moja własna zona szpiegiem w moim kompie

[gmdgmd]

Troche nie bardzo wiem jak sie tutaj poruszac, wiec na wstepie poprosze o wyrozumialosc. Mam maly problem poniewaz moja wlasna zona dobrala sie do mojego kompa w poszukiwaniu chyba zdrady i klamstawa!!!! efekt jest taki ze dobrala sie do mojej skrzynki mailowej na gmailu. Zna tresc wszystkich maili i jest mały klopot. Stwierdzila ze włamał sie dla niej jakiś bardzo dobry informatyk i jej przeslal tylko moje maile w wordzie. Nie wiem czy mowi prawde. Moje typy sa ze zainstalowala mi keyloggera lub wlamala sie do wykorzystujac haslo do skzrynki uzyskane z przegladarki mozilli. Prosze o pomoc i sprawdzenie czy w logu jest slad po jakims keyloggerze.

Wrzucam link do logu; http://www.wklej.eu/index.php?id=33b0a16565

[mateo8898]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL
SRV - File not found [Auto | Running] --  -- (HWDeviceService.exe)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66017
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66017
IE - HKU\S-1-5-21-796845957-362288127-725345543-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66017
IE - HKU\S-1-5-21-796845957-362288127-725345543-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.www.daemon-search.com/default
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
[2008-02-15 21:50:15 | 000,002,920 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\uojif8nn.default\searchplugins\daemon-search.xml
O3 - HKU\S-1-5-21-796845957-362288127-725345543-500\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKU\S-1-5-21-796845957-362288127-725345543-500..\Run: [TomTomHOME.exe] "d:\TomTom HOME 2\TomTomHOMERunner.exe" File not found
O33 - MountPoints2\{10f0e0c8-c3e4-11de-b4c0-0013ce7fa646}\Shell\AutoRun\command - "" = F:\q3kku.exe
O33 - MountPoints2\{10f0e0c8-c3e4-11de-b4c0-0013ce7fa646}\Shell\open\Command - "" = F:\q3kku.exe
O33 - MountPoints2\{59856dc6-4b85-11de-b45e-0013ce7fa646}\Shell\AutoRun\command - "" = F:\n68mqcra.exe
O33 - MountPoints2\{59856dc6-4b85-11de-b45e-0013ce7fa646}\Shell\open\Command - "" = F:\n68mqcra.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"KernelFaultCheck"=-
"NeroFilterCheck"=-
"SoundMan"=-
"Media Codec Update Service"=-

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL (wykonaj je wg. tej instrukcji otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754 i nie zapomnij o Extras.txt) + brakujący log z Gmer otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

[gmdgmd]

Dziękuje za szybka reakcje. Już wykonuje wszystko według zaleceń fachowca. Mam jednak pytanie aby nie namieszać.
1. Uruchamiam OTL i wklejam to co dostałem wyżej w odpowiedzi od mati8898 uzyskuje log w formacie OTL.txt oraz Extras.txt
2. wrzucam to na wklej.eu ( i tutaj małe pytanie czym różni się log uzyskany przez wklejenie w okienko programu OTL " własne opcje skanowania/skrypt tego co dostałem od mati8889 od uruchomienie skanuj w programie OTC z pustym tym okienkiem???? Lub inaczej zapytam: mati co to jest co mi wysłałeś do wklejenia??
3. Na wklej .eu wrzucam log uzyskany z GMERa.
( Pytanie czy można wszystkie 3 logo wkleić w jedno okno wklej.eu ( tak zrobiłem) czy każdy log do osobnego wklej.eu ( czy nie ma to znaczenia???)
( na podstawie sprawdzeń w kompie okazało się że moja żona dobrała się jednak do mojego laptopa. Było to w poniedziałek 7 listopada 2011 o
13.39.02 do 15.04.26 ja w tym czasie byłem w pracy. Wiem to na podstawie PC Tools Spyware Doctor.

