Pomoc w usunięciu keyloggera i rootkita


(system) #1

No to tak jak w temacie chyba (a nawet na pewno) mam keyloggera oraz rootkita w systemie. :crazyeyes: avast! o dziwo nic nie wykrywa, ale ja wątpię że tam nic nie ma, bo z nudy przeglądając katalog z Windowsem natknąłem się na plik tego keyloggera: :doubt:

A ponieważ podejrzanie on wyglądał dałem go do analizy na VirusTotal.com, oto wynik: http://www.virustotal.com/pl/analisis/bbeeb055e86732ae6090e6102c2896c4.

Sprawa z rootkitem jest też niezbyt fajna. ;/ Rootkita wykrywa TYLKO programik AVG Anti-Rootkit Free, jako typ 'Hidden Driver File', i to co zrestartowanie komputera ciągle pod inną nazwą, ale zaczynającą się tylko na literkę 'A'. :no: Gdy dałem temu AVG żeby zmienił nazwę tego rootkita to niby chyba coś tam zmienił, ale w każdym razie rootkit się przywrócił znów pod inną nazwą. :smuteczek:

Tutaj jeszcze macie log z HijackThis: http://wklej.org/id/88842/?zawin=0

Jak widać nie jest on zbyt pocieszający więc proszę o pomoc. ](*,) :smilecolros: ](*,) :kreci:


(96jasio96) #2

:arrow: Sfiksuj w HijackThis

:arrow: Pobierz ComboFix, ale nie uruchamiaj go . Nowy dokument tektsowy > wpisz w nim

> zapisz nazwę jako CFScript.txt , najlepiej aby CFScript znajdował się obok ComboFix'a . Przeciągnij CFScript.txt na ikonke ComboFix i upuść . Rozpocznie się usuwanie .

:arrow: Wykonaj pełne skanowanie Dr.Web CureIt!


(deFco247) #3

Trochę niedokładnie opisałeś tworzenie skryptu. Powinien wyglądać tak:

File::

C:\WINDOWS\system32\H@tKeysH@@k.dll

Taki skrypt można dawać do Combofixa. :slight_smile:


(system) #4

Tutaj macie loga:

http://www.wklej.org/id/88972/?zawin=0

A ten plik nadal jest i nie chce się skasować. :placze: :wsciekly: :placze: Prosiłbym także zwrócić w logu uwagę na pliki ukryte a szczególnie na:

Co to jeszcze jest :?: :!: :?: :?:

Dr. Web Culet skanowałem szybkim skanem, nic nie wykrył. :frowning:

A czy ktoś to samo miał co ja :?: :?: :?: Przez parę godzin nie mogłem wejść na forum i w ogóle na dobreprogramy.pl bo wyskakiwało: :boje:

negocja.png

Czy to sprawka znowu jakiegoś innego wira :?: :?:


(96jasio96) #5

Nie szybkim skanem , a pełnym skanem :twisted: Co do forum , dobreprogramy.pl miały błąd serwerów.


(system) #6

Przeskanowałem skanem pełnym, jedyne co znalazł Dr.Web to ten plik:

To co mam z nim zrobić? Wyleczyć, zmienić nazwę, przenieść czy usunąć :?: :?:


(Leon$) #7

usunąć

:slight_smile:


(system) #8

No dobrze... udało mi się usunąć. :jupi: :tancze:

A ten plik w logu... :? :beksa: :doubt:

:help: :help: :help:


(Leon$) #9

zastosuj ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Pobierz program SDFix

-


(system) #10

Masz zainstalowany Private Data Safe i to wpis tego programu. Możesz się o tym przekonać odinstalowując ten soft. Takie programy wprowadzają różne dziwne wpisy do systemu.

Zaś plik "keyloggera" H@tKeysH@@k.dll, sądzę że sam świadomie zainstalowałeś z jakimś trainerem do gry.

No cóż, to taka uroda i cecha, takiego oprogramowania, że musi przechwytywać działanie klawiatury, a AV widzą to oczywiście, jako szkodnika.