiast pomóc wyrządzasz raczej szkody, więc ten dział zostaw expertom w tej dziedzinie .

@Trio

Wykonaj taki skrypt !

W OTL w dolne okienko , Custom Scans/Fixes " wklej:

:OTL O2 - BHO: (Yahoo! Toolbar Helper) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) O2 - BHO: (no name) - {6D023EBF-70B8-45A6-9ED5-556515FA0FE4} - No CLSID value found. O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (MSN Toolbar) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\msgr.en-us.en-gb\msntb.dll (Microsoft Corporation) O3 - HKLM…\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} Reg Error: Key error. (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} Reg Error: Key error. (Reg Error: Key error.) O33 - MountPoints2{08a08a8a-b264-11de-bcf9-4d6564696130}\Shell\AutoRun\command - “” = 2o1ajagt.exe O33 - MountPoints2{08a08a8a-b264-11de-bcf9-4d6564696130}\Shell\open\Command - “” = 2o1ajagt.exe :Commands [emptytemp] [start explorer] [Reboot]

Kliknij Run Fix. Zrestartuj komputer

Potem daj raport, który wyskoczy po usuwaniu oraz wykonaj nowy log OTLem

deFco247 · 23 Maj 2010 17:22

Widzę, że tutaj już panuje kompletna samowola…

Skrypt podany przez capable225 jest jak najbardziej prawidłowy.

Łukaszu , nie oceniaj użytkowników po liczbie postów.

Trio · 23 Maj 2010 22:06

W końcu wpisałem to co poparł deFco, ponieważ z tego co widziałem to dosyć dobrych rad udzielał, system bez szwanku został a no i na dysku systemowym się miejsca dużo zwolniło…

Log po fixie OTLa: http://wklej.org/id/339023/

coś jeszcze trzeba zrobić, czy już jest git?

deFco247 · 24 Maj 2010 13:05

Proszę pokazać nowe logi OTL robione z opcji Run Scan.

Monczkin · 24 Maj 2010 13:18

Trio , popraw post z logiem oraz tytuł, zgodnie z tym tematem.

zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html

viewtopic.php?f=16&t=394978

Trio · 24 Maj 2010 15:51

Poprawiłem, nie wiem czy dokładnie o to chodziło ale bardziej jasno mi nie przychodziło do głowy…

Co do logów, to znowu nie wiedziałem które wykonać, więc zamieszczam te z polem pustym, i wypełnionym tak, jak radzono mi na samym początku tematu:

Okienko wypełnione:

OTL: http://wklej.org/id/339272/

Extras: http://wklej.org/id/339274/

Okienko puste:

OTL: http://wklej.org/id/339278/

Extras: http://wklej.org/id/339277/

deFco247 · 24 Maj 2010 16:39

Wklej jeszcze w OTL:

:OTL :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “E:\Program Files\Praetorians\Praetorians.exe”=- “E:\Program Files\Gadu-Gadu\gg.exe”=- “E:\Program Files\FlatOut\flatout.exe”=- “E:\Program Files\Heroes of Might and Magic V\bin\H5_Game.exe”=- “E:\Program Files\Dawn of War\W40k.exe”=- “F:\Program Files\WapSter\AQQ\AQQ.exe”=- “E:\Program Files\Need for Speed Most Wanted\speed.exe”=- “E:\Program Files\BitComet\BitComet.exe”=- “E:\Program Files\eMule\emule.exe”=- “E:\Program Files\Xplosiv\SOF PLATINUM\SoF.exe”=- “G:\OTS RPG\OTS\OTS\DevLand-XML.exe”=- “G:\OTS RPG\OTS\DevLand-XML.exe”=- “E:\Program Files\SopCast\SopCast.exe”=- “E:\Program Files\Strategy First\Disciples II - Bunt Elfow\Discipl2.exe”=- “F:\Mati dokumenty\Darkonia76-v.1.0-\Darkonia76-v.1.0-\Darkonia76.exe”=- “G:\Devland 8.1\DevLand-XML.exe”=- “F:\Mati dokumenty\Devland 8.1\DevLand-XML.exe”=- “E:\Program Files\Softnyx\RakionIS\Bin\rakion.bin”=- “E:\Games\NGD Studios\Regnum Online\LiveServer\ROClientGame.exe”=- “E:\Program Files\Hamachi\hamachi.exe”=- “C:\Program Files\Windows Live\Messenger\msnmsgr.exe”=- “C:\Program Files\Windows Live\Messenger\livecall.exe”=- “E:\Program Files\BearShare Applications\BearShare\BearShare.exe”=- “E:\Program Files\Nowe Gadu-Gadu 2\gg.exe”=- “C:\Program Files\Java\jre6\bin\java.exe”=- “E:\Program Files\Steam\steamapps\konczita\counter-strike source\hl2.exe”=- “E:\Program Files\Counter-Strike\1.6\cstrike.exe”=- “E:\Program Files\Counter-Strike Source\hl2.exe”=- “E:\Program Files\Counter-Strike\1.6\hl.exe”=- “C:\Program Files\Electronic Arts\EADM\Core.exe”=-

Klikasz Run FIx , a następnie CleanUp , co usunie OTLa razem z jego kwarantanną.

W logach brak śladów infekcji, więc można wykonać kroki końcowe.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP/Vista/Windows 7.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

Pozbądź się zbędnych pasków DAEMON Tools Toolbar , MSN Toolbar i Yahoo! Toolbar.

Do usunięcia zupełnie niepotrzebny Logitech Desktop Messenger oraz nadmiarowa ilość kodeków:

Posiadanie dwóch tego typu paczek w systemie przynosi więcej szkód niż pożytku, do odinstalowania powinien pójść K-Lite, gdyż i tak jest w wersji sprzed kilku lat (!).