Strona 1 z 3

Keylogger i wolniejsza praca komputera

PostWysłany: 26 Mar 2012, 17:20
przez Klocu95
Witam za każdym razem gry włączę grę MMO Kaspersky informuje mnie o keyloggerze . Także komputer czasem na moment zwalnia przy łatwych procesach ( Czyściłem dysk , defragmentowałem dane , czyściłem rejestr programem CClean) . LOGI :

OTL.Txt: http://wklej.eu/index.php?id=8c0aa6883e
Extras.Txt: http://www.wklej.eu/index.php?id=a1fabbaf7a
HijackThis: http://www.wklej.eu/index.php?id=495f62aefe
W GMER przeskanowałem tylko dysk D: ponieważ , tam znajdują się pliki z podejrzanym keyloggerem według kaspersky w folderze Metin2.
GMER: http://wklej.eu/index.php?id=0051e3304f

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 26 Mar 2012, 18:04
przez mateo8898
W GMER przeskanowałem tylko dysk D: ponieważ , tam znajdują się pliki z podejrzanym keyloggerem według kaspersky w folderze Metin2.

To nieprawidłowo zrobiłeś, Gmer nie wykryje keyloggera w jakimś tam folderze gry. Zrób skanowanie tak jak w instrukcji.

Podaj także dokładną lokalizację wykrywanego pliku.

Infekcja faktycznie jest widoczna.

Do odinstalowania: Akamai NetSession Interface, SFT_Polska Toolbar. Następnie:

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:
Kod: Zaznacz wszystko
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | Boot | Stopped] --  -- (Yaf13)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KRZYSZ~1.KOM\USTAWI~1\Temp\sony_ssm.sys -- (sony_ssm.sys)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner32.sys -- (RivaTuner32)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KRZYSZ~1.KOM\USTAWI~1\Temp\PCD65X3.sys -- (PCD65X3)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KRZYSZ~1.KOM\USTAWI~1\Temp\PCD65X2.sys -- (PCD65X2)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | Auto | Stopped] -- D:\Program Files\Anti Keylogger Elite\AKEProtect.sys -- (AKEProtect)
IE - HKU\S-1-5-21-854245398-1454471165-725345543-1003\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found
IE - HKU\S-1-5-21-854245398-1454471165-725345543-1003\..\URLSearchHook: {b317125e-2f10-4388-bf1f-2c31c6cd89ed} - SOFTWARE\Classes\CLSID\{b317125e-2f10-4388-bf1f-2c31c6cd89ed}\InprocServer32 File not found
IE - HKU\S-1-5-21-854245398-1454471165-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: \"URL\" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817
IE - HKU\S-1-5-21-854245398-1454471165-725345543-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: \"URL\" = http://www.bigseekpro.com/search/browser/hypercam/{F618E1F2-AFBD-4045-A2CA-91882E1F2DD4}?q={searchTerms}
IE - HKU\S-1-5-21-854245398-1454471165-725345543-1003\..\SearchScopes\{2877A654-1C9F-4cb5-8438-16022B2FDD9C}: \"URL\" = http://www.starwebsearch.com/results.php?q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: \"Yahoo\"
FF - prefs.js..browser.search.selectedEngine: \"Yahoo\"
FF - prefs.js..keyword.URL: \"http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=382950&p=\"
FF - prefs.js..browser.search.param.yahoo-fr: \"chr-greentree_ff&type=382950&ilc=12\"
[2011-11-08 13:56:40 | 000,000,000 | ---D | M] (SFT_Polska Community Toolbar) -- C:\Documents and Settings\krzysztof.KOMPUTER\Dane aplikacji\Mozilla\Firefox\Profiles\vwrtasvu.Domyślny użytkownik\extensions\{5c5b9468-d672-4eb7-b52f-b5afabf28c5b}
[2010-03-17 15:46:46 | 000,000,000 | ---D | M] (SeekService) -- C:\Program Files\Mozilla Firefox\extensions\{86009AEF-9162-4EBC-B698-FF71D7B6B049}
O2 - BHO: (DigitalPowered Toolbar) - {b317125e-2f10-4388-bf1f-2c31c6cd89ed} - C:\Program Files\DigitalPowered\tbDigi.dll File not found
O3 - HKLM\..\Toolbar: (DigitalPowered Toolbar) - {b317125e-2f10-4388-bf1f-2c31c6cd89ed} - C:\Program Files\DigitalPowered\tbDigi.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-854245398-1454471165-725345543-1003\..\Toolbar\WebBrowser: (DigitalPowered Toolbar) - {B317125E-2F10-4388-BF1F-2C31C6CD89ED} - C:\Program Files\DigitalPowered\tbDigi.dll File not found
O4 - HKLM..\Run: [Best Antivirus] C:/Program Files/Best Antivirus/BestAntivirus.exe File not found
O4 - HKLM..\Run: [Best Antivirus Agent] C:/Program Files/Best Antivirus/BestAntivirusAgent.exe File not found
O4 - HKLM..\Run: [Best Antivirus Updater] C:/Program Files/Best Antivirus/BestAntivirusUpdater.exe File not found
O4 - HKU\S-1-5-21-854245398-1454471165-725345543-1003..\Run: [AdobeBridge]  File not found
O4 - Startup: C:\Documents and Settings\krzysztof\Menu Start\Programy\Autostart\csrss.exe ()
O8 - Extra context menu item: Funkcja Google Sidewiki - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html File not found
O20 - Winlogon\Notify\dimsntfy: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2012-03-21 21:01:42 | 000,000,000 | ---D | C] -- C:\VundoFix Backups
[2012-03-26 13:25:00 | 000,001,042 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012-03-26 12:54:25 | 000,000,278 | ---- | M] () -- C:\WINDOWS\tasks\ASC4_PerformanceMonitor.job
[2012-03-26 12:54:24 | 000,001,038 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012-03-26 12:54:24 | 000,000,288 | ---- | M] () -- C:\WINDOWS\tasks\SmartDefrag_Startup.job
[2012-03-26 12:54:24 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2011-11-18 14:15:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator.KOMPUTER.001\Dane aplikacji\Search Settings
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdobeCS4ServiceManager"=-
"SoundMan"=-
"HP Software Update"=-
"SunJavaUpdateSched"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 27 Mar 2012, 15:45
przez Klocu95
Akamai i Toolbar usunięte lecz Akamai znowu mi się zainstalowało , ponieważ używam programu Hamachi i jest raczej mi chyba potrzebne.
Co do nowych logów z Gmer tym razem skanowałem dwa dyski lecz nie zrobiłem pełnego skanu ,ponieważ musiałem przerwać w połowie ze względu na czas a samo skanowanie tego loga zajeło ponad 5 godz. ( Stary procesor )

