KEYLOGGER

[Szymon22]

W jaki sposób można sprawdźić czy na komputerze jest keylogger?

[Svinger]

W jaki sposób można sprawdźić czy na komputerze jest keylogger?

Dobry antywirus powinien go wykryć, po za tym sprawdzasz procesy oraz ich ID(w szczególności te które wyglądają na systemowe), sprawdzasz co uruchamia się z systemem (winkey+r wpisujesz msconfig, przechodzisz do zakładki uruchamianie i sprawdzasz po kolei czy oby nie ma tam coś ekstra), sprawdzasz firewall jakie usługi/programy nawiązują połączenia, możesz też w linii komend użyć polecenia: netstat -a oraz netstat -b i przeanalizować ruch.

[Szymon22]

Wszedłem w zakładke uruchamianie i mam tam coś takiego:

[Svinger]

Tutaj nic groźnego nie widać (nie mogę jedynie zidentyfikować e_s214). Jeśli chcesz byśmy Ci powiedzieli co siedzi u Ciebie w kompie wygeneruj log z HiJackThis i podaj tutaj.

I taka mała rada odinstaluj avasta ponieważ to tylko substytut antywirusa (tak jak kiedyś były wyroby czekolado podobne) i zainstaluj np. Comodo Internet Security.

Pozdr.

[M@TH3V]

Spyware Doctor + Spybot. I log z hijacka.

Czemu sadzisz ze masz keyloggera?

[Szymon22]

Niewiem czy oto wam chodziło:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:14:07, on 2010-01-09

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal


Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\PROGRAMY\AVAST\aswUpdSv.exe

E:\PROGRAMY\AVAST\ashServ.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\RTHDCPL.EXE

E:\Program Files\ASUS\Six Engine\SixEngine.exe

E:\WINDOWS\system32\RUNDLL32.EXE

E:\WINDOWS\system32\rundll32.exe

E:\PROGRAMY\AVAST\ashDisp.exe

E:\PROGRAMY\MS OFFICE 2007\Office12\GrooveMonitor.exe

E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE

E:\WINDOWS\system32\ctfmon.exe

E:\WINDOWS\system32\nvsvc32.exe

E:\WINDOWS\system32\PnkBstrA.exe

E:\WINDOWS\system32\PnkBstrB.exe

E:\PROGRAMY\Alcohol 120\StarWind\StarWindService.exe

E:\WINDOWS\system32\svchost.exe

E:\PROGRAMY\AVAST\ashMaiSv.exe

E:\PROGRAMY\AVAST\ashWebSv.exe

E:\PROGRAMY\Nowe Gadu-Gadu\gg.exe

E:\PROGRAMY\Nowe Gadu-Gadu\spellchecker_gg.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.garena.com/portal/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRAMY\MS OFFICE 2007\Office12\GrooveShellExtensions.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - E:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - E:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Six Engine] "E:\Program Files\ASUS\Six Engine\SixEngine.exe" -r

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [avast!] E:\PROGRAMY\AVAST\ashDisp.exe

O4 - HKLM\..\Run: [GrooveMonitor] "E:\PROGRAMY\MS OFFICE 2007\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "E:\WINDOWS\TEMP\E_S214.tmp" /EF "HKLM"

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://E:\PROGRAMY\MSOFFI~1\Office12\EXCEL.EXE/3000

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRAMY\MSOFFI~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRAMY\MSOFFI~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRAMY\MSOFFI~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O13 - Gopher Prefix: 

O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.27.0.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DF16973A-A9A0-4D93-A60A-5714CEE8A137}: NameServer = 217.116.100.65 79.163.127.70

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRAMY\MS OFFICE 2007\Office12\GrooveSystemServices.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\PROGRAMY\AVAST\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - E:\PROGRAMY\AVAST\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - E:\PROGRAMY\AVAST\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - E:\PROGRAMY\AVAST\ashWebSv.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - E:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - E:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\PROGRAMY\Alcohol 120\StarWind\StarWindService.exe


--

End of file - 6598 bytes

Jaki antuwirus byłby lepszy: Norton czy Kaspersky?

[JamesVoo]

Na pewno nie ten substytut antywira. Z darmowych to polecam COMODO, z tych dwóch Kasperskiego, a ogólnie z płatnych to ESETa, używałem bardzo długo i nic nie przepuścił, ale że się licencja skończyła przerzuciłem się na COMODA który tez jest świetny. Z loga, ja się nie znam, ale nic podejrzanego nie wiedzę

[Szymon22]

Co mam z tym zrobić?

FIXNIJ:

KOD

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll

[Sevard]

Lepiej przeskanuj kompa za pomocą Malwarebytes' Anti-Malware i pozwól mu naprawić co znajdzie. Powinien usunąć te wpisy skuteczniej niż HijackThis.

Nie pogardzę również logiem z tego programu,

[Szymon22]

Teraz znalazłem coś takiego. Wszedłem sobie w menadżera urządzeń i pstrykałem sobie po zakładkach. Gdy wróciłem do zakładki aplikacje znalazłem program o nazwie "Event Widget", który znikał po paru sekundach. W googlach znalazłem taki link na forum: http://www.artrabbit.com/about/widget

Mam sie tego bać?

Jakby co to log z Hijack:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:04:26, on 2010-01-12

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal


Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\PROGRAMY\AVAST\aswUpdSv.exe

E:\PROGRAMY\AVAST\ashServ.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\RTHDCPL.EXE

E:\Program Files\ASUS\Six Engine\SixEngine.exe

E:\WINDOWS\system32\RUNDLL32.EXE

E:\WINDOWS\system32\rundll32.exe

E:\PROGRAMY\AVAST\ashDisp.exe

E:\PROGRAMY\MS OFFICE 2007\Office12\GrooveMonitor.exe

E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE

E:\WINDOWS\system32\ctfmon.exe

E:\WINDOWS\system32\nvsvc32.exe

E:\WINDOWS\system32\PnkBstrA.exe

E:\PROGRAMY\Alcohol 120\StarWind\StarWindService.exe

E:\WINDOWS\system32\svchost.exe

E:\PROGRAMY\AVAST\ashMaiSv.exe

E:\PROGRAMY\AVAST\ashWebSv.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\PROGRAMY\Nowe Gadu-Gadu\gg.exe

E:\PROGRAMY\Nowe Gadu-Gadu\spellchecker_gg.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.garena.com/portal/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRAMY\MS OFFICE 2007\Office12\GrooveShellExtensions.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - E:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - E:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Six Engine] "E:\Program Files\ASUS\Six Engine\SixEngine.exe" -r

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [avast!] E:\PROGRAMY\AVAST\ashDisp.exe

O4 - HKLM\..\Run: [GrooveMonitor] "E:\PROGRAMY\MS OFFICE 2007\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "E:\WINDOWS\TEMP\E_S214.tmp" /EF "HKLM"

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://E:\PROGRAMY\MSOFFI~1\Office12\EXCEL.EXE/3000

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRAMY\MSOFFI~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRAMY\MSOFFI~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRAMY\MSOFFI~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O13 - Gopher Prefix: 

O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.27.0.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DF16973A-A9A0-4D93-A60A-5714CEE8A137}: NameServer = 79.163.127.70 217.116.100.65

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRAMY\MS OFFICE 2007\Office12\GrooveSystemServices.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\PROGRAMY\AVAST\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - E:\PROGRAMY\AVAST\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - E:\PROGRAMY\AVAST\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - E:\PROGRAMY\AVAST\ashWebSv.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - E:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\PROGRAMY\Alcohol 120\StarWind\StarWindService.exe


--

End of file - 6577 bytes