Malware - podejrzenie, dziwne procesy.

[Pepsi]

Wita

Znalazłem kilka dziwnych procesów w moim komputerze, które zabierają ram.

 

Czasem podczas uruchamiania komputera wyskakuje czarne okienko cmd i jest tam cos napisane o regscv czy o czymś takim.

 

Dodaje logi i prosze o pomoc

Addition.txt

Extras.Txt

FRST.txt

gmerlog.txt

OTL.Txt

[jessica]

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste)

 

Otwórz Notatnik i wklej w nim:

 

(GreenMind Association ffff) C:\Users\abc\AppData\Local\Temp\avgua32.exe
() C:\Users\abc\AppData\Roaming\SettingsWin\getxempl2.exe
HKCU\...\Run: [svchost] - C:\Users\abc\AppData\Roaming\Microsoft\svchost.exe [44968 2012-07-08] (Microsoft Corporation)
HKCU\...\Run: [getxempl2] - C:\Users\abc\AppData\Roaming\SettingsWin\getxempl2.exe [1065202 2013-09-18] ()
KLM-x32\...\Run: [] - [x]
AppInit_DLLs-x32: c:\progra~2\sshelp~1\psupport.dll [857600 2013-10-06] ()
Startup: C:\Users\abc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RegSvcs.exe (Microsoft Corporation)
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - {16DB9702-A8C8-443D-8688-7CD2C31293F7} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=512435&p={searchTerms}
BHO: Downnlload. kEueper - {1346016A-BF03-F13E-92D5-6723B8631923} - C:\Program Files (x86)\Downnlload. kEueper\MX3xnnX4t.x64.dll ()
BHO-x32: Downnlload. kEueper - {1346016A-BF03-F13E-92D5-6723B8631923} - C:\Program Files (x86)\Downnlload. kEueper\MX3xnnX4t.dll ()
FF SearchEngineOrder.user_pref("browser.search.order.1,S", "");: user_pref("browser.search.order.1,S", "");
FF Plugin-x32: @t.garena.com/garenatalk - C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll No File
FF Extension: Downnlload. kEueper - C:\Users\abc\AppData\Roaming\Mozilla\Firefox\Profiles\z71ad889.default\Extensions\iqizm_1z@ouypool-o.net
S3 cpuz130; \??\C:\Users\abc\AppData\Local\Temp\cpuz130\cpuz_x64.sys [x]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [x]
S3 GGSAFERDriver; \??\C:\Program Files (x86)\Garena Plus\Room\safedrv.sys [x]
2013-10-30 16:32 - 2013-10-30 16:32 - 00000000 ____D C:\ProgramData\Downnlload. kEueper
2013-10-30 16:32 - 2013-10-30 16:32 - 00000000 ____D C:\ProgramData\23413a397414c394
2013-10-30 16:32 - 2013-10-30 16:32 - 00000000 ____D C:\Program Files (x86)\ss helper
2013-10-30 16:32 - 2013-10-30 16:32 - 00000000 ____D C:\Program Files (x86)\Downnlload. kEueper
2013-10-30 16:31 - 2013-10-30 16:31 - 00000000 ____D C:\ProgramData\InstallMate
C:\Users\abc\AppData\Local\Temp\appshat-distribution.exe
C:\Users\abc\AppData\Local\Temp\avgua32.exe
C:\Users\abc\AppData\Local\Temp\down.5768.web_assistant_v2.exe
C:\Users\abc\AppData\Local\Temp\ose00000.exe
C:\Users\abc\AppData\Local\Temp\smt_ar_dosearches.exe
C:\Users\abc\AppData\Local\Temp\SRLDetectionLibrary5781857955678186537.dll
C:\Users\abc\AppData\Local\Temp\TsuD673F8DE.dll
C:\Users\abc\AppData\Local\Temp\UpdateCheckerSetup.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log

 

Zrób nowe logi z FRST i OTL.

 

Potem czekaj na @Picasso (nie wiem, kiedy będzie miała możliwość odpowiadania na Forum)

 

jessi

[Pepsi]

Zrobione, logi załączone.

Dziękuje, że się zainteresowałaś moją sprawą.

 

Szkoda, że @Picasso ma problemy. Życzę jej szybkiego  rozwiązania tych problemów.

Addition.txt

OTL.Txt

Fixlog.txt

FRST.txt

[Pepsi]

Dołączam log z OTL aktualny

 

Prawdopodobnie mam też keyloggera na komputerze którego chciałbym się pozbyć

OTL.Txt

FRST.txt

Addition.txt

[muzyk75]

Odinstaluj: Spybot - Search & Destroy, HijackThis i pobierz Malwarebytes - wykonaj skan. Pokaż log z MBAM.

Nie podoba mi sie to:

O4 - HKU\S-1-5-21-2069616815-3132189673-721496042-1000..\Run: [svcohst] C:\Users\abc\AppData\Roaming\Microsoft\svcohst.exe (Microsoft Corporation)

 

 

Prawdopodobnie mam też keyloggera na komputerze

Jakie objawy, dlaczego tak sądzisz?

[Pepsi]

Tutaj logi, zadziwiające ile syfu!

 

Mam podejrzenia co do keylogger ponieważ zostało mi skradzione konto do gry online.(zmieniam hasła co 2 tygodnie) więc jestem pewien że to keylogger.

mbar-log-2013-11-05 (19-07-30).txt

[muzyk75]

Wykonaj nowe logi OTL i FRST.

[Pepsi]

Skany

Addition.txt

FRST.txt

OTL.Txt

[muzyk75]

Otwórz notatnik i wklej:

 

HKLM-x32\...\Run: [] - [x]
2013-11-05 11:47 - 2013-11-05 17:32 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
2013-11-05 11:47 - 2013-11-05 11:47 - 00000000 ____D C:\Windows\System32\Tasks\Safer-Networking
2013-11-05 11:46 - 2013-11-05 18:53 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2013-11-05 11:43 - 2013-11-05 11:44 - 40658208 _____ (Safer-Networking Ltd.                                       ) C:\Users\abc\Downloads\spybot-2.2.exe
2013-11-05 18:53 - 2013-11-05 11:46 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2013-11-05 17:32 - 2013-11-05 11:47 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
2013-11-05 11:44 - 2013-11-05 11:43 - 40658208 _____ (Safer-Networking Ltd.                 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

[Pepsi]

Zrobione

 

A co do tego keylogger'a co zrobić aby upewnić się że go nie ma?

Fixlog.txt

[muzyk75]

 

A co do tego keylogger'a co zrobić aby upewnić się że go nie ma?

Skanuj regularnie komputer. Zainstaluj KeyScrambler - szyfruje uderzenia w klawisze. Zainstaluj dobry firewall np: Comodo, Privatefirewall, Outpost Security Suite Free- wszystkie są darmowe. Dobrze skonfiguruj i naucz się używać firewalla, a to może trochę potrwać.