Jezeli okaże się że nie ma śladów po keyloggerze, to czy zdobycie hasła z przegladarki mozilla do gmaila jest trudne? Jak się przed tym zabezpieczyć???
Wiem już ze uruchomienie procedur przez organy scigania w temacie przestępstwa włamania do skrzynki mailowej wymagają zgody amerykańskiego sadu a to tylko w najpoważniejszych sprawach. Tak wiec nie ma co powiadamiać prokuratury bo nie są w stanie nic ustalić. A za takie włamanie jest chyba do 3 lat pozbawienia wolności. Załozyłem już nowe konto wybrałęm interie.
Zła kobieta! I to pod własnym dachem!
GMDGMD
jezcze link do wklej.eu http://www.wklej.eu/index.php?id=ea56280046

[mateo8898]

1. Uruchamiam OTL i wklejam to co dostałem wyżej w odpowiedzi od mati8898 uzyskuje log w formacie OTL.txt oraz Extras.txt

No właśnie nie. Wklejasz to co podałem, klikasz Wykonaj skrypt. Nastąpi restart i po ponownym uruchomieniu powinien pojawić się log z usuwania, który tutaj podajesz. Następnie uruchamiasz ponownie OTL, ustawiasz wg. tej instrukcji otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754 i robisz po prostu nowe logi opcją Skanuj

[gmdgmd]

Analizuje nadal. Wyszło mi z logu ze 7 listopada 2011 roku o godz. 15.00 moja żona dobrała sie do C;\documents and settings\administrator\ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini!!!!!!!!
Co z tego folderu -plików można wytropić?????

czekam na wsparcie fachowców!

GMDGMD

[kominekl]

Wykonaj instrukcje moderatora.

[gmdgmd]

jestem. Wykonuje te czynnosci, wiem ze to proste ale ciezko jest sie skupić na tym i jednoczesnie kłócic sie z jędza! Ludzie nie żeńcie sie!
Po wklejeniu tego co dostalem od matiego i uruchomieniu wykonaj skrypt , faktycznie komputer sie zrestartował i otrzymałem: wklejam tutaj bo krótkie:
( mam nadzieje ze nie naruszam teraz regulaminu:)
All processes killed
========== OTL ==========
Service HWDeviceService.exe stopped successfully!
Service HWDeviceService.exe deleted successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\CustomizeSearch| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
HKU\S-1-5-21-796845957-362288127-725345543-500\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKU\S-1-5-21-796845957-362288127-725345543-500\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ deleted successfully.
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\uojif8nn.default\searchplugins\daemon-search.xml moved successfully.
Registry value HKEY_USERS\S-1-5-21-796845957-362288127-725345543-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{4B3803EA-5230-4DC3-A7FC-33638F3D3542} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.
Registry value HKEY_USERS\S-1-5-21-796845957-362288127-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\\TomTomHOME.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{10f0e0c8-c3e4-11de-b4c0-0013ce7fa646}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10f0e0c8-c3e4-11de-b4c0-0013ce7fa646}\ not found.
File F:\q3kku.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{10f0e0c8-c3e4-11de-b4c0-0013ce7fa646}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10f0e0c8-c3e4-11de-b4c0-0013ce7fa646}\ not found.
File F:\q3kku.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{59856dc6-4b85-11de-b45e-0013ce7fa646}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{59856dc6-4b85-11de-b45e-0013ce7fa646}\ not found.
File F:\n68mqcra.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{59856dc6-4b85-11de-b45e-0013ce7fa646}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{59856dc6-4b85-11de-b45e-0013ce7fa646}\ not found.
File F:\n68mqcra.exe not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\NeroFilterCheck deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\SoundMan deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Media Codec Update Service not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
Temp folder emptied: 18845438 bytes
Temporary Internet Files folder emptied: 37027277 bytes
Java cache emptied: 32699842 bytes
FireFox cache emptied: 95320859 bytes
Flash cache emptied: 80743 bytes

User: All Users

User: Default User
Temp folder emptied: 0 bytes
Temporary Internet Files folder emptied: 33170 bytes
Flash cache emptied: 56502 bytes

User: LocalService
Temp folder emptied: 65716 bytes
Temporary Internet Files folder emptied: 33394 bytes

User: NetworkService
Temp folder emptied: 0 bytes
Temporary Internet Files folder emptied: 402 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 24 bytes
%systemroot%\System32 .tmp files removed: 2596 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 4089669813 bytes

Total Files Cleaned = 4 076,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 11132011_195718

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...


