Czy to keylogger?

[wiwcio123]

Wydaje mi się ze zlapalem to cos... ;/ chcialbym się tego pozbyć. daje logi:

 

-dds http://wklej.to/m3nhp http://wklej.to/scyaR

-rsit http://wklej.to/qhYif http://wklej.to/GDBQd

-OTS http://www.wklej.org/id/840871/txt/ (za duza waga na wklej.to)

-log security check http://wklej.to/UzHPF

 

DODAM, że OTL oraz OTH Nie działa! :x wyskakuje błąd: "Aces violation at adres CCCC0460. Read of adres.."

prosze o pomoc w razie czego pytac, mowic co mam robic

[wiwcio123]

Jeżeli potrzebujecie z OTL powiedzcie jak zrobic, aby mi dzialal. podalem w poscie blad, ktory mi wyskakuje . prosze pomozcie ;x

[jessica]

to wina OTL, najnowszy OTL ma w sobie jakiś błąd - u wszystkich, którzy dziś ściągnęli OTL, wyskakuje ten sam błąd.

I to niezależnie od tego, czy jest to OTL.ex, OTL.com, czy OTL.scr.

Trzeba po prostu zaczekać, aż autor OTL naprawi ten błąd.

Starsze wersje OTL działają normalnie.

[wiwcio123]

moglby ktos wrzucic starsze otl gdzies? aa i co do tych logow - sprawdzi to ktos?

[picasso]

W skład obowiązkowych logów wchodzi GMER. Podane tu logi to albo albo, a nie wszystkie wspólnie, gdyż to podobne zadaniowo twory, to skan na rootkity jest inny i wymagany do kompletu. Póki co, na razie brak oznak infekcji, jest tylko adware, ale zanim przejdę do usuwania tego uściślij o co Ci w ogóle chodzi:

 

 

WWydaje mi się ze zlapalem to cos... ;/ chcialbym się tego pozbyć

 

To teraz objaśnij dlaczego Ci się tak wydaje, jakie masz podstawy tak podejrzewać, co się wydarzyło. W ogóle nie opisałeś swojego problemu i skąd takie pomysły. Logi to nie wszystko, logi nie opowiedzą o tym co widzi użytkownik.

 

 

za duza waga na wklej.to

 

Na wklej.org nie byłoby problemu. I tam też przeklejam.

 

 

.

[wiwcio123]

To teraz objaśnij dlaczego Ci się tak wydaje, jakie masz podstawy tak podejrzewać, co się wydarzyło. W ogóle nie opisałeś swojego problemu i skąd takie pomysły. Logi to nie wszystko, logi nie opowiedzą o tym co widzi użytkownik.

 

hmm chodzi mi o keyloggera (czyt. temat); dlaczego tak twierdze? mlodszy brat sciagal jakies hacki do gry mmorpg online(metin2). wole sie upewnic ;D z GMER zaraz dam loga

 

@edit

 

GMER juz skanuje

 

@edit2

 

daje loga z GMER http://wklej.org/id/841069/

[picasso]

hmm chodzi mi o keyloggera (czyt. temat); dlaczego tak twierdze? mlodszy brat sciagal jakies hacki do gry mmorpg online(metin2). wole sie upewnic ;D

 

Tytuł tematu nie wyjaśnia skąd podejrzenie. Widzę również z dodanej tu wypowiedzi, że nie masz silnych podstaw do szukania tego, jedynie spekulujesz na podstawie faktu, że brat instalował jakieś hacki (ale brak danych jakie, brak danych czy wystąpiły po tym dziwne zdarzenia, po prostu nie mam żadnych danych). Pytam więc: czy wydarzyło się coś konkretnego, co może sugerować obecność keyloggera?

W logach nic nie ma, ale logi nie gwarantują niczego na 100%. Nie ma tu też mowy o wykonywaniu skanu antywirusowego, którego żaden log OTL / GMER nie zastąpi, inna technika zadaniowa.

 

 

---

W kwestii zaległych operacji czyszczących / usprawniających system:

 

1. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

2. Dziennik zdarzeń podaje takie błędy startowe usług:

 

Computer Name: KAROL
Event Code: 7022
Message: Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania.
 
Computer Name: KAROL
Event Code: 7000
Message: Nie można uruchomić usługi NVIDIA Update Service Daemon z powodu następującego błędu: 
Usługa nie została uruchomiona z powodu nieudanego logowania.

 

Start > Uruchom > services.msc, na liście po kolei dwuklik w wymienione usługi i Typ uruchomienia ustaw na Wyłączony.

 

3. Skoryguj oprogramowanie zabezpieczające: masz Avast, Spyware Terminator 2012 w tym układzie zbędny (niepotrzebnie też obciąża) i do deinstalacji. Poza tym, na liście zainstalowanych występują pozycje szczątkowe ZoneAlarm Firewall + ZoneAlarm Security i te usuń posługując się narzędziem: KLIK.

 

4. Odinstaluj adware Ask Toolbar, Ask Toolbar Updater, AVG Security Toolbar, Free Lunch Design Toolbar, V9 Homepage Uninstaller oraz zbędny Akamai NetSession Interface.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Spróbuj ponownie z OTL, pobierz najnowszą wersję (KLIK). Jeśli się nie uda, to zrób log z OTS na domyślnych ustawieniach, które proponuje (tak obszerny jak pierwszy nie jest mi potrzebny). Dołącz log AdwCleaner utworzony podczas usuwania.

 

 

 

 

.

[wiwcio123]

Log AdwCleaner: http://wklej.org/id/841700/

Logi OTL: http://wklej.org/id/841718/ http://wklej.org/id/841719/

 

 

Tytuł tematu nie wyjaśnia skąd podejrzenie. Widzę również z dodanej tu wypowiedzi, że nie masz silnych podstaw do szukania tego, jedynie spekulujesz na podstawie faktu, że brat instalował jakieś hacki (ale brak danych jakie, brak danych czy wystąpiły po tym dziwne zdarzenia, po prostu nie mam żadnych danych). Pytam więc: czy wydarzyło się coś konkretnego, co może sugerować obecność keyloggera?

W logach nic nie ma, ale logi nie gwarantują niczego na 100%. Nie ma tu też mowy o wykonywaniu skanu antywirusowego, którego żaden log OTL / GMER nie zastąpi, inna technika zadaniowa.

 

Miałem pewne podejrzenie (jak ktoś się loguje na konto, a Ty w tym czasie również jesteś zalogowany, wyrzuca Cie.) - wyrzuciło mnie podczas gry pare razy. Gdyby to błąd serwera najpierw pojawił by się jakiś lag w grze - zacięcie. Mnie wyrzuciło jak gdyby nigdy nic. Zgodzę się z Tobą, że to tylko spekulacje, silnych podstaw nie mam. Chcę tylko wiedzieć, czy w tych logach itd. które daje jest coś podejrzanego. Jeśli nie, nie mam się czego bać Wykonałem wszystkie podane przez Ciebie punkty. Jeśli jeszcze coś nie tak - pisz. Dziękuję za dotychczasową pomoc ;p

[picasso]

Pod kątem keyloggerów mogę polecić darmowy program SpyShelter Personal Free.

 

 

Chcę tylko wiedzieć, czy w tych logach itd. które daje jest coś podejrzanego.

 

Na to pytanie już odpowiedziałam: w raportach brak oznak infekcji.

 

 

Wykonałem wszystkie podane przez Ciebie punkty. Jeśli jeszcze coś nie tak - pisz.

 

Zostały tylko drobne poprawki:

 

1. Nie wygląda, byś odinstalował zbędny Akamai NetSession Interface.

 

2. Usunięcie mini szczątków. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130)
O4 - HKLM..\Run: [DriverCD] E:\Run.exe File not found
O4 - HKLM..\Run: [ROC_ROC_JULY_P1] "C:\Program Files\AVG Secure Search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1 File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..keyword.URL: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=509cbd02-ea7d-4ded-8a69-bb1002f90b96&affid=111583&searchtype=ds&babsrc=lnkry&q="
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
[2012-07-10 23:20:36 | 000,002,568 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\u89pmexv.default\searchplugins\askcom.xml
[2012-07-30 20:23:44 | 000,002,474 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\u89pmexv.default\searchplugins\Web Search.xml
[2012-08-31 12:26:59 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\drivers\sp_rsdrv2.sys
[2012-07-31 17:12:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\CheckPoint
[2012-07-31 17:12:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\CheckPoint
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

3. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, skasuj wszystkie skanery oraz foldery D:\_OTL + C:\MATS.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Odinstaluj stare Java w wersji 6, zaktualizuj Adobe: KLIK. Wersje widziane aktualnie w systemie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_262.dll ()

 

 

.