Usunięcie keylogger'a lub coś tego typu.

[Kardzix]

Witam, około miesiąca temu na moim komputerze został zainstalowany keylogger i problem w tym, że nie wiem jak sprawdzić czy on nadal jest na moim komputerze i jak go ewentualnie usunąć.

Proszę o pomoc nie znam się na tym. :/

 

Mam nadzieję, że nie w złym dziale napisałem temat.

 

EDIT:

Wrzucone nowe logi, czy teraz jest poprawnie?

Addition.txt

FRST.txt

Shortcut.txt

Edytowane 16 Sierpnia 2017 przez Miszel03
Poprawiam lekko post pod względem zasad pisowni oraz tytuł tematu, bo wkradła Ci się literówka. //Miszel03

[Miszel03]

Tak teraz jest poprawnie i posty dot. generacji raportów kasuję, by nie było zamieszania w wątku pomocy.

 

Odpowiem dziś, ale za kilka godzin.

 

---

 

W raportach brak oznak infekcji, do wykonania tylko skan antywirusowy oraz poniższy skrypt poprawkowy i diagnostyczny, czyli: kasacja pustych wpisów, skrótów LNK i szkodliwej mapy domen w przeglądarce Internet Explorer, dodatkowo pobieram zawartość pliku user.js z przeglądarki Mozilla FireFox ponieważ jego istnienie samo w sobie jest już podejrzane. 

Skąd wiesz / masz podejrzenia, że system został zainfekowany keylogger'em?

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {199C118C-7AFA-4A56-8728-9B7CFDFBE98A} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku 
HKU\S-1-5-21-3810140173-3774344370-2139636201-1002\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
SearchScopes: HKU\S-1-5-21-3810140173-3774344370-2139636201-1002 -> DefaultScope {182A9C87-0A02-43B9-84AE-DB264A68A46D} URL =
SearchScopes: HKU\S-1-5-21-3810140173-3774344370-2139636201-1002 -> {182A9C87-0A02-43B9-84AE-DB264A68A46D} URL =
C:\Users\Kararzyna\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\Kararzyna\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\Kararzyna\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
CMD: type C:\Users\Kararzyna\AppData\Roaming\Mozilla\Firefox\Profiles\g3ttlrv7.default\user.js
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz ten plik. 

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.