|
Pomóżcie w usunięciu keyloggera.
Zostałem schackowany po raz 2 w ciągu niecałego miesiąca. Po pierwszym hacku myślałem, że to przez zalogowanie się do Tibii w szkole. Od tamtej pory nie logowałem się w szkole, u kolegów, kafejkach. Nie używam ŻADNYCH programów "pomocniczych"(MC, tibiaGG itp.). Daję zapis skanowania programem "Hijackthis". Będę wdzięczny, jeśli ktoś powie mi, który plik może być keyloggerem. Dodam tylko, że norton antywirus nie wykrywa nic.
Logfile of HijackThis v1.99.1 Scan saved at 08:01:09, on 2005-05-31 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss***** C:\WINDOWS\system32\winlogon***** C:\WINDOWS\system32\services***** C:\WINDOWS\system32\lsass***** C:\WINDOWS\system32\svchost***** C:\WINDOWS\System32\svchost***** C:\Program Files\Common Files\Symantec Shared\ccSetMgr***** C:\Program Files\Common Files\Symantec Shared\ccEvtMgr***** C:\WINDOWS\Explorer***** C:\WINDOWS\system32\spoolsv***** C:\Program Files\Norton AntiVirus\navapsvc***** C:\WINDOWS\system32\pctspk***** C:\Program Files\Norton AntiVirus\SAVScan***** C:\WINDOWS\System32\svchost***** C:\Program Files\Java\j2re1.4.2_05\bin\jusched***** C:\Program Files\ScanSoft\OmniPageSE\opware32***** C:\Program Files\CyberLink\PowerDVD\PDVDServ***** C:\Program Files\Thomson\SpeedTouch USB\Dragdiag***** C:\Program Files\Common Files\Symantec Shared\ccApp***** C:\Program Files\QuickTime\qttask***** C:\Program Files\Winamp\winampa***** C:\WINDOWS\system32\system***** C:\WINDOWS\system32\ctfmon***** C:\Program Files\Messenger\msmsgs***** C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC***** C:\Program Files\Spybot - Search & Destroy\TeaTimer***** C:\Program Files\Gadu-Gadu\gg***** C:\WINDOWS\system32\CAPRPCSK***** C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK ***** C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK ***** C:\Program Files\UltimateZip 2.7\uzqkst***** C:\Program Files\Internet Explorer\iexplore***** C:\Program Files\Internet Explorer\iexplore***** C:\Program Files\Internet Explorer\iexplore***** C:\DOCUME~1\AZB\USTAWI~1\Temp\Katalog tymczasowy 1 dla hijackthis*****\HijackThis***** R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\system32\systemwb.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched***** O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32***** O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ*****" O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN. EXE O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag*****" /icon O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp*****" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask*****" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa***** O4 - HKLM\..\Run: [system] C:\WINDOWS\system32\system***** O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\system32\ctfmon***** O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs*****" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer***** O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg*****" /tray O4 - Startup: UltimateZip Quick Start.lnk = C:\Program Files\UltimateZip 2.7\uzqkst***** O4 - Global Startup: Canon LBP-810 Status Window.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK ***** O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL*****/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget***** (file missing) O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget***** (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs***** O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs***** O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/...gameloader.cab O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://www.miniclip.com/ricochet/Ref...GameLoader.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{593D420A-9D79-42C7-B02E-4D1B3B2A0E9B}: NameServer = 194.204.152.34 217.98.63.164 O17 - HKLM\System\CCS\Services\Tcpip\..\{B3331DEF-E41D-49EC-B1DA-2859B3718973}: NameServer = 213.134.128.19,194.204.152.34 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr***** O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc***** O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr***** O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc***** O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk***** O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan***** O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ***** O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC***** Nie dzielę z nikim konta, ani nie wchodziłem na strony z darmowym PACCem(mam legalnie kupionego) |
Jestes w jakiejs sieci osiedlowej??
Bo w logu nic co mogloby byc kl nie widze. |
Nie, mam modem neostrady.
|
Zrób może formata albo ściągnij Ad-Adware i sie zaopatrz w fire walla..
|
Kolega dobrze radzi..
A jak chcesz sie pobawic logiem to zapraszam na forum.mks.com.pl - tam moze pomoga. Ale na moj zmysl nie masz kl. Widialem tam SpyBoota - one chyba wykrywaja takie *******y |
Nie wiem czy to pomoże,ale może zrób przywracanie systemu
|
Pomijajac fakt ze masz niesamowity bajzel w systemie to nie wiem co to za wpisy sa:
C:\WINDOWS\system32\CAPRPCSK***** C:\WINDOWS\system32\pctspk***** C:\WINDOWS\system32\system***** reszta wyglada OK. |
Ściągnąłem Ad-Aware se
http://i3.photobucket.com/albums/y56...skanowanie.bmp http://i3.photobucket.com/albums/y56/plasteks/lista.jpg Rozwaliło mnie to, że spybot wykrył sam siebie :) (niestety nie zrobiłem screena) Spróbuję zaraz pousuwać to wszystko i mam nadzieję, że 3 hacka nie będzie EDIT: Norton jest do d**y. Nie wykrył niczego. |
Programy
Polecam 2 programy które pomogą ci. Jest to Antivir XP i Kerio Personal Firewall.
W firewall'u ustawiasz jakie programy czy tez inny aplikacje mozesz blokować. Blokuje równiez ataki z różnymi priorytetami. Ad-aware nie jest zbyt dobrym programem wg. mnie. Antivir xp + Kerio Personal Firewall = brak wirusów a najwazniejsze hacków :) |
Zawsze mowie, ze norton jest do dupy.. tym razem tez ogolnie nie ciekawy plik to C:\WINDOWS\system32\system***** ... A co do tego adaware... to zrob jeszcze raz skana ale w trybie awaryjnym, bo normalnie to nie wiele pomoze
|
@phoneix
Jak uruchomić w trybie awaryjnym windows XP? |
Uruchamia Ci sie system wciskasz F8 Albo F6 :]
|
I zmien przegladarke na Mozille lub Opere bo na IE jest wiecej virow i niektore sa tylko na IE
|
Cytuj:
Ja mam norton systemwork 2005, ad-awer se najnowsza wersja, microsoft antyspybot beta1 ( czy jakos tak), spybot serch and destroi najnowszy i sygate firrewall. P.S. Norton nie wykrywa keylogerow bo ich jeszcze nie mialem |
Heh, norton jako teoretycznie najczesciej używany anty-vir jest blokowany przez virusy jesli masz jakies nowe ktorych nie ma w bazie nortona. Jesli sciagniesz najnowsza baze i walniesz jakiegos starszego virka, takiego co blokowal nortona to ci go wykryje, w przeciwnym wypadku straciles nortona do czasu az usuniesz virka jakims innym programem. Nastepnie usuniecnie nortonoa i ponowne go nagranie.
|
Cytuj:
|
| Wszystkie czasy podano w strefie GMT +2. Teraz jest 08:32. |
Powered by vBulletin 3