Rozwiązany: Keylogger?

[Gość gxkrizard]

Z pewnego powodu chciałbym się dowiedzieć, czy mój system jest czysty. Nie chodzi tu tylko o keyloggery (co sugeruje nazwa tematu), ale ogólnie o to, czy nie ma niczego niechcianego w systemie.

Z tego co wiem, mamy tutaj userów, którzy umieliby mi powiedzieć, czy wszystko w porządku z moimi logami. I teraz moje pytanie: W jakim programie (programach?) musiałbym coś porobić, żeby uzyskać potrzebne informacje? Jestem całkowitym noobem w tych sprawach, a chciałbym się dowiedzieć.

[Sevard]

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware, niech ponaprawia to, co znajdzie. Następnie wklej loga, który zostanie wygenerowany po skanowaniu.

Ściągnij i uruchom OTL, pozaznaczaj opcje: Scan All Users, LOP Check, Purity Check. Zaznacz też opcję Use Safelist w Extra registry. Rozpocznij skanowanie i wklej oba wygenerowane przez OTL logi.

Do tego możesz też sprawdzić system programem SUPERAntispyware Free odpalonym w trybie awaryjnym.

[Sevard]

Zaktualizuj Internet Explorera do najnowszej wersji (nawet jeśli go nie używasz).

Uruchom OTL, w Custom Scans/Fixes w OTL wklej to co poniżej:

:Processes

killallprocesses


:OTL

O4 - HKU\S-1-5-21-842925246-117609710-839522115-1003..\Run: [Wru] J:\Wru\Wru.exe File not found

O33 - MountPoints2\{e2c70502-ddc2-11de-b777-001d7d476ec9}\Shell\AutoRun\command - "" = yb12j.cmd

O33 - MountPoints2\{e2c70502-ddc2-11de-b777-001d7d476ec9}\Shell\open\Command - "" = yb12j.cmd


:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


:Commands

[emptytemp]

i kliknij run fix. Wrzuć na forum log z tej operacji. Następnie wrzuć nowe logi z OTL wygenerowane w ten sam sposób, co poprzednio.

Przy okazji - po co Ci obsługa wschodnich języków?

[Sevard]

Spoko, obejdzie się bez tego.

To teraz warto się zająć wspomnianymi ikonami.

Według pierwszego logu na pulpicie znajdują się pliki:

C:\Documents and Settings\Bartek\Pulpit\UsY7Yr_cfdg.exe

C:\Documents and Settings\Bartek\Pulpit\Ryy2Gt_cfdg.exe

C:\Documents and Settings\Bartek\Pulpit\Baa17w_cfdg.exe

C:\Documents and Settings\Bartek\Pulpit\MpE45d_cfdg.exe

C:\Documents and Settings\Bartek\Pulpit\Gto8D5_cfdg.exe

C:\Documents and Settings\Bartek\Pulpit\Odm2Ca_cfdg.exe

C:\Documents and Settings\Bartek\Pulpit\Rcn5Or_cfdg.exe

C:\Documents and Settings\Bartek\Pulpit\HrU5Tq_cfdg.exe

C:\Documents and Settings\Bartek\Pulpit\WhE17e_cfdg.exe

C:\Documents and Settings\Bartek\Pulpit\BfW8Bd_cfdg.exe

C:\Documents and Settings\Bartek\Pulpit\Evd6G2_cfdg.exe

C:\Documents and Settings\Bartek\Pulpit\HcD8Uo_cfdg.exe

C:\Documents and Settings\Bartek\Pulpit\HoJ45y_cfdg.exe

To chyba wszystkie, ale głowy nie dam, w drugim logu tego nie widzę. Masz może pomysł co to? Jeśli nie, to sprawdź te pliki na VirusTotal. O ile nadal są.

W opcjach folderów będziesz musiał pewnie włączyć pokazywanie plików ukrytych i systemowych, żeby zobaczyć te pliki. Przy okazji, gdy włączysz pokazywanie tych plików, to zobacz, czy nie ma jeszcze jakichś innych dziwnych plików.

[Gość gxkrizard]

Tak, o te chodziło. Co prawda jest jeszcze jeden, KoW8Ha_cfdg.exe, ale to właśnie je widziałem.

Poza nimi nie ma już nic dziwnego na pulpicie. Wysłałem je do sprawdzenia na tej stronie którą podałeś, i wyszło coś takiego: http://www.virustotal.com/pl/analisis/8e45...1a68-1273520173 . Z tego co widzę, oznacza to że plik jest czysty. Wysyłałem też inne, ale strona je wszystkie rozpoznaje jako jeden i cały czas pokazuje właśnie owy raport, nawet jeśli wysłałem plik o innej nazwie.

Dla sprawdzenia wysłałem tam plik innego typu (Thumbs.db) i ten był już sprawdzany o wiele wolniej.

[Sevard]

Czyli moim zdaniem nie trzeba się przejmować tymi plikami. Pewnie jakiś program pozostawił je po sobie. Trudno mi powiedzieć jaki dokładnie. thumbs.db jest bezpiecznym plikiem, tu masz opisane co on robi.

[Gość gxkrizard]

Rozumiem. Czyli to już wszystko, system jest przeczyszczony? Jeśli tak, to wielkie dzięki za pomoc. Temat można zamknąć, czy co tam robicie.

[Sevard]

Problem rozwiązany, więc temat zamykam.

W razie potrzeby otwarcia tematu, proszę o kontakt przez PW.