Powracajacy Keylogger


(Sgelitar) #1

Chodzi oczywiście o trojana GameThief.Win32.Magania.cmla, momentami wyskakuje z koncowka *blqm, *bxsg, moj Kaspersky co chwile to wykrywa i nie wiem jak sie go pozbyc.

oto log z ComboFixa :

http://wklejto.pl/47198


(jessica) #2

Wklej do Notatnika :

File::

C:\pbudsara.exe

D:\pbudsara.exe

C:\windows\system32\bf9a218.dll

C:\windows\system32\10d1c3d0.dll

C:\a2g21.exe

D:\a2g21.exe

C:\se12ydam.exe

D:\se12ydam.exe

C:\2sm66r.exe

D:\2sm66r.exe

C:\s3ek.exe

C:\ycvvj.exe

C:\mje12tni.exe

C:\1di1w.exe

C:\r2g20.exe

D:\s3ek.exe

D:\ycvvj.exe

D:\mje12tni.exe

D:\1di1w.exe

D:\r2g20.exe

c:\documents and settings\User\herss.exe

C:\sp1jensi.exe

D:\sp1jensi.exe

C:\ fkk02x.exe

c:\fkk02x.exe

D:\ fkk02x.exe

D:\fkk02x.exe

C:\x8sigm.exe

C:\rg9g9bgq.exe

C:\w9uxx92.exe

D:\x8sigm.exe

D:\rg9g9bgq.exe

D:\w9uxx92.exe

C:\qcod.exe

C:\o8tf6l.exe

C:\3slhl.exe

C:\qcoageh.exe

C:\ph.exe

C:\10nb.exe

C:\w3.exe

C:\xbvv0.exe

D:\qcod.exe

D:\o8tf6l.exe

D:\3slhl.exe

D:\qcoageh.exe

D:\ph.exe

D:\10nb.exe

D:\w3.exe

D:\xbvv0.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(Sgelitar) #3

Oto i świeżutki log

http://wklejto.pl/47199


(jessica) #4

Kompletnie nic się nie usunęło.

Nie wiem, dlaczego.

Być może Twój Notanik jest uszkodzony, bo w logu widać, że brakuje slahy ("\"). Ale to również mogło powstać na skutek nieprawidłowego wklejania na "wklejto": zamiast tekstu był może wklejany plik.

W każdym razie - powtórz usuwanie.

jessi


(Sgelitar) #5

http://wklejto.pl/47235

Teraz wkleilem text.

Dzięki, usunęło, w każdym razie prawie wszystko :slight_smile: jedynie "D:\pbudsara.exe" nie został usunięty, Kaspersky wpierw go poddal kwarantannie, a pozniej dal do "Nie odnaleziono"(ale to było 2 dni temu). Bądź co bądź, nie było wykryć nowych trojanów, więc to chyba na tyle. Dzięki jeszcze raz.


(jessica) #6

Z logu wynika, że usuwanie się nie udało.

Powtórz jeszcze raz.

Jeśli i tym razem się nie uda, to spróbujemy czegoś innego.

Wklej do Notatnika :

File::

C:\mje12tni.exe

C:\1di1w.exe

C:\r2g20.exe

D:\mje12tni.exe

D:\1di1w.exe

D:\r2g20.exe

c:\documents and settings\User\herss.exe

C:\sp1jensi.exe

C:\0fkk02x.exe

C:\x8sigm.exe

C:\rg9g9bgq.exe

C:\w9uxx92.exe

D:\0fkk02x.exe

D:\x8sigm.exe

D:\rg9g9bgq.exe

D:\w9uxx92.exe

C:\2o1ajagt.exe

D:\2o1ajagt.exe

C:\qcod.exe

C:\o8tf6l.exe

C:\3slhl.exe

C:\qcoageh.exe

C:\ph.exe

C:\10nb.exe

C:\w3.exe

D:\qcod.exe

D:\o8tf6l.exe

D:\3slhl.exe

D:\qcoageh.exe

D:\ph.exe

D:\10nb.exe

D:\w3.exe

D:\sp1jensi.exe

C:\xbvv0.exe

D:\xbvv0.exe


Folder::

c:\program files\Ask.com


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-

[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-

[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(Sgelitar) #7

http://wklejto.pl/47334

pozno bo pozno ale zrobilem.


(jessica) #8

Co Ty tak usuwasz na raty?

To tak wygląda, jakbyś zaznaczał i kopiował, tylko tę część Scriptu, która jest widoczna w okienku, a nie kopiujesz tego, co jest poniżej poziomu okienka.

Tym razem, zamiast "code" użyję "quote":

Wklej do Notatnika :

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(Sgelitar) #9

heh sorry, ostatnio duzo spraw na glowie dlatego nieogarniety do konca jestem :wink: ten log juz uwzglednia cale zaznaczenie:

http://wklejto.pl/47362


(jessica) #10

Tak, teraz było OK.

Log czysty.

Usuń ręcznie folder C:**** Qoobox.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi