MartinS Opublikowano 26 Października 2011 Zgłoś Udostępnij Opublikowano 26 Października 2011 Witam, ostatnio surfując po necie byłem na stronie na której odpaliły mi się jakieś pop-upy. Od razu zeskanowałem komputer NODem, wykryło 5 infekcji - usunąłem bez problemu, po czym zrobiłem to samo programem SpyBot S&D. Tam wyskoczyło mi 78 zainfekowanych plików o tytule 'Keylogger'. Chcąc to usunąć program wyrzucił błąd ' nie można usunąć, pliki w użyciu'. Zrobiłem to samo w trybie awaryjnym, ale dało się usunąć tylko połowę tych 'keyloggerów' a reszta jak wyżej - ' w użyciu '. Zrobiłem skan za pomocą HiJackThis ( log: http://wklej.org/id/614602/ ) co nic mi niestety nie mówilo.. a potem programem ComboFix (log: http://wklej.org/id/614605/ ) Nic nie pomogło (w hijackthis usuwałem te, które mają czerwony ' X ' (nie znam się zbytnio) ) Log ze SpyBota: http://wklej.org/id/614633/ Proszę o pomoc. Z góry dziękuje. Odnośnik do komentarza
picasso Opublikowano 26 Października 2011 Zgłoś Udostępnij Opublikowano 26 Października 2011 Od razu zeskanowałem komputer NODem, wykryło 5 infekcji - usunąłem bez problemu, po czym zrobiłem to samo programem SpyBot S&D.Tam wyskoczyło mi 78 zainfekowanych plików o tytule 'Keylogger'. Chcąc to usunąć program wyrzucił błąd ' nie można usunąć, pliki w użyciu'. Przeklej raport z dziennika NOD. A to co wykrywa Spybot jakoś nie wygląda na skutek strony, na której odpalają się pop-upy, tylko na pochodną ręcznej instalacji keyloggera. Co więcej, log ze Spybota przedstawia tylko część takiej instalacji (tylko rejestr), co może sugerować, że to nie jest sprawa aktualna tylko odpadki. Tak poza tym, to Spybot to przestarzały program. Zrobiłem skan za pomocą HiJackThis(...) a potem programem ComboFix Proszę przeczytaj zasady działu: KLIK. Obowiązkowe logi to OTL + GMER. A to co tu podane to zbanowany "komplet". HijackThis to lamus, nieprzydatny w poważnej diagnostyce (program w ogóle nie adresuje miejsc, które aktualnie należy sprawdzać). ComboFix to nie jest program domowego użytku i do "produkcji logów": KLIK. Oczekuję na prawidłowe logi, odczytu z ComboFix już nie usuwaj, by było wiadome co narzędzie modyfikowało w systemie. (w hijackthis usuwałem te, które mają czerwony ' X ' (nie znam się zbytnio) ) Skoro "nie znasz się", jakim cudem podejmujesz decyzje o usuwaniu czegoś. Poza tym, "czerwony iks"? Czy Ty aby nie posługiwałeś się jakimś idiotycznym automatycznym analizerem? Dokładnie pokaż co usuwałeś. . Odnośnik do komentarza
MartinS Opublikowano 27 Października 2011 Autor Zgłoś Udostępnij Opublikowano 27 Października 2011 Witaj, dzięki za zainteresowanie się tematem. Nadsyłam logi: Co do usuwania w hijackthis wywaliłem jedynie to: O2 - BHO: CStat - {DD92DE22-ED91-4560-B788-DEE2B26612E6} - (no file) Ale po kolejnym skanie wróciło. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2011 Zgłoś Udostępnij Opublikowano 27 Października 2011 Nie dodałeś raportu z wykryciami NOD. W logach tu podanych brak jakichkolwiek śladów infekcji i podtrzymuję teorię (gdyż wpisy biedne), że owe "keyloggery" to jedynie odpadki po instalacji rezydującej w dawniejszych czasach. Uwaga dodatkowa: GMER zrobiłeś w złych warunkach (ale już zostaw ten temat), przy czynnym sterowniku emulacji napędów wirtualnych (KLIK): DRV - [2010-02-09 17:43:56 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) Na temat niezdolności Spybot do usunięcia wpisów rejestru, to mi wygląda po prostu na klasyczny brak uprawnień do kluczy w rejestrze (na Vista/7 w gałęzi klas Administratorzy nie mają zwykle Pełnej kontroli, a Spybot działa w kontekście konta użytkownika, z którego go uruchomiono). Tak, komunikat może zwodniczo mącić o "obiekcie w użyciu", mimo że rzecz siedzi w uprawnieniach. Rozpoczynamy akcję: 1. Kompletnie i na trwałe wyłącz rezydent Spybota (Teatimer), by nie blokował modyfikacji rejestru. 2. Uruchom narzędzie MiniRegTool. W oknie wklej: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Application HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Application.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.BlockExe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.BlockExe.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Clipboard HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Clipboard.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.FTPDelivery HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.FTPDelivery.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.HideTaskMan HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.HideTaskMan.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Hotkey HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Hotkey.