Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Możliwy keylogger, brak dostępu do stron antyvirusowych
27 Sty 2012, 17:02
Witam
ostatnie czasy uruchomilem jakis podejrzany plik i obawiam się, że mógłbyć to keylogger. Dodatkowo chcąc przeskanować plik przeglądarka pokazuje, że "Nie można odnaleźć serwera".
Oto logi z OTL:
Extras:
http://wklej.eu/index.php?id=133abece11
OTL:
http://wklej.eu/index.php?id=a931e72755
Z góry dziękuje za pomoc.
P.S
Nie zabij za użycie combofixa... uzylem go zanim przeczytalem poradnik na forum.
ostatnie czasy uruchomilem jakis podejrzany plik i obawiam się, że mógłbyć to keylogger. Dodatkowo chcąc przeskanować plik przeglądarka pokazuje, że "Nie można odnaleźć serwera".
Oto logi z OTL:
Extras:
http://wklej.eu/index.php?id=133abece11
OTL:
http://wklej.eu/index.php?id=a931e72755
Z góry dziękuje za pomoc.
P.S
Nie zabij za użycie combofixa... uzylem go zanim przeczytalem poradnik na forum.
Re: Możliwy keylogger + brak dostępu do stron antyvirusowych
27 Sty 2012, 18:09
Podaj log, który wtedy utworzył ComboFix.
Re: Możliwy keylogger, brak dostępu do stron antyvirusowych
27 Sty 2012, 18:18
Re: Możliwy keylogger, brak dostępu do stron antyvirusowych
27 Sty 2012, 18:27
Tutaj jest jeszcze Conficker.
Wklej do notatnika:
Plik
zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
Wklej do notatnika:
Netsvcs::
tdrolkgm
jrggwqtdv
Driver::
tdrolkgm
jrggwqtdv
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jrggwqtdv]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tdrolkgm]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3822:TCP"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-
Plik
zapisz jako CFScript.txtPrzeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
Re: Możliwy keylogger, brak dostępu do stron antyvirusowych
27 Sty 2012, 18:56
chyba zrobiłem coś zle bo zaczelo sie normalne skanowanie, nie bylo nic takiego jak na obrazku.
http://wklej.eu/index.php?id=1bc074622a
edit.
strony antyvirusowe już dzialają!
moze jakas porada? bo jak mozesz zauwayzc po moich postach jakis czas temu mialem ten sam problem. Pozniej jak problem zostal rozwiazany zrobilem format i problem wrocil po kilku miesiacach. wiesz moze jaka jest przyczyna?
http://wklej.eu/index.php?id=1bc074622a
edit.
strony antyvirusowe już dzialają!
moze jakas porada? bo jak mozesz zauwayzc po moich postach jakis czas temu mialem ten sam problem. Pozniej jak problem zostal rozwiazany zrobilem format i problem wrocil po kilku miesiacach. wiesz moze jaka jest przyczyna?
Re: Możliwy keylogger, brak dostępu do stron antyvirusowych
27 Sty 2012, 19:16
Jeszcze została kosmetyka w OTL.
Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
Może podłączyłeś zainfekowaną pamięć przenośną. Poza tym brak tu jakiegokolwiek antywira...
Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/howfytdl/{9AFB6A84-E93B-4720-AF43-D01F0FD20B7A}
IE - HKU\S-1-5-21-1390067357-484763869-1644491937-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/howfytdl/{9AFB6A84-E93B-4720-AF43-D01F0FD20B7A}
FF - prefs.js..browser.startup.homepage: "http://www.bigseekpro.com/howfytdl/{9AFB6A84-E93B-4720-AF43-D01F0FD20B7A}"
FF - prefs.js..keyword.URL: "http://www.bigseekpro.com/search/toolbar/howfytdl/{9AFB6A84-E93B-4720-AF43-D01F0FD20B7A}?q="
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKCU\Software\MozillaPlugins\Firefox: File not found
[2011-12-24 18:28:30 | 000,000,000 | ---D | M] (FYTDL Toolbar) -- C:\Documents and Settings\Adaś\Dane aplikacji\Mozilla\Firefox\Profiles\4crhza1e.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC}
[2011-12-24 18:53:15 | 000,002,374 | ---- | M] () -- C:\Documents and Settings\Adaś\Dane aplikacji\Mozilla\Firefox\Profiles\4crhza1e.default\searchplugins\search.xml
O3 - HKU\S-1-5-21-1390067357-484763869-1644491937-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
[2011-03-08 16:29:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
moze jakas porada? bo jak mozesz zauwayzc po moich postach jakis czas temu mialem ten sam problem. Pozniej jak problem zostal rozwiazany zrobilem format i problem wrocil po kilku miesiacach. wiesz moze jaka jest przyczyna?
Może podłączyłeś zainfekowaną pamięć przenośną. Poza tym brak tu jakiegokolwiek antywira...
Re: Możliwy keylogger, brak dostępu do stron antyvirusowych
27 Sty 2012, 19:25
Po wykonaniu skryptu:
http://wklej.eu/index.php?id=c762719110
Extras:
http://wklej.eu/index.php?id=ffa9a13727
OTL:
http://wklej.eu/index.php?id=5766d366ca
http://wklej.eu/index.php?id=c762719110
Extras:
http://wklej.eu/index.php?id=ffa9a13727
OTL:
http://wklej.eu/index.php?id=5766d366ca
Re: Możliwy keylogger, brak dostępu do stron antyvirusowych
27 Sty 2012, 19:47
Odinstaluj jeszcze FYTDL Toolbar
Start Uruchom Combofix /uninstall
W OTL kliknij Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)
Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html
Odinstaluj starą wersję Javy:
i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html
Odinstaluj starą wersję czytnika .PDF:
i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html
Zaktualizuj Firefoksa do najnowszej wersji https://www.instalki.pl/download/programy/windows/internet/przegladarki-www/firefox/
Zainstaluj jakiegoś antywira.
Start
Uruchom Combofix /uninstallW OTL kliknij Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)
Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz)
http://www.instalki.pl/programy/downloa ... _8_XP.htmlOdinstaluj starą wersję Javy:
Java(TM) 6 Update 29
i zainstaluj najnowszą
http://www.instalki.pl/programy/downloa ... %29_6.htmlOdinstaluj starą wersję czytnika .PDF:
Adobe Reader 9.5.0 - Polish
i zainstaluj najnowszą
http://www.instalki.pl/programy/downloa ... eader.htmlZaktualizuj Firefoksa do najnowszej wersji
https://www.instalki.pl/download/programy/windows/internet/przegladarki-www/firefox/Zainstaluj jakiegoś antywira.