Skocz do zawartości

Podejrzenie keyloggera


Rekomendowane odpowiedzi

Witam jak w temacie otóż ktoś w czwartek włamał mi się na maila i pozmieniał hasła do aplikacji typu gadu gadu czy facebook , zgłosiłem to oczywiście ale też wpisałem w konsoli netstat -ano przy nasłuchiwaniu wszędzie zera ale np tam gdzie oczekiwanie to dziwne adresy, czy mam zrobić logi otl ? z góry dziękuję za pomoc.

Pozdrawiam .

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Przepraszam bardzo nie byłem pewny co wstawiać ale już wiem że logi otl obowiązek , a jeszcze wczoraj pisałem ze znajomą na facebooku ,, i pisze że jest aktywna teraz a po chwili aktywna 23556 dni temu po chwili 23555 dni temu i potem normalnie i potem znów a to już nowe konto i tak zaczynam się trochę obawiać . A odnośnie tej komency w cmd to zrobil screena i tutaj wkleić ? Z góry dziękuję za pomoc ..

Pozdrawiam .

Addition.txt

FRST.txt

Gmer.txt

Extras.Txt

OTL.Txt

Odnośnik do komentarza

A odnośnie tej komency w cmd to zrobil screena i tutaj wkleić ?

Wynik tej komendy wydrukuje mi skrypt do FRST.

 

Nie widzę tu żadnej czynnej infekcji, choć niepokoją mnie kombinacje z crackami / keygenami (ślady akcji widzialne), bo tam coś mogło być i scrackowany program "coś" może wykonywać w tle. Jedyne co tu ma oczywisty związek z keyloggerem, to plik pobrany na dysk:

 

==================== Alternate Data Streams (whitelisted) =========

 

AlternateDataStreams: C:\Users\mati\Downloads\keylogger-3-0.exe:BDU

 

Dodatkowa uwaga: zainstalowałeś niejaki "Advanced Anti Keylogger". Program stary sprzed kilku lat i bezużyteczny na systemie 64-bit: oficjalna kompatybilność to archaiczne systemy XP/NT/2000/2003, jest 32-bitowy (na systemie 64-bit ochrona częściowa, o ile jakakolwiek). Nawet nie wiadomo czy on w ogóle się uruchamia poprawnie, bo wszystkie elementy są w stanie "Zatrzymano":

 

==================== Services (Whitelisted) =================

 

S2 aaksrv; C:\Windows\SysWow64\aaksrv.exe [237568 2013-12-05] (Spydex, Inc.)

 

==================== Drivers (Whitelisted) ====================

 

S2 aakah; C:\Windows\SysWow64\aakah.sys [34272 2013-12-05] (Spydex, Inc.)

S2 aakbdrv; C:\Windows\SysWow64\aakbdrv.sys [20768 2013-12-05] (Spydex, Inc.)

 

Na systemie 64-bit to raczej coś w stylu komercyjnej wersji SpyShelter (natywne wsparcie 64-bit). Tylko broń Boże nie crackować.

 

 


Na razie usuń tylko śmieci (w tym szczątki adware i Google Chrome), bo nic więcej nie widzę:

 

1. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll No File
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
Task: {3D638DC8-A812-40C0-A73A-6C3C605800B8} - System32\Tasks\{7F62A6E8-11D9-4E8E-8840-E54438E8AAB3} => C:\Users\mati\Desktop\CW.eXe
Task: {4F2FB7A7-0233-407A-AE42-ADA64A711242} - System32\Tasks\{DF8F4B2D-E371-4E1F-A673-09F69CD657B3} => C:\Users\mati\Desktop\CW.eXe
Task: {6D1FAAC8-13C0-40D6-8BE2-61D3A4710311} - \DealPlyUpdate No Task File
Task: {8684B747-1DEC-4C51-B873-7F4952D9365E} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe 
Task: {9A8E4271-D566-46B5-81DE-DDB18CDB5736} - System32\Tasks\{3CE8F943-FF9B-4513-AC3F-EF3465D9ABCB} => C:\Users\mati\Desktop\Windows Loader\Windows Loader.exe
Task: {9AF2A33E-5A79-44AE-99C1-4EA55360335B} - System32\Tasks\{B0333B40-1455-4644-AC85-1FF819DCCEA3} => C:\Users\mati\Desktop\Windows Loader\Windows Loader.exe
Task: {EA53A5AE-3766-469F-8812-535751DBCD5F} - \Program aktualizacji online firmy Adobe. No Task File
Task: {FC11F15A-1E4B-49F0-BDB6-6A3F9A75E16F} - System32\Tasks\{3D7BB322-38DF-41E8-9CFB-D0D5F2905237} => C:\Users\mati\Desktop\Windows Loader\Windows Loader.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\59056029.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\59056029.sys => ""="Driver"
R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [39768 2013-02-19] (AVG Technologies)
S1 EIO64; system32\DRIVERS\EIO64.sys [x]
S3 GGSAFERDriver; \??\C:\Program Files (x86)\Garena Plus\Room\safedrv.sys [x]
S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [x]
C:\Windows\system32\drivers\avgtpx64.sys
C:\Users\mati\Downloads\keylogger-3-0.exe
C:\Users\mati\AppData\Roaming\syslog
C:\Users\mati\AppData\Local\SwvUpdater
C:\Users\mati\AppData\Local\Google\Chrome
CMD: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
CMD: netstat -ano

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

3. Pozbądź się definitywnie Advanced Anti Keylogger.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Poprzednie zadania wykonane. Usuń jeszcze szczątki po Advanced Anti Keylogger (i kilka drobnostek po ESET, które jakoś ominęłam) oraz powtórz komendę netstat, bo zapomniałam pobrać PID procesów odrębną komendą.

 

1. Zresetuj system.

 

2. Otwórz Notatnik i wklej w nim:

 

CMD: netstat -ano
CMD: tasklist /svc
Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows"
Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f
AppInit_DLLs-x32: system32\aakah.dll [ ] ()
S2 aakah; \??\C:\Windows\system32\aakah.sys [x]
S2 aakbdrv; \??\C:\Windows\system32\aakbdrv.sys [x]
C:\Windows\SysWOW64\aakah.dll
C:\Windows\SysWOW64\lqoe89kr.lwp
C:\Users\mati\Downloads\advanced-anti-keylogger.zip
C:\Users\mati\Downloads\advanced-anti-keylogger(1).zip
C:\Users\mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Advanced Anti Keylogger
C:\Users\mati\AppData\Roaming\ESET
C:\Users\mati\AppData\Local\ESET

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...