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Keystrokes HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Keystrokes.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.MailDelivery HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.MailDelivery.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Mouse HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Mouse.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Password HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Password.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.PressEnter HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.PressEnter.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.RealBlockApp HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.RealBlockApp.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Screen HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RKLDLL.Screen.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{87D3F4D3-FB1F-423b-BA1D-B91FCF9DBA6D} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7D009E94-CA67-45a9-A3BC-CEC7B7937D10} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6FEB5E7E-36D1-4587-B30D-24B4661BCE65} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6D221B2A-2A26-430a-BA2B-85ADF832749E} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03490D82-19AA-4aba-9791-24AD44C59274} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F5E30187-B19A-4f44-AFCF-CEF0DB959533} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02564BCF-3C21-4a9c-A16A-2D2271435029} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450E241A-1560-4c8b-B75E-DD34DEFA934C} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C3BBEE09-406F-49c0-8A1A-AE35B99B1B11} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8CF01A36-93A1-4f51-9F1C-504497C37B62} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F87B5C7F-8ED1-4fdc-818E-94A242E8AFD2} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B5789C8-4022-4981-9CA5-CA7D95D71015} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DEDBF81D-BD5C-4598-A048-609F6190EC12} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DD92DE22-ED91-4560-B788-DEE2B26612E6} Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go. Wynikowo powstanie log delete.txt, który zaprezentujesz. 3. Ponów skanowanie Spybotem, dla potwierdzenia, że przestał widzieć te wpisy. Co do usuwania w hijackthis wywaliłem jedynie to: O2 - BHO: CStat - {DD92DE22-ED91-4560-B788-DEE2B26612E6} - (no file)Ale po kolejnym skanie wróciło. Pewnie Spybot to przywrócił (nie przepuściłeś modyfikacji rejestru) .... A tak poza tym to nie jest szkodliwy wpis, powiązany z plikiem C:\Program Files\DeviceVM\Browser Configuration Utility\IEHelper.dll. Usuwam go powyżej tylko dlatego, że wygląda na pusty. . Odnośnik do komentarza
MartinS Opublikowano 27 Października 2011 Autor Zgłoś Udostępnij Opublikowano 27 Października 2011 Log z MiniRegTool w załączniku. Tak jak mówiłeś, SpyBot nic nie wykrył. Dziękuje za wyrozumiałość i pomoc. Result.txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2011 Zgłoś Udostępnij Opublikowano 27 Października 2011 (edytowane) mówiłeś > mówiłam, jestem kobietą. I bardzo ładnie poszło. Natomiast nadal nie wiem co usuwał NOD. Dodatkowe zalecenia: 1. W wyłączonych wpisach w msconfig są śmieci. Start > w polu szukania wpisz regedit i w kluczu: HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder ... skasuj wartość kierującą do wnr232.exe oraz crack-pajączka. 2. Odinstaluj w prawidłowy sposób ComboFix, z klawiatury kombinacja klawisz z flagą Windows + R i w Uruchom wklej komendę: C:\Users\Grizzly\Desktop\ComboFix.exe /uninstall 3. Zainstalowane oprogramowanie do aktualizacji / przetasowania: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 26"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.1 - Polish"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy"{D5A6D02F-3CBB-4FBF-8F65-C3A6D721E8A4}" = OpenOffice.org 3.2"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3"7-Zip" = 7-Zip 4.65"Ad-Aware" = Ad-Aware"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5 - Szczegóły aktualizacyjne tutaj: INSTRUKCJE. Zwracam uwagę, że są dwie wtyczki Flash, wersja IE oraz wersja Firefox/Opera, instalacje są prowadzone odrębnie. - Za dużo zbędnych programów zabezpieczających, co może też wpływać negatywnie na wydajność. Archaiczny Spybot i przyciężkawy Ad-Aware odinstaluj. W zamian polecam darmowy skaner na żądanie Malwarebytes' Anti-Malware, do okresowego ręcznego skanowania. 4. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. . Edytowane 10 Grudnia 2011 przez picasso 10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi