bukacz Opublikowano 29 Grudnia 2010 Zgłoś Udostępnij Opublikowano 29 Grudnia 2010 Od pewnego czasu w procesach menedżera zadań pojawiał się pewien proces xe0305.exe, którego wcześniej nigdy nie widziałem. Po wygooglowaniu go dowiedziałem się, że może to być keylogger więc postanowiłem zrobić to co polecali na innym forum - wyłączyć w autostarcie ten proces i spróbować go usunąć ręcznie, ale że nie dało się go wykryć na żadnym dysku użyłem combofixa ( również zalecali to na forum ). Combofix usunął inny problem, czyli niewyświetlajaca się tapeta ale obawiam się, że ów proces xe0305.exe jeszcze gdzieś istnieje. Potem znalazłem to forum i zastosowałem się do wskazówek. Log z combofixa przed znalezieniem fixitpc i zastosowaniem się do niezbędnych kroków : http://wklej.org/id/446772/ OTL: http://wklej.org/id/446700/ Extras : http://wklej.org/id/446701/ Gmer : http://wklej.org/id/446775/ (te pliki/procesy znalazł w 5 minut i od dłuższego czasu już nic nowego nie pokazuję, jak skończy się pełne skanowanie i znajdzie coś jeszcze to wrzucę) Proszę o sprawdzenie tych logów czy nie posiadają jakiegoś błędu/keyloggera Odnośnik do komentarza
Landuss Opublikowano 30 Grudnia 2010 Zgłoś Udostępnij Opublikowano 30 Grudnia 2010 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService) DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KRAKEN~1.FRO\USTAWI~1\Temp\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KRAKEN~1.FRO\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio) IE - HKU\S-1-5-21-1708537768-1844823847-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2786678" FF - prefs.js..browser.search.defaultthis.engineName: "Conduit Engine Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=ConduitEngine&SearchSource=3&q={searchTerms}" [2009-07-18 00:02:48 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Kraken.FROKS\Dane aplikacji\Mozilla\Firefox\Profiles\aum97s0e.default\searchplugins\BearShareWebSearch.xml [2010-12-20 20:36:02 | 000,000,913 | ---- | M] () -- C:\Documents and Settings\Kraken.FROKS\Dane aplikacji\Mozilla\Firefox\Profiles\aum97s0e.default\searchplugins\conduit.xml [2010-02-26 23:08:51 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Kraken.FROKS\Dane aplikacji\Mozilla\Firefox\Profiles\aum97s0e.default\searchplugins\daemon-search.xml [2009-07-18 00:02:48 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml [2009-09-21 11:24:16 | 000,001,329 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml O3 - HKU\S-1-5-21-1708537768-1844823847-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found. :Files RECYCLER /alldrives C:\WINDOWS\System32\kernel32Q.dll :Reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Kraken.FROKS^Menu Start^Programy^Autostart^xe0305.exe] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
bukacz Opublikowano 30 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 30 Grudnia 2010 Extras : http://wklej.org/id/447717/ OTL: http://wklej.org/id/447718/ Odnośnik do komentarza
Landuss Opublikowano 31 Grudnia 2010 Zgłoś Udostępnij Opublikowano 31 Grudnia 2010 Wszystko pomyślnie usunięte. Wykonaj na koniec poniższe punkty. 1. Użyj opcji Sprzątanie z OTL 2. Wyzeruj stan przywracania systemu: KLIK 3. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.2 - Polish Szczegóły w tym temacie: INSTRUKCJE. Odnośnik do komentarza
bukacz Opublikowano 31 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 31 Grudnia 2010 Dzięki wielkie za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi