Podejrzenie keyloggera / ogólne spowolnienie

[Seledin]

Witam, ostatnimi czasy coraz mocniej spowalnia mi komputer. Był czyszczony, temperatura jest w normie, aczkolwiek dalej pracuje jakby mu się po prostu nie chciało. Zastanawiam się, czy to najwyższa pora na format, czy może coś zjada go od środka. Dodatkowo, ostatnimi czasy mam dziwne wrażenie, jakby ktoś szperał mi w hasłach, w komputerze, ciekaw jestem czy to nie jest przypadkiem robota keyloggera, choć możliwe że wcale go nie mam. Mogę prosić o pomoc? Na komputerze urzędują jeszcze dwie osoby. Dołączam diagnozy:

 

Z góry bardzo dziękuję za pomoc i pozdrawiam.

OTL.Txt

GMER.txt

FRST.txt

Addition.txt

Extras.Txt

Shortcut.txt

[jessica]

Masz do czynienia z Tibią, więc na 99% procent masz jakieś Keyloggery, choć w żadnym logu nie da się ich zobaczyć.

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{87350B16-6591-49F4-8D72-7201A0867706}: DhcpNameServer = 7.254.254.254

 

Mam nadzieję, że nie używasz zarażonego routera.

 

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{87350B16-6591-49F4-8D72-7201A0867706}]
"DhcpNameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{87350B16-6591-49F4-8D72-7201A0867706}]
"DhcpNameServer"="192.168.1.1"

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

 

 

Otwórz Notatnik i wklej w nim:

 

Task: {2CD59D78-C658-40FA-8324-7E49AA3A0407} - System32\Tasks\Bonanza => C:\Users\admin\AppData\Roaming\Bonanza\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
C:\Users\admin\AppData\Roaming\Bonanza
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21-3731321512-1432075017-1604789293-1000\Software\Microsoft\Internet Explorer\SearchScopes" /f
Task: C:\Windows\Tasks\Bonanza.job => C:\Users\admin\AppData\Roaming\Bonanza\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
SearchScopes: HKCU - {A31A1F05-B516-4378-AEF9-3E2728845DCF} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=15D208E0-7504-4194-AA4E-873D98807FEE&apn_sauid=33166F51-A04E-4D61-84E0-E7ADB9CDEA5D
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\aartemis.xml
CHR Extension: (BonanzaDeals) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ieadcoanfjloocmfafkebdnfefmohngj
CHR HKLM-x32\...\Chrome\Extension: [aaaaojmikegpiepcfdkkjaplodkpfmlo] - C:\Users\admin\AppData\Local\APN\GoogleCRXs\apnorjtoolbar.crx
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 emusba10; system32\DRIVERS\emusba10.sys [X]
S3 PCAlertDriver; \??\C:\Program Files (x86)\MSI\PC Alert 4\NTGLM7X.sys [X]
S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [X]
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

Daj ten log.

 

Zrób nowe logi z FRST (już bez Shortcut) oraz log z OTL.

 

jessi
 

[Seledin]

Zarażony router? Przepraszam za brak wiedzy w tym kierunku, wiem tylko, że jest to oryginalny router z orange, ale nie wiem, jak sprawdzić czy jest on zainfekowany, czy nie.

 

Wrzucam wszystkie logi, z góry dziękuję i pozdrawiam.

 

 

OTL.Txt

Extras.Txt

Addition.txt

FRST.txt

[jessica]

Zarażony router? Przepraszam za brak wiedzy w tym kierunku, wiem tylko, że jest to oryginalny router z orange, ale nie wiem, jak sprawdzić czy jest on zainfekowany, czy nie.

Na komputerze są już prawidłowe DNS'y:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1120887E-0A0E-4B30-99CA-B978488219C5}: DhcpNameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{218919CB-CA68-4737-82F7-83C9CA92ABAD}: DhcpNameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{87350B16-6591-49F4-8D72-7201A0867706}: DhcpNameServer = 192.168.1.1

 

Jeśli problem dalej występuje, to trzeba zresetować router.

Jeśli nie wiesz jak, to skontaktuj się z Orange.

To nie ma znaczenia, czy router oryginalny, czy nie.

 

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL

[2013-12-09 01:30:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\aartemis

O4:64bit: - HKLM..\Run: [Mam3PAN.exe] Mam3PAN.exe File not found

O3:64bit: - HKLM\..\Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found.

FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc:  File not found

FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.4:  File not found

FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=2.3.0:  File not found

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found

 

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt.

 

jessi

[Seledin]

Bardzo dziękuję za szybką i profesjonalną pomoc. Wszystko zrobione. Pozdrawiam!

[picasso]

Odgrzebałam stary temat przy sprzątaniu. To nie była infekcja routera, a próba edycji rejestru kompletnie niezasadna:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{87350B16-6591-49F4-8D72-7201A0867706}: DhcpNameServer = 7.254.254.254

To jest poprawny adres od instalacji Tunngle:
 

Tunngle has one network adapter which is configured in the following way:

• IP: 7.x.x.x
• Subnet Mask: 255.0.0.0
• Gateway: 7.254.254.254

DHCP traffic over the Tunngle adapter must be allowed in order for Tunngle to successfully acquire a Virtual IP.

 

W raporcie FRST Addition:

Tunngle beta (HKLM-x32\...\Tunngle beta_is1) (Version:  - Tunngle.net GmbH)

Nie wystarczy tylko sprawdzać IP na Whois i ferować wyrok na podstawie niepolskiej lokalizacji, należy też szukać go na Google.


Temat sprzed dwóch lat. Zamykam.