Skocz do zawartości

Backdoor? Keylogger? Sprawdzenie logów


Rekomendowane odpowiedzi

Dobry wieczór,

 

Ściągnąłem dziś jednego keygena z internetu, i niestety w nim było coś szkodliwego. Ściągnąłem to z hxxp://www.mediafire.com/?e4m0efrzo5r7bx9 Po uruchomieniu tego pliku, pokazał się komunikat SpyShelter Premium, o próbie przechwycenia klawiszy (keylogger). Kliknąłem na Zezwól, bo to według mnie było normalne, w keygenach i crackach często są wykrywane wirusy. Za chwilkę Malwarebytes' Anti-Malware Pro, wykrył trojana agenta, nie pamiętam w jakiej lokalizacji. Jednak tutaj chyba naprawdę był wirus (a raczej keylogger), bo po chwili SpyShelter znowu wyświetlił komunikat o przechwyceniu klawiszy, tym razem kliknąłem Blokuj, bo lokalizacja pliku była taka: C:\Users\Adam\AppData\Roaming\kernel32.exe

 

 

Od razu zeskanowałem komputer Hitmanem Pro, który wykrył Tracking Cookies, oraz

 

Przechwytywanie57ee5f0aPNG.png

 

Dokładnie nie pamiętam jakie to zagrożenie było, jednak pamiętam że to wykrył silnik IKARUS, a to był Backdoor (wiem że robi on fałszywe alarmy, ale w dziwnej lokalizacji był ten plik, Hitman w historii i kwarantannie nie pokazuje jakie zagrożenie było wykryte)

 

Szkodliwy plik usunąłem nim, i zeskanowałem komputer programem Malwarebytes' Anti-Malware, który nic nie wykrył.

 

Dlatego proszę o sprawdzenie logów, chcę wiedzieć czy infekcja nadal jest:

 

 

OTL.txt: http://wklej.org/id/578815/

 

Extras.txt: http://wklej.org/id/578816/

 

(wpisy w pliku HOSTS zostały dodane przeze mnie)

 

Pozdrawiam

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Upiekło się, bo to na pewno był trojan oceniając po lokalizacji + nazwie:

 

 

Jednak tutaj chyba naprawdę był wirus (a raczej keylogger), bo po chwili SpyShelter znowu wyświetlił komunikat o przechwyceniu klawiszy, tym razem kliknąłem Blokuj, bo lokalizacja pliku była taka: C:\Users\Adam\AppData\Roaming\kernel32.exe

 

W logach nie widzę nic w stanie czynnym, ale jest tu ślad czegoś co wygląda na infekcję (tu Cię uratował Windows typu 64-bit, bo sterownik najwyraźniej nie może się uruchomić):

 

DRV - [2011-08-14 10:10:08 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\odvilq.sys -- (pkrujoa)

 

[2011-08-14 10:10:08 | 000,061,440 | ---- | M] () -- C:\Windows\SysWow64\drivers\odvilq.sys

+ błąd w Dzienniku zdarzeń:

 

Error - 2011-08-18 02:39:21 | Computer Name = Adam-Komputer | Source = Service Control Manager | ID = 7026

Description = Nie można załadować następujących sterowników startu rozruchowego

lub systemowego: pkrujoa

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - [2011-08-14 10:10:08 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\odvilq.sys -- (pkrujoa)
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. Wynikowy log z tego przetwarzania będziesz pokazywał.

 

2. Zrób nowy log z OTL na warunku dostosowanym, tzn. w polu Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj.

 

 

 

.

Odnośnik do komentarza

Raport po wykonaniu skryptu:

http://wklej.org/id/578988/

 

A "C:\Windows\SysWOW64\drivers\odvilq.sys" nie przeniósł się bo Immunet dodał go do kwarantanny w czasie wykonywania skryptu.

rootkit051494d0png.png

File move failed. C:\Windows\SysWOW64\drivers\odvilq.sys scheduled to be moved on reboot.

i dlatego też po restarcie nie przeniósł się.

 

Files\Folders moved on Reboot...File\Folder C:\Windows\SysWOW64\drivers\odvilq.sys not found!

Przypomniało mi się że Hitman Pro wykrył Backdoor.MSIL!IK

 

Nowy log:

 

http://wklej.org/id/578989/

 

(nie wiem czy dobrze zrobiłem, bo nie zaznaczałem pod rejestrem "Użyj filtrowania", oraz nie zaznaczyłem Infekcji LOP i PURITY)

 

 

 

 

Jest czysto?

 

 

Odnośnik do komentarza

Zadanie wykonane. W nowym logu nie widać nic nowego. Możesz użyć Sprzątanie w OTL oraz wyczyścić foldery Przywracania systemu (INSTRUKCJE).

 

 

(nie wiem czy dobrze zrobiłem, bo nie zaznaczałem pod rejestrem "Użyj filtrowania", oraz nie zaznaczyłem Infekcji LOP i PURITY)

 

Te dane po raz drugi nie są mi potrzebne. Usuwanie tu prowadzone nie zmieniło danych przedstawianych tą partią.

 

 

 

.

Odnośnik do komentarza

Wyczyszczę później foldery przywracania systemu (chyba że teraz muszę to zrobić), bo mam inny problem, nie mogę instalować części programów, np. to się pokazuję przy instalacji VirtualBox

 

Obraz%201.png

 

Po kliknięciu OK

 

Obraz%202.png

 

Po ponownym kliknięciu OK:

 

Obraz%203.png

 

I gdy teraz kliknę OK okno znika

 

Po kilku próbach czasami udaje się zainstalować.

 

Poczytam trochę w Googlach na temat tego błędu 2869

 

 

Może mieć to jakiś związek z infekcją?

 

 

 

 

Edit:

 

Jednak będę reinstalował Windows, nie mam nic ważnego w komputerze, wystarczy że zapisze jakie mam programy zainstalowane i po formacie je zainstaluje.

 

Dziękuję za sprawdzenie logów, można zamknąć

 

 

Odnośnik do komentarza
Plik mam jest w EXE, ale dzieje się to w wielu programach

 

Po błędzie widać, że chodzi o Instalator Windows. Rozszerzenie *.EXE czy *.MSI, ale nadal ten sam typ instalatora. Podając Ci do weryfikacji komendę sprawdzam ten scenariusz uprawnień: KLIK (przełącznik /a wywołuje instalację w trybie administracyjnym).

 

Przy okazji: nie manipulowałeś nic na UAC? EDIT: inna myśl, a przypadkiem tu nie ma coś do rzeczy oprogramowanie zabezpieczające?

 

 

 

.

Odnośnik do komentarza
Przy okazji: nie manipulowałeś nic na UAC?

 

Jedynie zmieniałem aby nie przyciemniało mi ekranu, ale zawsze to robię po instalacji Windows i nic się nie dzieje, obecnie mam tak ustawione:

 

Obraz20e753b3cpng.png

 

 

Edit:

a przypadkiem tu nie ma coś do rzeczy oprogramowanie zabezpieczające?

Też nad tym myślę, odinstaluje na razie Immunet

 

 

 

Edit 2:

To samo jest niestety

Nie pomoże czasem wyłączenie UAC?

 

 

Edit 3:

 

To samo, wyłączenie Malwarebytes Pro też nie pomaga,

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...