Teraz uruchamiam OTL i daje skanuj. czekam teraz az przemieli. I

[kominekl]

Dajesz log z usuwania + nowe logi z OTL (wykonaj je wg. tej instrukcji otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754 i nie zapomnij o Extras.txt) + brakujący log z Gmer otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

Wykonaj . Chwilowo odpuść jej . Graj na zwłoke, zyskasz chwilę spokoju.

[gmdgmd]

Jeszcze mam nadzieje ostatnie pytanie. Po restarcie kompa uruchamiam OTL i wklejam ten skrypt w okienko własne opcje skanowania??? Czy skrypt jest potrzebny zeby moderator go ocenił???? A OTL uruchamiam skanuj bez wklejania skryptu. W instrucji jest zapis że " może się zdarzyć że zostaniemi poproszeni o wprowadzenie skryptu! . Moze to głupie pytanie ale naprawde sa dwie mozliwosci. Czyli OTL


http://www.wklej.eu/index.php?id=3b44105749 ( po wklejeniu w okno " własne opcje skanowania " skryptu

http://wklej.eu/index.php?id=97f6aae54f ( bez w wklejania w okno skryptu)

[gmdgmd]

jeszcze z gmer:

Kod: Zaznacz wszystko

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit quick scan 2011-11-13 21:55:19
Windows 5.1.2600 Dodatek Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 SAMSUNG_HM100JC rev.YN100-08
Running: gmer.exe; Driver: C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\pwliqpow.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)  ZwEnumerateKey [0xA9420D5A]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)  ZwEnumerateValueKey [0xA9420BC5]

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)  ObInsertObject
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)  ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device          \Driver\atapi \Device\Ide\IdePort0                                                     8A3DF1F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                            8A3DF1F8
Device          \Driver\atapi \Device\Ide\IdePort1                                                     8A3DF1F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                            8A3DF1F8
Device          \Driver\ahp0cd13 \Device\Scsi\ahp0cd131                                                89EE5500
Device          \Driver\ahp0cd13 \Device\Scsi\ahp0cd131Port2Path0Target0Lun0                           89EE5500
Device          \FileSystem\Ntfs \Ntfs                                                                 aswSP.SYS (avast! self protection module/AVAST Software)
Device          \FileSystem\Ntfs \Ntfs                                                                 8A3DE1F8

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                 aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                               aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                              aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                              aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                            aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

---- EOF - GMER 1.0.15 ----


[kominekl]

W instrucji jest zapis że " może się zdarzyć że zostaniemi poproszeni o wprowadzenie skryptu!

To co podał moderator to właśnie owy skrypt, który widzę, że wykonałeś.

Zalecam odinstalowanie następujących programów Spyware Doctor i Spyware Terminator (podamy zastępniki).

Następnie uruchom OTL w oknie Własne opcje skanowania skrypt wklej:

Kod: Zaznacz wszystko

:OTL

FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.update: false
FF - prefs.js..extensions.enabledItems: [email protected]:0.6.20110508
[2007-07-26 12:05:16 | 000,001,329 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\crawlersrch.xml
O16 - DPF: {3553FF81-A19A-4486-873E-3105287E6975} file://E:\WebPlayer.cab (BackupPlayer Control)
@Alternate Data Stream - 133 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2

:Files
C:\Documents and Settings\All Users\Dane aplikacji\.zreglib

:Reg
[HKEY_USERS\S-1-5-21-796845957-362288127-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.