Keylogger - prośba.

[milan233]

Kolega, który nie ma konta na forum poprosił mnie abym stworzył na forum nowy temat, gdyż jest zaniepokojony - mianowicie uważa, że ma na komputerze keyloggera. Oto jego logi z HiJackThis-a.

Logfile of HijackThis v1.99.1
Scan saved at 16:56:28, on 2007-08-05
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\Ati2evxx*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
E:\Avast\aswUpdSv*****
E:\Avast\ashServ*****
C:\WINDOWS\system32\spoolsv*****
E:\Program Files\aawservice*****
C:\WINDOWS\system32\Ati2evxx*****
E:\Avast\ashMaiSv*****
C:\WINDOWS\Explorer*****
E:\Avast\ashWebSv*****
E:\Avast\ashDisp*****
C:\Program Files\D-Tools\daemon*****
C:\WINDOWS\services*****
C:\WINDOWS\system32\exploer*****
C:\Program Files\Java\jre1.5.0_06\bin\jusched*****
C:\Program Files\ATI Technologies\ATI.ACE\cli*****
C:\Program Files\BearShare\BearShare*****
C:\WINDOWS\system32\ctfmon*****
C:\Program Files\ATI Technologies\ATI.ACE\cli*****
C:\Program Files\ATI Technologies\ATI.ACE\cli*****
C:\WINDOWS\system32\wuauclt*****
C:\WINDOWS\services*****
C:\Program Files\Mozilla Firefox\firefox*****
C:\Program Files\Wapster\AQQ\AQQ*****
E:\Damian\HijackThis*****
KG 14:59:55
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sms.orange.pl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 127.0.0.1:81
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Program Files\AOL Security Toolbar\tbu1\AOL_security_toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Program Files\AOL Security Toolbar\tbu1\AOL_security_toolbar.dll
O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Program Files\Babylon\Babylon-Pro\Babylon Toolbar\BabylonIEToolBar.dll]
KG 15:00:04
O4 - HKLM\..\Run: [avast!] E:\Avast\ashDisp*****
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon*****" -lang 1033
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\services*****
O4 - HKLM\..\Run: [SysCtrl] C:\WINDOWS\system32\exploer*****
O4 - HKLM\..\Run: [SmcService] E:\smc***** -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched*****
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli*****" runtime -Delay
O4 - HKLM\..\Run: [Flashget] "C:\Program Files\FlashGet\FlashGet*****" /min
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare*****" /pause
O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\system32\ctfmon*****
O8 - Extra context menu item: &Stáhnout &vše FlashGetem - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Stáhnout FlashGetem - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 3.74\AMVConverter\grab.html
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL*****/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 3.74\MediaManager\grab.html
KG 15:00:13
O8 - Extra context menu item: Translate with &Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet*****
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet*****
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
KG 15:00:18
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_47.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Program Files\aawservice*****
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Avast\aswUpdSv*****
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx*****
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag*****
O23 - Service: avast! Antivirus - ALWIL Software - E:\Avast\ashServ*****
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Avast\ashMaiSv*****" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Avast\ashWebSv*****" /service (file missing)



Proszę o pomoc specjalistów w tej dziedzinie, aby odpowiedzieli mi, co ma usunąć. Z góry dziękuję za pomoc.

[Snib'ek]

C:\WINDOWS\services*****
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\services*****

[Uther92]

Owntibia jak napisał pan UP,a le co to jest ? :
KG 14:59:55

[Lasooch]

C:\WINDOWS\system32\exploer*****

A to? Zanim mnie ktoś pojedzie, żem nub: zjadło 'r'. Powinno być 'explorer'. Przepisywane ręcznie, czy coś się tam jednak czai?

[Uther92]

A ten twój kolega sam sobie proxy ustawił na localhosta ? O.o

[dawid000]

Cytuj:

Oryginalnie napisane przez milan233

O4 - HKLM\..\Run: [SysCtrl] C:\WINDOWS\system32\exploer*****

wydaje mi sie ze lord of tibia ale na wypadek daj jeszcze jego logi z sillent runners i combo fix na forum pcformat

[milan233]

Ok, teraz kolejne pytanie, jak usunąć to services.e x e? Normalnie się nie da bo pisze że jest to krytyczny proces systemu.

