Services.exe = keylogger?


(Q3misiex) #1

Witam :slight_smile: Niedawno odkryłem złośliwe oprogramowanie na moim komputerze. Pozwolę sobie opisać wszystko krok po kroku:

Na komputerze, którego dotyczy problem, zainstalowany jest najnowszy Spybot, Panda Antyvirus 2007 oraz Sygate Personal Firewall. Spybot ma uruchomionego swojego rezydenta, który jakiś czas temu ostrzegł mnie, że pewien proces, próbuje zmienić wartość rejestru w System Startup user entry. Program który tego dokonał to services.exe

Wszystko byłoby ok, gdyby nie fakt, że znajduje się on w folderze Windows/ a nie Windows/system32/

Nie wiedziałem za bardzo jak sobie z tym radzić, a nie chciałem niczego usuwać. Zbagatelizowałem problem i dodałem tylko jako regułę, żeby proces wywołujący to services.exe był blokowany (tzn. nie moze wprowadzać zmian w rejestrze).

Niestety dzisiaj przypadkowo naciąłem się na coś nowego: w historii przeglądanych plików w IE znalazłem plik txt zawierający listę WSZYSTKICH haseł wpisywanych z klawiatury, poprzedzonych dokładną datą i godziną dzisiejszego dnia. Gdy udałem się do folderu z tym plikiem, znalazłem tam dodatkowo masę Printscreenów z tego komputera w formacie jpg z nazwami rozpoczynającymi się od daty i dokładnej godziny ich wykonania.

Folder w którym wszystko było zapisywane to:

C:/Windows/system32/drivers/TLA/

Plik z hasłami nazywał się 2008-09-02.txt

Jeden z prinscreenów nazywał się 2008-09-02--13-37-28.jpg

Martwi mnie dodatkowo fakt, że wartość (lub proces, niestety nie znam się na tyle :D), którą wykrywał rezydent Spybota nazywa się identycznie jak miejsce, w którym pracuje jeden z członków mojej rodziny. Dodatkowo fakt, że plik keyloggera był w historii przeglądanych plików IE sugeruje, że może zostało to wszystko zainstalowane u mnie umyślnie.

Dodatkowo podejrzewam (jeśli powyższa teza jest prawidłowa), że proces ten można jakoś ręcznie włączać i wyłączać, ponieważ jeszcze rano (i w przeszłości) rezydent co chwile informował, że zablokował próbę wpisu do rejestru, a teraz nic się nie dzieje, a po usunięciu tamtego folderu, nie utworzył się nowy. Mimo to, plik C:/Windows/services.exe nadal istnieje.

Mam Windowsa XP Proffesional PL z zainstalowanym SP2.

Po tym przydlugim opisie wklejam logi:

HijackThis:

http://wklej.org/id/9359270f2b

Silent Runners

http://wklej.org/id/72c76e3687

Jeżeli jeszcze jakieś informacje są potrzebne to służę pomocą. I proszę o bardzo szczegółowe opisy jak sobie poradzić z tym problemem, bo nie jestem jakimś geniuszem komputerowym :stuck_out_tongue:

Z góry thx za pomoc.


(popula) #2

Pobierz i przeskanuj kompa Spyware Terminator<-- kliknij