[analiza logów] Przeczuwam, że mam keyloggera

[poltergeist]

Zeskanowałem komputer programem OTL. Poniżej zamieszczam logi. Gdyby była potrzeba czegoś jeszcze to chętnie wrzucę.

OTL
Dostępne tylko dla zarejestrowanych użytkowników

EXTRAS
Dostępne tylko dla zarejestrowanych użytkowników

Z góry dziękuję za pomoc.

[filutka78]

Jest Backdoor, a Keyloggera nie widzę.
Ale to o niczym nie świadczy, bo w logach widzę styczność z Tibią.
To olbrzymie ryzyko na "załapanie" nawet kilkudziesięciu niewykrywalnych keyloggerów oraz na włamanie na konto.

1) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2012-01-07 13:44:21 | 000,337,920 | ---- | M] () -- C:\Users\Suicide\AppData\Roaming\nservice32.exe
O4 - HKU\S-1-5-21-1041995154-2224168131-1603658248-1000..\RunOnce: [nservice32] C:\Users\Suicide\AppData\Roaming\nservice32.exe ()
[2012-01-07 13:44:21 | 000,337,920 | ---- | M] () -- C:\Users\Suicide\AppData\Roaming\nservice32.exe
[2012-01-05 21:41:42 | 000,339,968 | ---- | M] () -- C:\Users\Suicide\AppData\Roaming\_tk.old

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

2) Użyj >Dostępne tylko dla zarejestrowanych użytkowników i kliknij w nim Clean (uruchom z prawokliku "jako Administrator)
Pokaż raport z niego.

3) Użyj MBAM > http://www.hotfix.pl/obsluga-programu-malwarebytes-anti-malware-a55.htm
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.

F.

[poltergeist]

Dostępne tylko dla zarejestrowanych użytkowników raport z OTL po restarcie
Dostępne tylko dla zarejestrowanych użytkowników świeży skan
Dostępne tylko dla zarejestrowanych użytkowników świeży skan
Dostępne tylko dla zarejestrowanych użytkowników skan malwerebytes
Dostępne tylko dla zarejestrowanych użytkowników skan ad-remover

Dzięki za zainteresowanie tematem tak w ogóle .

[filutka78]

C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Usuń po ponownym uruchomieniu.
C:\Program Files\PDFReader\Uninstall\Uninstall.exe (Adware.Agent) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Pobieranie\PDFReaderSetup.exe (Adware.Agent) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Pobieranie\javainstall.exe (Trojan.Backdoor) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

Tym razem MBAM się nie popisał - usunął do Kwarantanny prawidłowe pliki.
Na pewno ten zaznaczony na zielono jest "dobry" - to aktywator do pakietu biurowego.
Poszukaj Kwarantanny MBAM'a, i wyciągnij z niego ten plik.
Inne z powyższej listy, nie mam pewności, choć wydaje mi się, że też są dobre.

F.

[greh]

Na pewno ten zaznaczony na zielono jest "dobry" - to aktywator do pakietu biurowego.

Skoro aktywator to piractwo.
Czekam na wyjaśnienia.

[poltergeist]

Skoro aktywator to piractwo.
Czekam na wyjaśnienia.

Nie propaguję piractwa a to co mam na dysku to moja prywatna sprawa - nie mam obowiązku się z niczego tłumaczyć. Poprosiłem tylko o pomoc którą dostałem, temat możecie zamknąć. Dzięki wielkie .

[greh]

to co mam na dysku to moja prywatna sprawa

Owszem, ale musisz wiedzieć, że podając logi, sam swą prywatność naruszasz.

temat możecie zamknąć

Wedle życzenia, a słowa

nie mam obowiązku się z niczego tłumaczyć

traktuję jako przyznanie się do winy i temat przenoszę tam gdzie miejsce piractwa i piratów.

KOSZ