Prawdopodobnie keylogger - usunięcie

Witam. Ostatnio dostałem plik do pobrania, który najprawdopodobniej zawiera keyloggera, proszę o dokładne sprawdzenie go pod tym kątem. Zeskanowalem go paroma skanerami, ale chyba nic to nie dało i mam wrażenie, że utrzymuje się on nadal gdzieś na komputerze z paru powodów. Jeszcze raz proszę, aby ktoś kto zna się na tym odezwał się do mnie na pw. Tam podam szczegóły i link do pobrania, ponieważ nie chce pisać tutaj o całej sytuacji. Osobie, która mi dobrze pomoże odwdziecze się
AKTUALNE

1 polubienie

Witaj @Oskar23 na Forum DobreProgramy

Wykonaj wymagane logi i umieść do wglądu

2 polubienia

Mam konkretny plik do sprawdzenia, możliwe, że usunąłem go już przez malwarebytes. Jeśli pobiorę go od nowa, bez odpalania pliku to może on przez samo pobranie gdzieś się schować ? Chciałbym przeskanować go malwarebytes i upewnić się czy był on czysty

Przejrzę Twoje logi.

Plik pobrany, ale nie uruchomiony (exe, bat, pdf), czy też nierozpakowany(zip, rar, 7z) możesz sprawdzić na VirusTotal

1 polubienie

Teraz logi FRST

  1. Pobierz jeszcze raz FRST i zapisz na pulpicie. Następnie pobierz plik podany poniżej i zapisz również na pulpicie
    fixlist.txt (9,4 KB)
    “Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
  2. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
  3. Po restarcie wklej plik wynikowy z FRST.
  4. Udostępnij ostatni plik wynikowy z ADWCleaner, znajdziesz go w C:\ADWCleaner\Logs
1 polubienie

FRST - http://www.wklejto.pl/839958
Już wykryłem NvDisplay.container.exe, tylko jak go poprawnie usunąć ? Mam jeszcze pytanie co do daty, da się sprawdzić w jakim dniu wirus zaraził komputer ? Czy tylko tym mam zarażony komputer ? Podejrzewam o to mojego znajomego

@iJuliusz
W dodatku znalazłem w ukrytych ikonach ustawienia nvidia (nie ma prawa on się pokazywać i sam włączać, nie wygląda jak panel nvidia, a nawet nie ma czegoś takiego jak ustawienia tylko panel z inną ikoną), przez który raczej byłem szpiegowany. Wyłączyłem go parę razy, ktoś musi się logować po tym jak go wyłączam, ponieważ w różnych odstępach czasowych program wraca na ukrytych, a na procesach nie da się go wyłączyć

Witaj.
Jakim programem wykryłeś?
Nie wiem, który z nich masz w systemie, pobierz brakujące.
Ten zestaw programów zaproponowałbym mimo to, ale dobrze, że samodzielnie wychwyciłeś szpiega.
Należy się tylko przekonać, czy zostanie wykryty.

Pobierz:
RKill
MalwareBytes MBAM
ADWCleaner
i zapisz na pulpicie.

  1. Uruchom RKill, przeskanuj system, może pojawić się czarny ekran przed zakończeniem skanowania. Zapisz plik wynikowy do późniejszego wglądu.
    Nie restartuj komputera po skończonym skanowaniu
  2. Zamknij wszystkie aktywne programy i przeglądarki.
  3. Zainstaluj MBAM, zaznacz na końcu, aby uruchomił się po zakończeniu instalacji.
  4. Po uruchomieniu rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, zapisz plik wynikowy na później, wyłącz MBAM.
    Nie restartuj komputera po skończonym skanowaniu
  5. Uruchom ADWCleaner, przeskanuj i usuń to co wykryje.
    Teraz na żądanie programu możesz uruchomić ponownie komputer
  6. Po restarcie pojawi się plik wynikowy, zapisz go na później.
  7. Teraz możesz umieścić wszystkie pliki wynikowe do wglądu, czyli RKill, MBAM, ADWCleaner
  8. Czekaj na kolejne polecenia
1 polubienie

sarhsarhsrh

sargrsga

Tylko RKillerem nie robiłem wcześniej scana, podam logi z dnia wczorajszego z mbam , a z RKilla i Adw z dzisiaj. MBAM i Adw wcześniej coś wykryło, ale jak widać to co powinno zostać usunięte nie jest. Z tego co czytałem jest to dobry wirus
RKiller skanowane dzisiaj - http://www.wklejto.pl/839975
ADWCleaner skanowane dzisiaj - http://www.wklejto.pl/839976
MBAM wykryło tylko to z wczoraj, skanowałem wczoraj nawet 3 razy i żadnych wirusów oprócz tych - (zdjęcia załączone w wiad poniżej). Wykryłem folder zaraz podeśle podczepione zdjęcia do tych poniżej

MBAM


Znaleziony folder prawdopodobnie wirusa, w każdym folderu pliki dll
aaaaa
ddddd

ashtsdja

Program próbuje się włączyć na ukrytym pasku, wyłączam go za każdą próbą. W menadżerze zadań w procesach NvDisplay.container.exe wyłączyłem przed chwilą, nie wiem jak to zrobiłem, bo wcześniej nie dało się go wyłączyć

Lecz w folderze po usunięciu procesu nadal się utrzymuje. Chyba najlepszym rozwiązaniem będzie oddanie komputera aby został przegrany nowy system ?

Program uruchomił się od nowa w procesach po tym jak go wyłączyłem przed chwilą

Jak wyłączam proces, pojawia się on od nowa w ukrytym pasku. Tylko gdy usuwam z ukrytego ikonę, to proces się nie zamyka, a ikona pojawia się różnym czasie na ukrytym pasku

Uspokoję Cię choć trochę.
Nie negowałem tego co piszesz, ale przypuszczam, że nadinterpretujesz to co widzisz.

Jak najedziesz myszką na każdą z ikonek, to ona zniknie

Nie napisałem wcześniej, czy masz rację bądź nie, gdyż całkiem niedawno zetknąłem się z wirusem Nvidia, ale objawia się on w systemie i na dysku inaczej niż opisujesz.
Wysłałeś podejrzany plik na VirusTotal?

Oczywiście nadal musimy zakładać, że jest to zainfekowany system.
W logach MBAM był widoczny mail.ru, a to może być zaczątkiem problemów.

Zrób nowe skany FRST, sprawdzę pozostałości

1 polubienie

Sprawdziłem na virustotal pliki, pliki były badane w małym odstępie czasowym od siebie i nie wykryły żadnego wirusa odziwo. Oryginalna nazwa NvContainer.exe. Wcześniej mogłem wejść w plik, jakoś miałem napisane SYSTEM teraz tego nie mam napisane i nie mogę robić żadnych operacji na pliku nawet go zamknąć. Resetowałem komputer, ale plik nadal działa w tle tylko nie mogę wykonywać na nim już żadnych czynności
FRST - http://wklejto.pl/840009
Addition - http://www.wklejto.pl/840010
Shortcut - http://www.wklejto.pl/840011

Co do plików na virustotal, to były w małym odstępie dniowym badane (sprawdziłem dwa) już przez kogoś miesiąc temu