Podejrzenie keyloggera

[taksobie]

Witam. Piszę na tym forum z takim problemem: otóż podejrzewam, że ktoś zainstalował mi na komputerze jakieś oprogramowanie szpiegujące, keyloggera. I ta osoba widzi co piszę, jakie strony przeglądam, ma hasło do mojej poczty. Nikt nie miał dostępu bezpośredniego do mojego komputera, ale podejrzewam, że ktoś mógł mi wysłać na maila jakiś zarażony plik, np. zdjęcie, ja to ściagnęłam na dysk i zainstalował się keylogger. Konkretnie chodzi o to, że pewna osoba ostatnio zasugerowała mi, że mnie szpieguje. Nie wiem czy pisze na serio czy tylko chce mnie nastraszyć, gdyż ta osoba nie pokazała mi na to żadnego dowodu, ale wolę się upewnić. Komputer zachowuje się normalnie, ale podobno jak jest keylogger to tego nie widać, dlatego nigdy nic nie wiadomo. Bardzo proszę o pomoc. Jeśli się okaże, że jednak wszystko OK, to przepraszam za problem i zawracanie głowy. Pozdrawiam wszystkich serdecznie i proszę o sprawdzenie logów.

Addition.txt

FRST.txt

Extras.Txt

gmer.txt

OTL.Txt

Shortcut.txt

[picasso]

W raportach nie notuję żadnych oznak infekcji czy podejrzanych obiektów. Raporty są owszem ograniczone, ale rozumiem, iż były wykonywane także skany, choćby zainstalowaną Pandą.

 

Do usunięcia tylko drobne szczątki adware Delta i wpisy puste, nie powiązane z głównym zgłoszeniem:

 

1. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=A6CDD85D4C90965F
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
FF user.js: detected! => C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\d51b2sku.default\user.js
FF SearchPlugin: C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\d51b2sku.default\searchplugins\delta.xml
FF NetworkProxy: "type", 0
C:\Program Files (x86)\mozilla firefox\plugins
C:\Users\Ewa\AppData\Roaming\Babylon
Task: {4ECD52EF-4B89-406E-AC00-D15C2281ED27} - \{57E79126-84DD-43B6-B9A6-0DF1629C531B} No Task File 
Task: {A241B6B2-42F7-4145-8226-AD4AA1142AD7} - \{392F9F59-8EF7-4EEE-BD9C-6D29E518BE69} No Task File 
Task: {A76B6B3A-972C-4CC9-8A4E-AF631DDD0E12} - \{89ACDF50-9411-4E44-8339-4B28A78B1F92} No Task File 
Task: {C2D89BB7-8475-48DD-8E59-33E1829B51FA} - \{395DF40E-BE0E-4D63-B4A7-5B87AA6C146E} No Task File 
Task: {C92C6C91-1EF1-40D7-AB60-5D3BCD20D672} - \{98EB835F-27EE-4EB1-9921-D33925EF12A2} No Task File 
Task: {D0470C7F-F1D8-415F-AEA3-C8655CA59B88} - \{1DD70685-AE09-4770-9BBE-A219ED106486} No Task File 
Task: {D4721F6E-4838-4173-A1F1-E938F8693CBD} - \{F0511430-DC08-4500-92FC-CBEEF50C0EBB} No Task File 
Task: {EEF6D477-03D3-4183-B2D4-2D85607FEB68} - System32\Tasks\PCConfidential => C:\Program Files (x86)\Winferno\PC Confidential\PCConfidential.exe
Task: {F75F3293-EB66-4E93-9343-5C405FE29086} - \{872563AF-BC31-4EC0-972F-4D91DE6FADC9} No Task File 
Task: {FA60F3CD-E527-4A4F-BA78-5C7553D5B159} - \{63D73128-0BA2-4980-80BE-14A474434505} No Task File 
Task: C:\Windows\Tasks\PCConfidential.job => C:\Program Files (x86)\Winferno\PC Confidential\PCConfidential.exe
HKLM-x32\...\Run: [NPSStartup] => [X]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. W Google Chrome:

- Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres delta-search.com

- Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

 

 

.

[taksobie]

Bardzo dziękuję za pomoc. Zrobiłam jak napisałaś. Przeskanowałam jeszcze programem: Kaspersky TDSSKiller i nic nie wykryło. Pozdrawiam i dziękuję za pomoc.

Fixlog.txt

[picasso]

Skrypt pomyślnie przetworzony. Kwestie sprzątania kończymy:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Przez SHIFT+DEL (omija Kosz) skasuj używane narzędzia i logi z folderu C:\Users\Ewa\Desktop\pobierane. Popraw narzędziem DelFix.

 

3. Wyczyść foldery Przywracaia systemu: KLIK.

 

4. Zaktualizuj poniżej wyliczone programy:

 

==================== Installed Programs ======================
 

Adobe Flash Player 12 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 13 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 13.0.0.182 - Adobe Systems Incorporated) ----> wtyczka dla Firefox

Google Chrome (HKLM-x32\...\Google Chrome) (Version: 34.0.1847.116 - Google Inc.)

Mozilla Firefox 28.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 28.0 (x86 pl)) (Version: 28.0 - Mozilla)

 

 

Temat zostawiam jeszcze otwarty, na wypadek gdyby wydarzyło się coś co by wskazywało na śledzenie. Jak mówię, ja tu nic w raportach nie widzę.

 

 

 

.