Sprawdzenie logów, chciałbym upewnić się codo wirusa

Witam, dzisiaj w pewnym pliku kaskpersky wykrył mi;

Koń trojański Trojan-Spy.Win32.Ardamax.e Plik: D:\WINDOWS\system32\Sys\NDJ.exe

Dowiedziałem sie ze jest to keylogger, korzystam z kilku serwisów do których passów znać nie może nikt. oczywiście usunołem pliki lecz mam obawy czy dziadostwo nie zostało. log z hijacka:

Logfile of HijackThis v1.99.1

Scan saved at 14:12:30, on 2007-09-24

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\System32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

D:\Program Files\Bonjour\mDNSResponder.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

D:\Program Files\Konnekt\konnekt.exe

D:\WINDOWS\system32\kxmixer.exe

D:\Program Files\Samurize\Client.exe

D:\Program Files\Stardock\ObjectDock\ObjectDock.exe

D:\Program Files\Teamspeak2_RC2\TeamSpeak.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Documents and Settings\Maku\Moje dokumenty\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [kis] "D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKCU\..\Run: [Konnekt] "D:\Program Files\Konnekt\konnekt.exe" /autostart

O4 - HKCU\..\Run: [Rainlendar2] D:\Program Files\Rainlendar2\Rainlendar2.exe

O4 - HKCU\..\Run: [AVEDESK] "D:\Program Files\AveDesk13\AVEDESK.EXE"

O4 - Startup: Client Default.lnk = D:\Program Files\Samurize\Client.exe

O4 - Startup: HideBUS.exe

O4 - Startup: Stardock ObjectDock.lnk = D:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O4 - Global Startup: kX Mixer.lnk = D:\WINDOWS\system32\kxmixer.exe

O4 - Global Startup: Super Turbo Tango Patcher Reloader.lnk = D:\WINDOWS\Super Turbo Tango Patcher\Reloader.exe

O8 - Extra context menu item: Dodaj do Kaspersky Anti-Banner - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pobierz za pomocą Mega Manager... - D:\Program Files\Megaupload\Mega Manager\mm_file.htm

O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe (file missing)

O10 - Unknown file in Winsock LSP: d:\program files\bonjour\mdnsnsp.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{6D0AB224-E7DA-4982-AA34-F66DC2463EF8}: NameServer = 194.204.159.1 217.98.63.164

O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll,wbsys.dll

O20 - Winlogon Notify: klogon - D:\WINDOWS\System32\klogon.dll

O20 - Winlogon Notify: WB - D:\PROGRA~1\Stardock\OBJECT~2\WINDOW~1\fastload.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

W logach nie widać nic groźnego (jedynie resztki po messengerze, które spokojnie możesz usunąć Hijackiem):

Wrzuć jeszcze log z Silent Runners + ComboFix

Silent Runner:

ComboFix:

Pobierz program SDFix

Wszystko jest już ok. Czy problem nadal występuje? :slight_smile:

U mnie nie ma takiego folderu w folderze “system32”, więc nie jest to rodzimy folder WINDOWSA. Chyba lepiej go usunąć, choć teraz pewnie jest pusty.

jessi

nie mam takiego folderu to raz, a dwa czy była mowa o jakim kolwiek problemie / chciałem się upewnic czy niezostało nic z tego keylogerra w obawie o swoje dane w internecie :confused: i o hasła które keyloger mógł by wychwycać

A jednak mam ten folder i zawierał pliki NDJ które niezwłocznie usunołem z całym folderem, i teraz mam jeszcze większe obawy ponieważ to właśnie plik o nazwie ndj był zainfekowany :<< jakies sugestie/ mam zmieniac hasła?

Jak na moje oko, to jest to mowa o problemie.

Był zainfekowany, usunąłeś, więc problem zniknął :slight_smile: Żadnych haseł zmieniać nie musisz - w razie problemów pisz :slight_smile: