Keyloggery

[Schaf]

Chciałbym pozbyć się keyloggerów, lecz nie wiem czy takowe są na moim kompie. Zrobiłem pełne skanowanie programem Malwarebytes log:
Dostępne tylko dla zarejestrowanych użytkowników

logi z OTL
OTL:
Dostępne tylko dla zarejestrowanych użytkowników

EXTRAS
Dostępne tylko dla zarejestrowanych użytkowników

prosiłbym o sprawdzenie i odpowiedź czy jest czym się martwić

-- 29 kwi 2012, 17:34 --

dodam że Malwarebytes nic nie wykrył, ale chciałbym się dowiedzieć co z logami

[kominekl]

dodam że Malwarebytes nic nie wykrył, ale chciałbym się dowiedzieć co z logami

Nie ma, ale jest tu troszkę roboty.

"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware wersja 1.61.0.1400

Zainstalowałeś ten program w wersji testowej, co jest w błędem. Odinstaluj Go.

Error - 2012-04-18 08:31:45 | Computer Name = Komputer | Source = Disk | ID = 262155
Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk2\DR4.

Wejdź w Menedżer Urządzeń -> Kontrolery IDE ATA/ATAPI -> Podstawowy kanał IDE -> Ustawienia zaawansowane -> Sprawdź, jak jest ustawiony Bieżący tryb transferu. To samo robisz dla Pomocniczego kanału IDE.

SRV - [2012-04-05 11:37:38 | 000,158,856 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2009-07-14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
O4 - HKLM..\Run: [AMD AVT] C:\Windows\System32\cmd.exe (Microsoft Corporation)
O4 - HKLM..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKU\S-1-5-21-177269087-3405347708-1407848063-1001..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe (AMD)

To zbędne wpisy w autostarcie. Wejdź w START -> URUCHOM -> Msconfig -> Usługi -> odznacz usługi -> Skype Update i Windows Defender. Resztę usunę poniższym skryptem.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ark658xp)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-177269087-3405347708-1407848063-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-177269087-3405347708-1407848063-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-177269087-3405347708-1407848063-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-177269087-3405347708-1407848063-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-177269087-3405347708-1407848063-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}
IE - HKU\S-1-5-21-177269087-3405347708-1407848063-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2012-04-22 10:27:52 | 000,000,000 | ---D | M] ("TimeLineRemove.Com") -- C:\Users\Dom\AppData\Roaming\mozilla\Firefox\Profiles\8emny6h6.default\extensions\jid0-YxzrUsJ0WOiOaU89TngAzLcIs18@jetpack
[2012-04-19 20:36:41 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O8 - Extra context menu item: Ściągaj z Mipony - file://C:\Daniel\Programy\MiPony\Browser\IEContext.htm File not found

:Files
C:\Users\Dom\AppData\Roaming\Malwarebytes
C:\Program Files\Malwarebytes' Anti-Malware
C:\ProgramData\Malwarebytes

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AMD AVT"=-
"HDAudDeck"=-
"StartCCC"=-
[HKEY_USERS\S-1-5-21-177269087-3405347708-1407848063-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"HydraVisionDesktopManager"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[Schaf]

1.Malware usunięty

2. nie mam czegoś takiego, mam tak:



3. tu jest log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników

4. a tutaj nowe logi:
OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Extras nie było

[kominekl]

2. nie mam czegoś takiego, mam tak:

Sprawdź, czy gdzieś tam jest ustawiony -> Tryb Pio, jeśli tak to ten kanał Odinstaluj i zrestartuj komputer.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ab64qplq)

:Files
C:\Windows\tasks\*.job

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL (żeby uzyskać Extras.txt należy zaznaczyć w Rejestr - Skan Dodatkowy -> Użyj Filtrowania).

[Schaf]

1. daj jakieś większe wskazówki z tym Pio bo nic takiego nie moge znaleść

2. log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników

3. logi:
OTL:
Dostępne tylko dla zarejestrowanych użytkowników

EXTRAS
Dostępne tylko dla zarejestrowanych użytkowników

[Maniek13]

Kliknij prawym na ATA Channel 0 potem właściwości następnie będą u góry zakładki , kliknij na ustawienia zaawansowane i tam powinno już być. Potem zrób tak samo dla 3 pozostałych

[kominekl]

1. daj jakieś większe wskazówki z tym Pio bo nic takiego nie moge znaleść

Przy każdym kanale wybierz -> Ustawienia zaawansowane -> Sprawdź, jak jest ustawiony Bieżący tryb transferu. Maniek13 również podał poprawną instrukcję. Jeśli nie ma nic takiego to bardzo dobrze (poprawny tryb to DMA).

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (aauj5u67)

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TNOD UP"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AC76BA86-7AD7-1045-7B44-A81300000003}" = Adobe Reader 8 - Polish

Odinstaluj i zainstaluj najnowszą wersję -> http://www.hotfix.pl/infusions/pro_down ... r-p515.htm.

"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl)

Zaktualizuj Firefox`a do najnowszej wersji (Firefox -> Pomoc -> Sprawdź dostępność aktualizacji...).

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> http://www.hotfix.pl/infusions/pro_down ... r-p158.htm.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> http://www.hotfix.pl/infusions/pro_down ... e-p164.htm, jeśli coś znajdzie usuń i daj raport.

[Schaf]

1. nic takiego nie mam, mam tak napisane:



2.programy odinstalowane i zainstalowane najnowsze wersje

3. dysk i rejestr przeczyszczony

4. logi
OTL:
Dostępne tylko dla zarejestrowanych użytkowników


EXTRAS
Dostępne tylko dla zarejestrowanych użytkowników

5. sprzatanie wykonane

[kominekl]

1. nic takiego nie mam, mam tak napisane:

W skrócie -> http://www.hotfix.pl/sprawdzenie-trybu- ... o-a348.htm. Jeśli nigdzie nei ma tego trybu to jest wszystko OK.

Logi.

W OTL -> Sprzątanie.

[Schaf]

robiłem sprzątanie

czyli komp jest czysty ?

[kominekl]

czyli komp jest czysty ?

Jasne . Jeśli nie ma już żadnych problemów to jest to już wszystko.

[Schaf]

nie miałem problemów z kompem. chciałem się tylko dowiedzieć czy mam jakieś keyloggery na kompie

[kominekl]

nie miałem problemów z kompem. chciałem się tylko dowiedzieć czy mam jakieś keyloggery na kompie

W takim razie temat można zamknąć?

[Schaf]

skoro twierdzisz że jestem czysty to tak

[kominekl]

skoro twierdzisz że jestem czysty to tak

Zgłaszam do zamknięcia.