Logi z OTL : http://www.wklej.eu/index.php?id=643390e4a6

Log z Gmer : http://www.wklej.eu/index.php?id=a2c601aa59

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 27 Mar 2012, 21:12
przez mateo8898
W Gmer wystarczyło zaznaczyć tylko dysk C.

Podaj jeszcze nowe logi z OTL robione opcją Skanuj

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 28 Mar 2012, 16:45
przez Klocu95
Keylogger dalej jest wykrywany

Nowy log OTL : http://wklej.eu/index.php?id=d5736a2866

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 28 Mar 2012, 16:57
przez mateo8898
Podaj także dokładną lokalizację wykrywanego pliku.

Czekamy.

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 28 Mar 2012, 18:08
przez Klocu95
Przepraszam zapomniałem podać ... Kaspersky pokazuję mi zawszę tę lokalizację : D:\Program Files\League of Legends\rads\solutions\lol_game_client_sln\releases\0.0.0.133\deploy\League of Legends.exe A jeśli pytacie o miejsce keyloggera to nie wiem ...

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 28 Mar 2012, 22:11
przez mateo8898
To wygląda na fałszywy alarm Kasperskiego, sprawdź dla pewności ten plik na https://www.virustotal.com/ i podaj wyniki.

W OTL wklej:
Kod: Zaznacz wszystko
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\AmdTools.sys -- (AmdTools)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;127.0.0.1:9421;
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\krzysztof.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found
[2012-03-28 16:28:04 | 000,001,036 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012-03-28 16:28:01 | 000,001,032 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Zainstaluj SP3 -> http://www.instalki.pl/programy/downloa ... ack_3.html

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) -> http://www.instalki.pl/programy/downloa ... _8_XP.html

Odinstaluj starą wersję Javy:
Java(TM) 6 Update 29

i zainstaluj najnowszą -> http://www.instalki.pl/programy/downloa ... %29_6.html

Odinstaluj starą wersję czytnika .PDF:
Adobe Reader 7.0.5 - Polish

i zainstaluj najnowszą -> http://www.instalki.pl/programy/downloa ... eader.html

Poza tym wersja Kasperskiego, którą posiadasz to już staroć, zmień ją na najnowszą -> http://www.instalki.pl/programy/downloa ... Virus.html lub na innego nowego antywira.

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 31 Mar 2012, 12:01
przez Klocu95
Skrypt wykonany , rejestr i dysk wyczyszczony . Adobe Zaktualizowany , Service Pack 3 XP i IE8 Nie chcą się zainstalować . Service pack w połowie instalacji pokazuje błąd i następuje reset komputera i IE8 nie che skończyć 3ciego pkt instalacji .

Ze względu na czas tylko tyle wykryło w MBam

LOG : http://wklej.eu/index.php?id=ccf89a32bf

Tak dla pewności jeszcze z Silent runners : http://www.wklej.eu/index.php?id=3ff7a23417

Gdzie mogę opisać swój problem z dyskiem przy starcie windowsa też w tym temacie ? A konkretnie sprawdzanie danych NTTS czy jakoś tak .

Jest pan naprawdę pomocny komp już odmulił ale są jeszcze niedociągnięcia a możliwe , że ze względu na starą bazę kasperskyego wykrywał keyloggera .

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 31 Mar 2012, 14:09
przez mateo8898
Nie wykonano akcji.

Usunąłeś to co znalazł??? Jeśli nie to usuń i opróżnij kwarantannę.

