Keylogery

[Rofo467]

Witam. Ostatnio mój brat zaczął grać w Tibię i naściągał syfu więc trzeba by to usunąć;]
W związku z tym kieruję tutaj prośbę do was.
Na razie mam pliki ze skanu programem dds, przy skanowaniu otl program zawiesza się przy Scanning Modules. Chciałem przeskanować programem GMER ale sam folder z l4d skanuje 20 minut i jeszcze nie skończył więc chyba odpuszczę bo 4-5h czasu na skanowanie nie mam (chyba, że da się jakoś to ominąć ewentualnie przeskanować tylko dysk C)

dds.txt
Dostępne tylko dla zarejestrowanych użytkowników

attach.txt
Dostępne tylko dla zarejestrowanych użytkowników

[djkamil09061991]

Wykonaj pełne skanowanie tym programem:
http://www.hotfix.pl/obsluga-programu-m ... re-a55.htm
usuń co znajdzie i pokaż raport. Nastęnie spróbuj wykonać logi z OTL w trybie awaryjnym.

[greh]

Jak nie pomoże to, co zostało polecone wyżej, to spróbuj tego:

Pobierz i spróbuj uruchomić:

Dostępne tylko dla zarejestrowanych użytkowników

lub:

Dostępne tylko dla zarejestrowanych użytkowników

Jeśli się uda,wykonaj log, który wklej na Dostępne tylko dla zarejestrowanych użytkowników a tutaj jedynie link.
Ktoś pomoże z walką z tym badziewiem.

[Rofo467]

Więc sytuacja jest taka. Rano zacząłem skanować Malwarebytes ale się okazało, że muszę wyjść wcześniej z domu więc przerwałem i usunąłem to, co już wykryło. Tutaj log:
Dostępne tylko dla zarejestrowanych użytkowników

Teraz wróciłem do domu i odpaliłem skanowanie po godzinie i dwudziestu minutach brak odpowiedzi. Się zdenerwowałem nie powiem ale zaczynamy od nowa, jak skończy skanować to zedytuje posta.

#
Dobra dziwna sprawa, edytuje. Wcześniej zaciął mi się program po ponad godzinie, a teraz skończył skanowanie w 35minut.
Tutaj logi (pierwszy to ten po skończeniu skanowania, a drugi po usunięciu infekcji)

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

Zaraz odpalę w trybie awaryjnym i zrobię skan otl jak się uda.

#
Dobra kolejny edit, po skanie przeprowadzonym w trybie awaryjnym:
otl.txt:
Dostępne tylko dla zarejestrowanych użytkowników
extras.txt:
Dostępne tylko dla zarejestrowanych użytkowników


________________________________________________________

[kominekl]

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [TkBellExe] C:\program files\real\realplayer\update\realsched.exe (RealNetworks, Inc.)
O4 - HKU\S-1-5-21-343818398-1897051121-1417001333-1003..\Run: [DAEMON Tools Lite] E:\Program Files\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKU\S-1-5-21-343818398-1897051121-1417001333-1003..\Run: [RayV] C:\Program Files\RayV\RayV\RayV.exe (RayV)

To zbędniki w autostarcie. Wejdź w START -> URUCHOM -> Msconfig -> Usługi -> odznacz usługę -> NVIDIA Display Driver Service. Resztę usunę poniższym skryptem.

"{1F77C418-2C90-459C-BD33-B56A4182B9FA}" = System Requirements Lab CYRI
"DriverEasy_is1" = DriverEasy 3.1.1
"HijackThis" = HijackThis 2.0.2
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware wersja 1.60.1.1000
"uTorrentBar Toolbar" = uTorrentBar Toolbar
"vShare.tv plugin" = vShare.tv plugin 1.3
"Orbit_is1" = Orbit Downloader
"Ad-Remover" = Ad-Remover

System Requirements Lab to według mnie zupełnie zbędne oprogramowanie. DriverEasy to według mnie program nie dość rzetelny. HijackThis to już staroć. Malwarebytes Anti-Malware został zainstalowany w złej formie. uTorrentBar Toolbar i vShare.tv plugin to fatalne pluginy. Orbit Downloader to zbędny pobieracz. Ad-Remover to oprogramowanie, które ściąga się najnowsze, gdy to potrzebne. Podsumowując odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | Boot | Stopped] -- -- (mv91xx)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{D6683945-61F0-4EF1-A879-23188C2D0E15}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-343818398-1897051121-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-343818398-1897051121-1417001333-1003\..\SearchScopes,DefaultScope = {D6683945-61F0-4EF1-A879-23188C2D0E15}
IE - HKU\S-1-5-21-343818398-1897051121-1417001333-1003\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-343818398-1897051121-1417001333-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-343818398-1897051121-1417001333-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{sear
IE - HKU\S-1-5-21-343818398-1897051121-1417001333-1003\..\SearchScopes\{D6683945-61F0-4EF1-A879-23188C2D0E15}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-343818398-1897051121-1417001333-1003\..\SearchScopes\{ECBCB27D-EA20-4828-B5F4-34EE91530E43}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: ietab@ip.cn:1.98.20110322
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q="
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2012-03-08 17:49:47 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\yjaqx544.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2011-03-23 15:11:20 | 000,000,000 | ---D | M] (IE Tab Plus) -- C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\yjaqx544.default\extensions\ietab@ip.cn
[2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\yjaqx544.default\searchplugins\startsear.xml
[2011-08-21 11:15:47 | 000,002,252 | ---- | M] () -- C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\yjaqx544.default\searchplugins\tibiawiki-en.xml
[2011-06-09 13:41:48 | 000,081,920 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
O3 - HKU\S-1-5-21-343818398-1897051121-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.

