Witam. Mój problem polega na tym, że dałem się nabrać i ściągnąłem keyloggera z internetu i rozpakowałem go. Zauważyłem gdzie się on rozpakował: C/Program Files/Tibia. Zauważyłem tam 2 pliki. Nie chciałem jednak usuwać ich ręcznie, sądziłem, że lepiej będzie jeśli wykryje je jakiś program i usunie wszystko, gdyż nie jestem pewien czy zostały rozpakowane tylko tam. Skanowałem komputer bardzo różnorodnymi programami, a ich ilość przekracza 10: 2 wersje Spybota, 2 wersje Ad-aware, mks vir online, kaspersky online, arca clean, pe, FindIt, Spyware doctor i inne. Najgorsze jest to, że żaden program nie wykrył na moim komputerze ani jednego wirusa/ robaka. Znalazłem skaner http://virusscan.jotti.org/ , który skanuje poszczególne pliki, więc wybrałem owe 2, które na pewno wydają się podejrzane i pojawiły sie po rozpakowaniu keyloggera. Jeden z nich był czysty, natomiast 2 był zarażony Trojan.Downloader.W32.Delf.due / Tibia-BX. Wiele godzin szukałem w internecie cokolwiek na temat tych 2 nazw, lecz skutki były marne. W końcu zdecydowałem usunąć pliki ręcznie i udało mi się to bez najmniejszych problemów. Posiadam bardzo wartościowe konta w tej grze, a wcale nie jestem pewien czy usunąłem całego keyloggera. Bardzo proszę państwa o pomoc, gdyż format to dla mnie ostateczne wyjście.

Ps: pewnie bedą potrzebne logi, więc daje od razu.

Edit:

HijackThis http://www.wklejto.pl/24367

ComboFix http://www.wklejto.pl/24371

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix przeskanuj system i daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka

Miałem problemy ze skanem ComboFixem, bo nie mogłem usunąć ani wyłączyć noda, mimo że wyłączyłem usługi i odinstalowałem go, ale nie moglem usunąć 2 plików c:\windows\system32\imon.dll i c:\program files\Eset\pr_imon.dll, więc niestety skan odbył się z “włączonym nodem”. Wyłączyłem O4 - Startup: lsass.exe i dałem log po usunięciu.

Trzeba było napisać że nie możesz wyłączyć NOD’a wtedy można przeprowadzić skan Combofixem w trybie awaryjnym windows ale ok Rozumie że usunąłeś NOD’a choć było to niepotrzebne ale widać że nie całkiem się usunął, więc tak

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

Zrobiłem dokładnie to co trzeba, plik usunęło lecz uruchamiając ComboFix wyskoczyły 3 błedy:

PING.EXE - Zły obraz

Aplikacja lub biblioteka DLL C:\Program Files\Eset\pr_imon.dll nie jest poprawnym obrazem systemu Windows NT. Sprawdź to z dyskietką instalacyjną.

ping.exe - Zły obraz

Aplikacja lub biblioteka DLL C:\Program Files\Eset\pr_imon.dll nie jest poprawnym obrazem systemu Windows NT. Sprawdź to z dyskietką instalacyjną.

ComboFix-Download.cfexe - Zły obraz

Aplikacja lub biblioteka DLL C:\Program Files\Eset\pr_imon.dll nie jest poprawnym obrazem systemu Windows NT. Sprawdź to z dyskietką instalacyjną.

32788R22FWJFW\nircmd.com

System Windows nie może odnależć pliku “32788R22FWJFW\nircmd.com”. Upewnij się, że wpisana nazwa jest poprawna i spróbuj ponownie. Aby wyszukać plik, kliknij przycisk Start, a następnie kliknij polecenie Wyszukaj.

Po czym wyskoczył komunikat, że ochrona Noda jest nadal włączona. Komputer sam uruchomił się ponownie. Oto link do loga: http://www.wklejto.pl/24373

Użyj NOD32 Removal Tool do odinstalowania tego co pozostało po Esecie (jeśli jeszcze coś pozostało) http://www.betterantivirus.com/nod32-an … 55686.html. Zrób to w trybie awaryjnym windows (F8 przed bootem windowsa wchodzisz do trybu awaryjnego)

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Przeskanuj system daj raport na forum

lub Dr.WEB CureIt!

Zrobiłem wszystko oprócz usunięcia NODa, gdyż nie potrafię uruchomić komputera w trybie awaryjnym. Klikając F8 pojawia mi się tabelka “please select boot (…)” i mam 3 do wyboru ale obojętnie co wezmę system uruchamia sie normalnie, klikając TAB miga mi monitor kilka razy, lecz znowu sie uruchamia normalnie, a Delete wszedłem popatrzeć czy da sie to ustawić w Biosie ale chyba nie potrafię tego zrobić lub się nie da. Kaspersky Online Scanner nie uruchomił mi się, nie wiem czemu, znaczy nie chciał się załadować przycisk “Akceptuj”, ale przeskanowałem Dr. Web, który wykrył mi kilka wirusów typu "Trojan.StartPage.1505, lecz w całkiem innych folderach i usunąłem je. Jeśli wszystko dobrze to bardzo sie ciesze i serdecznie dziękuję za pomoc, gdyż moje konta nie tylko są wartościowe dla mnie, lecz w sklepach internetowych są warte duże pieniądze. Z ciekawości chciałbym zadać jeszcze jedno pytanie, dlaczego ten keylogger nie został wykryty przez żaden wypisany przeze mnie w 1 poście program, jedynie http://virusscan.jotti.org/, a dał się tak łatwo usunąć ręcznie? zy jest to tak profesjonalnie trudno wykrywalny keylogger czy wręcz przeciwnie? I jeszcze jeśli można, prosiłbym o instrukcje uruchomienia mojego komputera w trybie awaryjnym, Pozdrawiam.

Jak zastartować do trybu awaryjnego zobacz tutaj http://cybertrash.pl/Tata/Wiedza/trybaw … ryjny.html

Znalazło jeszcze kilka wirusów na innych dyskach (Win32.HLLW.MyBot.10), czy to ma jakiś związek z keyloggerem? I powtarzam pytanie czy ktokolwiek wie dlaczego te programy nie mogły wykryć keyloggera? Czy jest on profesjonalny i możliwe, że nadal nie wykryłem reszty jego plikow?