Kardzix Opublikowano 16 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2017 (edytowane) Witam, około miesiąca temu na moim komputerze został zainstalowany keylogger i problem w tym, że nie wiem jak sprawdzić czy on nadal jest na moim komputerze i jak go ewentualnie usunąć. Proszę o pomoc nie znam się na tym. :/ Mam nadzieję, że nie w złym dziale napisałem temat. EDIT: Wrzucone nowe logi, czy teraz jest poprawnie? Addition.txt FRST.txt Shortcut.txt Edytowane 16 Sierpnia 2017 przez Miszel03 Poprawiam lekko post pod względem zasad pisowni oraz tytuł tematu, bo wkradła Ci się literówka. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 16 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2017 Tak teraz jest poprawnie i posty dot. generacji raportów kasuję, by nie było zamieszania w wątku pomocy. Odpowiem dziś, ale za kilka godzin. W raportach brak oznak infekcji, do wykonania tylko skan antywirusowy oraz poniższy skrypt poprawkowy i diagnostyczny, czyli: kasacja pustych wpisów, skrótów LNK i szkodliwej mapy domen w przeglądarce Internet Explorer, dodatkowo pobieram zawartość pliku user.js z przeglądarki Mozilla FireFox ponieważ jego istnienie samo w sobie jest już podejrzane. Skąd wiesz / masz podejrzenia, że system został zainfekowany keylogger'em? 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {199C118C-7AFA-4A56-8728-9B7CFDFBE98A} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku HKU\S-1-5-21-3810140173-3774344370-2139636201-1002\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 SearchScopes: HKU\S-1-5-21-3810140173-3774344370-2139636201-1002 -> DefaultScope {182A9C87-0A02-43B9-84AE-DB264A68A46D} URL = SearchScopes: HKU\S-1-5-21-3810140173-3774344370-2139636201-1002 -> {182A9C87-0A02-43B9-84AE-DB264A68A46D} URL = C:\Users\Kararzyna\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Kararzyna\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Kararzyna\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main CMD: type C:\Users\Kararzyna\AppData\Roaming\Mozilla\Firefox\Profiles\g3ttlrv7.default\user.js EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz ten plik. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się