Prawdopodobnie Keyloger.

Post14 wrz 2012, 15:49

Jak w temacie. Wydaje mi się, że mam keylogera. Prawdopodobnie przez ściągnięte ventrillo. Wyczyściłem combofixem, natomiast
niżej wklejam log z OTL.Niestety nie moge znależć loga z combofixa, prawdopodobnie usunął mi go jakis program.
Proszę żeby ktoś rzucił na to fachowym okiem.
Dzięki z góry.

OTL.txt:
Dostępne tylko dla zarejestrowanych użytkowników
Extras.txt:
Dostępne tylko dla zarejestrowanych użytkowników

Post14 wrz 2012, 15:55

Popraw linki do logów z OTL.
Dorzuć też log z ComboFixa.

Post14 wrz 2012, 16:22

Nowy log z combofix :
Dostępne tylko dla zarejestrowanych użytkowników

Post14 wrz 2012, 16:32

Czysto!

Post15 wrz 2012, 17:08

djarta pisze:Czysto!

Potwierdzam.

"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"McAfee Security Scan" = McAfee Security Scan Plus
"NST" = Norton Identity Safe

Odinstaluj to oprogramowanie.

Combofix.

Wejdź w START -> URUCHOM -> i wklej tam -> "c:\users\Malariusz\Downloads\ComboFix.exe" /uninstall .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
FF - prefs.js..extensions.enabledAddons: support@mozilla.com:2.3
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_4_402_265.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{F04D2D30-776C-4d02-8627-8E4385ECA58D}: C:\ProgramData\Norton\{92622AAD-05E8-4459-B256-765CE1E929FB}\NST_2013.1.0.32\coFFPlgn\ [2012-09-13 23:04:11 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\support@mozilla.com: C:\Users\Malariusz\AppData\Roaming\support@mozilla.com [2012-09-12 17:16:00 | 000,000,000 | ---D | M]

:Files
$RECYCLE.BIN /alldrives
C:\Program Files (x86)\Common Files\Symantec Shared
C:\Windows\SysNative\drivers\NSTx64
C:\Program Files (x86)\Norton Identity Safe
C:\ProgramData\Norton
C:\Program Files (x86)\NortonInstaller
C:\ProgramData\NortonInstaller
C:\Windows\SysNative\drivers\dwprot.sys
C:\Windows\temp
C:\Windows\erdnt
C:\ProgramData\McAfee Security Scan
C:\Program Files (x86)\McAfee Security Scan
C:\ProgramData\McAfee
C:\Users\Malariusz\AppData\Local\Temp
C:\Windows\tasks\*.*
c:\users\Default\AppData\Local\temp

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.