Keylogi (Logi gotowe)

[kamilos369]

Skradziono mi maila, włamano się na gg i ograbiono konto w Lineage II. Gdzie jest Keylog? Zrobiłem skana kasperskym (wcześniej żadnego antyV nie miałem więc sam sobie jestem winien że mnie okradli) ale nadal się boję. Mógłby ktoś sprawdzić logi?

Z góry dzieki ;/

HijackThis: http://wklej.to/IPpK
Silent Runners: http://wklej.to/71kZ
ComboFix: Nie działa mi. Włączam, ładuje się jakieś malutkie okienko z napisem ComboFix i zielony pasek leci. Jak poleci do końca nic się nie dzieje.

Jeżeli ktoś wie jak z tym CF to od razu odpalę.

[mateo8898]

Podaj logi z OTL i GMER

[kamilos369]

OTL : http://wklej.to/5EYQ
OTL extras: http://wklej.to/4MBz


Ten z GMER-a się kroi. Po tym już coś widać?

[kamilos369]

GMER łapie crasha. po 10-15 min wychodzi komunikat "błąd aplikacji".

[mateo8898]

Uruchom OTL w oknie Custom Scans/Fixes wklej:

:Processes
killallprocesses

:OTL
MOD - [2010-01-29 13:43:54 | 000,045,134 | ---- | M] (MyWebSearch.com) -- C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL
SRV - [2010-01-29 13:43:54 | 000,028,762 | ---- | M] (MyWebSearch.com) [Auto | Stopped] -- C:\Program Files\MyWebSearch\bar\1.bin\MWSSVC.EXE -- (MyWebSearchService)
DRV - File not found [Kernel | On_Demand | Running] -- -- (cpuxp)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
IE - HKU\S-1-5-21-1454471165-1715567821-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15161&l=dis
IE - HKU\S-1-5-21-1454471165-1715567821-725345543-1003\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com)
IE - HKU\S-1-5-21-1454471165-1715567821-725345543-1003\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..extensions.enabledItems: [email protected]:1.1
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:3.3.0.3971
FF - prefs.js..extensions.enabledItems: {0b38152b-1b20-484d-a11f-5e04a9b0661f}:5.6.12.1
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="
[2010-02-16 21:07:44 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Kamilos\Dane aplikacji\Mozilla\Firefox\Profiles\ap3wd7z8.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2010-02-13 17:48:45 | 000,002,426 | ---- | M] () -- C:\Documents and Settings\Kamilos\Dane aplikacji\Mozilla\Firefox\Profiles\ap3wd7z8.default\searchplugins\askcom.xml
[2010-02-16 21:09:52 | 000,001,250 | ---- | M] () -- C:\Documents and Settings\Kamilos\Dane aplikacji\Mozilla\Firefox\Profiles\ap3wd7z8.default\searchplugins\winamp-search.xml
[2009-12-03 10:54:24 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml
O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll ()
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
O3 - HKLM\..\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll ()
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
O3 - HKU\S-1-5-21-1454471165-1715567821-725345543-1003\..\Toolbar\ShellBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O3 - HKU\S-1-5-21-1454471165-1715567821-725345543-1003\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O4 - HKLM..\Run: [My Web Search Bar] C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O4 - HKLM..\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com)
O4 - Startup: C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe ()
O4 - HKU\S-1-5-21-1454471165-1715567821-725345543-1003..\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com)
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\DataMngr\datamngr.dll) - C:\Program Files\BearShare Applications\MediaBar\DataMngr\datamngr.dll ()

:Files
C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe
C:\Program Files\MyWebSearch
C:\Program Files\Winamp Toolbar
C:\Program Files\BearShare Applications\MediaBar
C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
"nwiz"=-
"QuickTime Task"=-
"RTHDCPL"=-
"SkyTel"=-
"SunJavaUpdateSched"=-
"UpdatePDRShortCut"=-

:Commands
[emptytemp]

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL

[kamilos369]

Usuwanie: http://wklej.to/465F
OTL: http://wklej.to/5nqs

[mateo8898]

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Kod: Zaznacz wszystko

Files to delete:
C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

Uruchom OTL w oknie Custom Scans/Fixes wklej:

:OTL
FF - HKLM\software\mozilla\Firefox\Extensions\\[email protected]: C:\Program Files\MyWebSearch\bar\firefox\
O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL File not found
O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\MediaBar\DataMngr\IEBHO.dll File not found
O3 - HKU\S-1-5-21-1454471165-1715567821-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1454471165-1715567821-725345543-1004\..\Toolbar\WebBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found.
O3 - HKU\S-1-5-21-1454471165-1715567821-725345543-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1454471165-1715567821-725345543-1004\..\Toolbar\WebBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found.

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL

[kamilos369]

OTL http://wklej.to/sBGy

w Avengerze nie znalazło tego

[mateo8898]

Podaj jeszcze nowy log z OTL.