Keylogger - nie wiadomo skąd?

[Andziorka]

Witam,

 

dziś ku mojemu zdziwieniu odpalił mi się program do śledzenia co pisze się na klawiaturze. Jakiś key-logger free. Usunęłam go, ale proszę o sprawdzenie czy system jest czysty.
W załączniku logi.

Dziękuję i pozdrawiam!

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

W raportach nie widać oznak czynnej infekcji, ani śladów wymienionego programu. Jeśli nikt inny nie miał dostępu do komputera, nie wiem w jaki sposób program mógł zostać wprowadzony. Ale podejrzenie budzi poniższy plik, który definitywnie nie jest plikiem producenta tylko "downloaderem". Pliki sygnowane jako Oleg N. Scherbakov to nic dobrego.

 

2016-01-28 23:10 - 2016-01-28 23:10 - 03748672 _____ (Oleg N. Scherbakov) C:\Users\Ann\Downloads\HP Photosmart C3180 - sterownik [1].exe

 

 

1. Do wykonania drobny kosmetyczny skrypt pod kątem wpisów szczątkowych, w tym po niepełnej deinstalacji programu HP. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe
S2 HPSupportSolutionsFrameworkService; "C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe" [X]
Task: {02545C22-676E-4EB8-909A-74C01C7BDF5A} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Health Analysis => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe
Task: {12A5ED9E-0689-49DD-9D2D-7F23901B273C} - System32\Tasks\{03D74212-7DAA-48A6-A5FB-AC6E28A6CDAA} => pcalua.exe -a C:\MSI\LiveUpdate\DL_FILE\Intel_AMT_Drivers_9.5.15.1730.exe -d C:\MSI\LiveUpdate\DL_FILE
Task: {260302DE-D56D-482E-AD3D-5569B92DB0E3} - System32\Tasks\{984F4BCF-54F0-411A-A8B8-DA861D589C84} => pcalua.exe -a C:\Users\Ann\Desktop\GTAIV_spolszczenie_1.0.exe -d C:\Users\Ann\Desktop
Task: {5F247E90-5B2E-40D3-957B-00CA57231F4E} - System32\Tasks\Hewlett-Packard\HP Support Assistant\Opt-in For HP Support Assistant Quick Start => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF_Utils.exe
Task: {6F05CF0B-D537-4740-B0BC-AFB899CB331E} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater - Resources => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe
Task: {73D7510B-8923-451E-8E25-FE95C844A3D8} - System32\Tasks\{5DFDB863-2643-4F4B-BEBE-8F2564D1C194} => pcalua.exe -a C:\Users\Ann\Desktop\vcredist_x86.exe -d C:\Users\Ann\Desktop
Task: {78B7B5AA-FAC7-421B-B557-1A0D90974438} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Report => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSFReport.exe
Task: {8FCA6225-60A9-4E95-A726-16DDD1D1E26E} - System32\Tasks\HPCeeScheduleForAnn => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe
Task: {AB444FAE-3586-4E34-9A9D-296695B39EE4} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe
Task: {B3D2FBCB-9CD2-4779-B733-7E8FEAF1EE75} - System32\Tasks\Driver Booster SkipUAC (Ann) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {D0DD8D50-2967-4B58-AC14-F79028B552E0} - System32\Tasks\{0DD3AB42-24E1-4A87-A6DE-C001AF956EA4} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{38A1E3ED-D913-41D2-9953-A93D5ACE3ADF}\setup.exe" -c -runfromtemp -l0x0009 -removeonly DriverOnly
Task: {DAF0B451-27C3-48E0-B394-E61F6FB5CF3D} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant Quick Start => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe
Task: C:\Windows\Tasks\HPCeeScheduleForAnn.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Hewlett-Packard
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\Hewlett-Packard
C:\ProgramData\HP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Help and Support
C:\Users\Ann\AppData\Local\{1929B8C5-F879-4167-806E-A76E379585FF}
C:\Users\Ann\AppData\Local\Hewlett-Packard
C:\Users\Ann\AppData\Roaming\Hewlett-Packard
C:\Users\Ann\AppData\Roaming\hpqLog
C:\Users\Ann\Downloads\HP Photosmart C3180 - sterownik*.exe
C:\Windows\System32\Tasks\Hewlett-Packard
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

2. Dodatkowo napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Ann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

[Andziorka]

Dziękuję za pomoc!

Fixlog w załączniku, a skrót naprawiony

Fixlog.txt

[picasso]

Z tego co rozumiem, ten "keylogger" był w pełni jawny, tzn. pokazał się po instalacji, więc nie sądzę, że było jakieś ciche nagrywanie danych.

 

Skrypt wykonany. Na zakończenie skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[Andziorka]

Jakoś po restarcie systemu pokazało się okienko keyloggera i była tam opcja usunięcia co uczyniłam.

 

Dziękuję!