:Files
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\WINDOWS\tasks\*.job
C:\WINDOWS\System32\proc1794749374.bin
C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
C:\Documents and Settings\dom\Dane aplikacji\EurekaLog
C:\Documents and Settings\dom\Dane aplikacji\Orbit

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
"NvCplDaemon"=-
"NvMediaCenter"=-
"nwiz"=-
"TkBellExe"=-
[HKEY_USERS\S-1-5-21-343818398-1897051121-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"=-
"RayV"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[Rofo467]

System Requirements Lab to według mnie zupełnie zbędne oprogramowanie. DriverEasy to według mnie program nie dość rzetelny. HijackThis to już staroć. Malwarebytes Anti-Malware został zainstalowany w złej formie. uTorrentBar Toolbar i vShare.tv plugin to fatalne pluginy. Orbit Downloader to zbędny pobieracz. Ad-Remover to oprogramowanie, które ściąga się najnowsze, gdy to potrzebne. Podsumowując odinstaluj to oprogramowanie.

To odinstalowałem dopiero po wykonaniu skryptu, nie wiem czy to źle. Może i masz rację, ale vShare i tak pewnie będę musiał zainstalować, pluginu potrzebuję do oglądania meczy w sieci. Jeżeli uważasz, że stanowi zagrożenie to postaram się używać innych stron. Nie mogę jednak odinstalować utorrent tolbar. Spróbuję jeszcze raz po ponownym uruchomieniu komputera.

Teraz co do skryptu w otl. Musiałem go wykonać w trybie awaryjnym > później res > nieudane skanowanie w otl > skanowanie w trybie awaryjnym (martwi mnie to, podejrzewam, że coś blokuje otl bo kiedyś wykonywałem skany bez problemu)
Więc tu raport po wykonaniu skryptu:
Dostępne tylko dla zarejestrowanych użytkowników
I otl.txt po ponownym skanowaniu:
Dostępne tylko dla zarejestrowanych użytkowników

Resztę usunę poniższym skryptem.

Rozumiem, że to zostało usunięte w tym długim skrypcie, który wykonałem?


# Ponowna próba usunięcia utorrent tolbar nie powiodła się.


________________________________________

[kominekl]

To odinstalowałem dopiero po wykonaniu skryptu, nie wiem czy to źle. Może i masz rację, ale vShare i tak pewnie będę musiał zainstalować, pluginu potrzebuję do oglądania meczy w sieci. Jeżeli uważasz, że stanowi zagrożenie to postaram się używać innych stron. Nie mogę jednak odinstalować utorrent tolbar. Spróbuję jeszcze raz po ponownym uruchomieniu komputera.

Zapomniałeś odinstalować Malwarebytes`a. To świetny skaner na żądanie. W wersji testowej jest przeczulony. Odinstaluj Go, a później zainstalujemy Go ponownie.

Rozumiem, że to zostało usunięte w tym długim skrypcie, który wykonałem?

Tak jest .

# Ponowna próba usunięcia utorrent tolbar nie powiodła się.

W takim razie wyrzucę to kolejnym skryptem.

o odinstalowałem dopiero po wykonaniu skryptu, nie wiem czy to źle.

Po deinstalacji Malwarebytes`a. Podaj nowe logi z OTL (oba).

[Rofo467]

OK, szkoda tylko, że straciłem czas, mogłem najpierw odinstalować. W takim razie tutaj skan, btw po wykonaniu skanu w otl dostaje tylko 1 log otl.txt, extras.txt dostałem tylko po pierwszym skanowaniu. Jak uważasz są tu jakieś syfy i dlaczego ten otl nie działa dalej w normalnym trybie?
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Jak uważasz są tu jakieś syfy i dlaczego ten otl nie działa dalej w normalnym trybie?

