Skocz do zawartości

Usunięcie keylogger'a lub coś tego typu.


Rekomendowane odpowiedzi

Witam, około miesiąca temu na moim komputerze został zainstalowany keylogger i problem w tym, że nie wiem jak sprawdzić czy on nadal jest na moim komputerze i jak go ewentualnie usunąć.

Proszę o pomoc nie znam się na tym. :/

 

Mam nadzieję, że nie w złym dziale napisałem temat.

 

EDIT:

Wrzucone nowe logi, czy teraz jest poprawnie?

Addition.txt

FRST.txt

Shortcut.txt

Edytowane przez Miszel03
Poprawiam lekko post pod względem zasad pisowni oraz tytuł tematu, bo wkradła Ci się literówka. //Miszel03
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Tak teraz jest poprawnie i posty dot. generacji raportów kasuję, by nie było zamieszania w wątku pomocy.

 

Odpowiem dziś, ale za kilka godzin.

 


 

W raportach brak oznak infekcji, do wykonania tylko skan antywirusowy oraz poniższy skrypt poprawkowy i diagnostyczny, czyli: kasacja pustych wpisów, skrótów LNK i szkodliwej mapy domen w przeglądarce Internet Explorer, dodatkowo pobieram zawartość pliku user.js z przeglądarki Mozilla FireFox ponieważ jego istnienie samo w sobie jest już podejrzane. 

Skąd wiesz / masz podejrzenia, że system został zainfekowany keylogger'em?

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {199C118C-7AFA-4A56-8728-9B7CFDFBE98A} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku 
HKU\S-1-5-21-3810140173-3774344370-2139636201-1002\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
SearchScopes: HKU\S-1-5-21-3810140173-3774344370-2139636201-1002 -> DefaultScope {182A9C87-0A02-43B9-84AE-DB264A68A46D} URL =
SearchScopes: HKU\S-1-5-21-3810140173-3774344370-2139636201-1002 -> {182A9C87-0A02-43B9-84AE-DB264A68A46D} URL =
C:\Users\Kararzyna\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\Kararzyna\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\Kararzyna\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
CMD: type C:\Users\Kararzyna\AppData\Roaming\Mozilla\Firefox\Profiles\g3ttlrv7.default\user.js
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz ten plik. 

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...