[H.L]

Cytuj:

Oryginalnie napisane przez milan233

Ok, teraz kolejne pytanie, jak usunąć to services.e x e? Normalnie się nie da bo pisze że jest to krytyczny proces systemu.

Killboxem <dziesiontka!>

[Uther92]

Ale upewnij się, że usuwasz na pewno ten niepoprawny services. Bo jest to niezbędny proces systemowy.

[MakaryGit]

Witam to ja kolega który ma keyloggera Uther92 napisz do mnie na GG widze ze sie znasz pomuz mi prosze wytłumacze Ci all mój numer gg to 2133227.

[Uther92]

Nie używam gg. Jak cchesz to pisz tu albo na PW.

[MakaryGit]

Jeżeli niema Uther92 niech ktos inny napisze który sie zna jak usunońc keyloggera wszystko opisze numer gg up..

wiec tak mam keya o nazwie services i kiedy chem go usunonc ręcznie pisze ze Nie można usunonc servicedmowa dosępu.sSprawdz czy dysk nie jest zapełniony lub chroniony przed zapisem oraz czy plik nie jest aktualnie używany.A jezeli chem go wylonczyc po przez ctr+alt+del to pisze ze to jest krytyczny proces systemu.Menadzer zadan nie moze ukonczyc tego procesu. ;/ niewiem co robic bo mam 2 services jeden z Systemu drugi z Administrator próbowalem usunnc 2 ale to samo pisze przy jednym i drugim a to na 100% key bo skanowalem.. daj odpowiedz plax..

[Uther92]

Ściągnij pocess explorer:
http://www.microsoft.com/technet/sys...sExplorer.mspx
i usuń tek którego lokalizacja to c:/windows/services. e x e

[MakaryGit]

Powiedz co mam usunonc dam screnna i powiedz bo za bardzo nei kumam http://i17.tinypic.com/4qxvfc2.jpg

Go prosze Braciak na kompa chce ;/.

Musze spadac daj odpowiedz potem wszystko zrobie Cya. bedne puzniej albo jutro

[dawid000]

po1
edytuj posty plax

po2
nie mysl ze ktos po 2 minutach odpowie

[MakaryGit]

wiec tak mam keya o nazwie services i kiedy chem go usunonc ręcznie pisze ze Nie można usunonc servicedmowa dosępu.sSprawdz czy dysk nie jest zapełniony lub chroniony przed zapisem oraz czy plik nie jest aktualnie używany.A jezeli chem go wylonczyc po przez ctr+alt+del to pisze ze to jest krytyczny proces systemu.Menadzer zadan nie moze ukonczyc tego procesu. ;/ niewiem co robic bo mam 2 services jeden z Systemu drugi z Administrator próbowalem usunnc 2 ale to samo pisze przy jednym i drugim a to na 100% key bo skanowalem.. daj odpowiedz plax..

Powiedz co mam usunonctym programem który services. dam screnna i powiedz bo za bardzo nei kumam http://i17.tinypic.com/4qxvfc2.jpg Uther92 daj odpowiedz co mam usunonc lub ktos inny znający sie na tym.

[Uther92]

Włącz tryb awaryjny i usuń ten services który jest uruchomiony jako proces administratora. Zabijasz proces a potem usuwasz plik z dysku używając killbox'a.

[MakaryGit]

Jak wlonczyc tryb awaryjny wiem ze jestem noobem bo nie zajmowalem sie tym powiedz jak prosze opisz mi to.

[Uther92]

Przy starcie systemu wciskaj F8. Powinien pokazać ci się ekran gdzie możesz wybrać uruchomienie systemu w trybie awaryjnym.

[MakaryGit]

Ale lipa kiedy bylem w trybie awaryjnym te service sie nie pokazalo tylko 1 service bylo odpalone z systemu a ten key nie byl odplaony bo kiedy wlonczylem ten program co mi dales services bylo zaznaczone na czerwono czyli skladni,k systemu.A tego services od administratora nie byyło.