Mam kilka domysłów, ale o tym później.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-343818398-1897051121-1417001333-1003\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
O2 - BHO: (Octh Class) - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll (Orbitdownloader.com)
O8 - Extra context menu item: &Download by Orbit - C:\Program Files\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: &Grab video by Orbit - C:\Program Files\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: Do&wnload selected by Orbit - C:\Program Files\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: Down&load all by Orbit - C:\Program Files\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)

:Files
C:\Program Files\Orbitdownloader
C:\Documents and Settings\dom\Ustawienia lokalne\Temp
E:\System Volume Information\_restore{7913D95F-A9D6-4B17-B5C2-C19C956C484D}
C:\WINDOWS\tasks\*.job

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Orbit_is1]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31

Odinstaluj i zainstaluj najnowszą -> Dostępne tylko dla zarejestrowanych użytkowników.

"KLiteCodecPack_is1" = K-Lite Codec Pack 7.1.2 (Full)

Odinstaluj i zainstaluj najnowszą -> http://www.hotfix.pl/infusions/pro_down ... k-p155.htm.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> http://www.hotfix.pl/infusions/pro_down ... r-p158.htm.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> http://www.hotfix.pl/infusions/pro_down ... e-p164.htm, jeśli coś znajdzie usuń i daj raport.

[Rofo467]

Wrzucę na razie log z otl bo malwarebytes skanuje.
Dostępne tylko dla zarejestrowanych użytkowników
Co do ccleanera to jak odpalam to w prawym dolnym rogu "Uruchom cleaner" ?

[kominekl]

Wrzucę na razie log z otl bo malwarebytes skanuje.

OK. Czekamy na raport.

Co do ccleanera to jak odpalam to w prawym dolnym rogu "Uruchom cleaner" ?

Tak jest.

[Rofo467]

Nie wiem czy ten mbam dobrze się zainstalował, nie pytali mnie o żadną wersję testową. Dodatkowo trzy razy podczas skanowania się zawiesił ale to może dlatego, że pracowałem w tym czasie na komputerze i był trochę przeciążony, po raz czwarty odpaliłem skan i zostawiłem go w spokoju to doszło do końca, żadnych zagrożeń nie wykryło, tu raport:
Dostępne tylko dla zarejestrowanych użytkowników

Już widzę, że to wersja testowa ale z tej strony co podałeś nie widzę do pobrania innej wersji,a przy instalacji nie ma żadnego zapytania o wersję testową.
Może to dlatego, że kiedyś już go miałem i skończyła mi się jakaś tam próbna 30-dniowa wersja.

[XMan]

Już widzę, że to wersja testowa ale z tej strony co podałeś nie widzę do pobrania innej wersji,a przy instalacji nie ma żadnego zapytania o wersję testową.
Może to dlatego, że kiedyś już go miałem i skończyła mi się jakaś tam próbna 30-dniowa wersja.

MBAM wersja testowa TRIAL nie została prawidłowo odinstalowana - pozostały się wpisy w rejestrze
Specjaliści z tego działu powinni podać jak to usunąć oraz jak zainstalować ponownie wersję Freeware
Jak nie to ja podam później co zrobić w regedit - Edytor rejestru.
Obsługa programu Malwarebytes' Anti-Malware
(nie instaluj wersji PRO tylko Freeware)
Dostępne tylko dla zarejestrowanych użytkowników

Dodatkowo:
1. Start -> Panel sterowania -> System -> Zaawansowane -> Wydajność -> Ustawienia -> Efekty wizualne
- zaznacz tylko 6 pozycji - Zastosuj - OK.

kliknij aby powiększyć :
Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

2. Przeczyść komputer programem CCleaner.
U góry po lewej "Cleaner" na dole Analiza - Uruchom Cleaner
później "Rejestr" Skanuj by znaleźć problemy - Napraw zaznaczone problemy.
CCleanera używaj po częstym surfowaniu po internecie oraz po każdej deinstalacji programów i sterowników.

kliknij aby powiększyć :
Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

3. Przeczyść komputer programem Eusing Free Registry Cleaner.
Wybierasz język / language / Polish.
Przewiń -> Skanuj rejestr -> Napraw rejestr.

Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

Najpierw odinstaluj MBAM,
przeczyść komputer CCleanerem oraz Eusing Free Registry Cleanerem a następnie zainstaluj wersję Freeware.
Nie pomoże to będzie potrzebne wcześniejsze usunięcie pozostałych plików w regedit
oraz wszystkich punktów przywracania systemu...

[Rofo467]

Ok, to mam usunąć malwarebytes i zrobić te wszystkie kroki co wyżej, czy jak?

[XMan]

Edytowałem post - przeczytaj ponownie.
Na razie nic nie rób w regedit czyli Edytorze rejestru ponieważ jak się nie znasz to możesz zepsuć komputer.
Wykonaj to co p/w napisałem, jeżeli wszystko dobrze zrobisz to nie powinno być żadnych problemów.
Wrzuć ponownie wymagane logi i czekaj za odpowiedzią fachowców z działu Bezpieczeństwo