Service Pack 3 XP i IE8 Nie chcą się zainstalować. Service pack w połowie instalacji pokazuje błąd i następuje reset komputera i IE8 nie che skończyć 3ciego pkt instalacji .

Podaj treść tego błędu.

Co do dysku, wejdź w Start -> Uruchom -> CMD -> w oknie konsoli wpisz polecenie:
chkdsk c: /f

i zatwierdź ENTER. Później wybierz T i zrestartuj komputer. Po restarcie pozwól na przeskanowanie dysku.

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 02 Kwi 2012, 16:17
przez Klocu95
Tak wszystkie infekcje usunięte z tej listy . Dysk przeskanowany ale dalej pojawia się ten niebieski ekran z sprawdzaniem danych NTFS , co do Service Pack 3 najpierw w połowie instalacji ujawia się taki komunikat 1) a zaraz po nim 2) i następuje deinstalacja aktualizacji a następnie ostatni pkt 3) i następuje restart komputera dodam iż kilka razy instalowałem ten dodatek z instalatora waszego serwisu jak i strony microsoftu . ( Nigdzie nie mogę znaleźć rozwiązania błędu )

1)http://img21.otofotki.pl/dk243_2012-04-02-16.jpg.html
2)http://img21.otofotki.pl/jn783_2012-04-02-16.jpg.html
3)http://img21.otofotki.pl/zv460_2012-04-02-16.jpg.html

Czy istnieje jakiś program zabezpieczający przed w przynajmniej 95% przed keyloggerami ??

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 02 Kwi 2012, 16:33
przez mateo8898
Spróbuj wyłączyć antywira na czas instalacji. Jeśli to nie pomoże zrób tak:
1. Pobierz i zainstaluj to -> http://www.microsoft.com/download/en/de ... n&id=23510
2. Wklej do notatnika:
cd /d "%ProgramFiles%\Windows Resource Kits\Tools"
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f /grant=system=f
subinacl /subdirectories %SystemDrive% /grant=administrators=f /grant=system=f
subinacl /subdirectories %windir%\*.* /grant=administrators=f /grant=system=f
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

Plik -> Zapisz jako -> Ustaw rozszerzenie z TXT na Wszystkie pliki -> zapisz pod nazwą Reset.cmd -> uruchom utworzony plik i czekaj na zakończenie operacji. Następnie spróbuj zainstalować SP3 oraz IE.

Jeśli chodzi o dysk, wklej do notatnika:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCScan"=dword:0000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"AutoChkTimeOut"=dword:0000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):00,00

Plik -> Zapisz jako -> Ustaw rozszerzenie z TXT na Wszystkie pliki -> zapisz pod nazwą FIX.REG -> uruchom utworzony plik i potwierdź

Czy istnieje jakiś program zabezpieczający przed w przynajmniej 95% przed keyloggerami ??

Przede wszystkim: antywirus na bieżąco aktualizowany i MYŚLENIE, bo tego nic nie zastąpi. Możesz także dodatkowo zainstalować ten program -> http://www.instalki.pl/programy/downloa ... _Free.html

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 02 Kwi 2012, 18:24
przez Klocu95
Dobrze SP3 zainstalowany IE8 niedługo zainstaluje . Lecz nastąpił kolejny problem mianowicie po zainstalowaniu SP3 w menedzeże urządzeń znikła mi zakładka z kartą graficzną i teraz nie mogę jej włączyć , ponieważ po zainstalowaniu SP3 się wyłączyła.

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 02 Kwi 2012, 18:41
przez mateo8898
Dziwne, spróbuj zainstalować najnowsze sterowniki do karty.
ponieważ po zainstalowaniu SP3 się wyłączyła

Karta nie może się wyłączyć, nie miałbyś obrazu :)

Wrzuć screenshot z menedżera urządzeń.

Re: Keylogger i wolniejsza praca komputera

PostWysłany: 02 Kwi 2012, 19:08
przez Klocu95
Karta jest właściwie podłączona w komputerze , nazwa karty to ATI Radeon 9550 X i w SP2 wszystko elegancko śmigało a teraz nawet mi jej nie wykrywa przy szukaniu , sterowniki są zaktualizowane . Procesor AMD więc nie wiem też skąd nagle Intel pojawił mi się przy szukaniu urządzeń . To dziwne bo jak wgrałem nie dawno jeszcze w SP2 plik ATI Catalyst™ Legacy Display Driver który to wyłączył mi sterownik karty i musiałem go uruchamiać z poziomu menedżera urządzeń :) Ale już jest usunięty ten program gdyż zamulał mi tylko a nie pomagał . Można SP3 odinstalować w razie problemów ??

Screenshot z ekranu : http://img21.otofotki.pl/nu500_Keylogger-forum.gif.html
I tu jeszcze jeden SS niewiarygodny wszystko się stało po zainstalowaniu SP3 a powinno pisać , że to karta Ati Radeon ;] : http://img21.otofotki.pl/zn860_Whatthefuck.gif.html

PS Jeśli piszę nie zrozumiale to przepraszam :p staram się wszystko opisać i w miarę szybko .