Keylogger i wolno działający system

bpm · 20 Czerwca 2013

Dobry wieczór,

dziś komputer z systemem Windows 7 x86, na którym MBAM znalazł keylogger. Skan za pomocą TDSSKiller nic nie wykazał. Objawy to bardzo wolno działający system oraz wolno uruchamiające się strony.

Bardzo proszę o analizę logów pod kontem infekcji:

MBAM

OTL

Extras

Gmer

picasso · 27 Czerwca 2013

Ogólnie nie widać czynnej infekcji, drobne adware / szczątki. Jednakże hmmm, są tu odnotowane podejrzane sterowniki:

---- Kernel code sections - GMER 2.1 ----

? System32\drivers\kujpptsc.sys System nie moze odnalezc okreslonej sciezki. !

+

DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ardotpor.sys -- (ardotpor)

Ten pierwszy jest w stylu Sality.... Był robiony tylko skan MBAM. Czy skanowałeś system antywirusem?

1. Odinstaluj adware TopArcadeHits. Następnie wyczyść Firefox via menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ardotpor.sys -- (ardotpor)
IE - HKLM\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{76762742-86C8-4F88-A289-479A3DAA1551}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_UK&apn_ptnrs=U3&apn_dtid=YYYYYYYYGB&apn_uid=1C8FC0CB-AAB0-4BB8-B1B6-F455B0E9D445&apn_sauid=8176839C-133C-4E27-80A8-0C967BFA496D
IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{B41A82ED-32D2-463B-B04D-77EA8B40CACD}: "URL" = http://search.zonealarm.com/search?src=sp&tbid=base2013&Lan=en&q={searchTerms}&gu=4225913295d1463bb9bc4f2adb018bc8&tu=11JL0008W2B000s&sku=&tstsId=&ver=&&r=735
IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{BD5FA78D-C0FC-4357-8526-21320BFB9563}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{F5E17536-54D1-4971-84F9-E9EB9F3EC785}: "URL" = http://www.bing.com/search?FORM=WLETDF&PC=WLEM&q={searchTerms}&src=IE-SearchBox
O2 - BHO: (no name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found.
O3 - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 0
[2013-06-20 20:41:36 | 000,000,308 | ---- | M] () -- C:\Windows\tasks\TopArcadeHits.job
[2013-06-12 21:30:11 | 000,000,000 | ---D | C] -- C:\Program Files\FK_Monitor
[2013-06-12 21:29:37 | 000,000,000 | ---D | C] -- C:\Users\PARKER DRIVE 100\AppData\Roaming\CheckPoint
[2013-06-12 21:26:37 | 000,000,000 | ---D | C] -- C:\ProgramData\CheckPoint
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + GMER.

.

Edytowane 25 Sierpnia 2013 przez picasso
25.08.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Keylogger i wolno działający system

Rekomendowane odpowiedzi

bpm

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność