Pomóżcie w usunięciu keyloggera.

[Plastex]

Zostałem schackowany po raz 2 w ciągu niecałego miesiąca. Po pierwszym hacku myślałem, że to przez zalogowanie się do Tibii w szkole. Od tamtej pory nie logowałem się w szkole, u kolegów, kafejkach. Nie używam ŻADNYCH programów "pomocniczych"(MC, tibiaGG itp.). Daję zapis skanowania programem "Hijackthis". Będę wdzięczny, jeśli ktoś powie mi, który plik może być keyloggerem. Dodam tylko, że norton antywirus nie wykrywa nic.



Logfile of HijackThis v1.99.1
Scan saved at 08:01:09, on 2005-05-31
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Common Files\Symantec Shared\ccSetMgr*****
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr*****
C:\WINDOWS\Explorer*****
C:\WINDOWS\system32\spoolsv*****
C:\Program Files\Norton AntiVirus\navapsvc*****
C:\WINDOWS\system32\pctspk*****
C:\Program Files\Norton AntiVirus\SAVScan*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Java\j2re1.4.2_05\bin\jusched*****
C:\Program Files\ScanSoft\OmniPageSE\opware32*****
C:\Program Files\CyberLink\PowerDVD\PDVDServ*****
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag*****
C:\Program Files\Common Files\Symantec Shared\ccApp*****
C:\Program Files\QuickTime\qttask*****
C:\Program Files\Winamp\winampa*****
C:\WINDOWS\system32\system*****
C:\WINDOWS\system32\ctfmon*****
C:\Program Files\Messenger\msmsgs*****
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC*****
C:\Program Files\Spybot - Search & Destroy\TeaTimer*****
C:\Program Files\Gadu-Gadu\gg*****
C:\WINDOWS\system32\CAPRPCSK*****
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK *****
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK *****
C:\Program Files\UltimateZip 2.7\uzqkst*****
C:\Program Files\Internet Explorer\iexplore*****
C:\Program Files\Internet Explorer\iexplore*****
C:\Program Files\Internet Explorer\iexplore*****
C:\DOCUME~1\AZB\USTAWI~1\Temp\Katalog tymczasowy 1 dla hijackthis*****\HijackThis*****

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\system32\systemwb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched*****
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32*****
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ*****"
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN. EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag*****" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp*****"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask*****" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa*****
O4 - HKLM\..\Run: [system] C:\WINDOWS\system32\system*****
O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\system32\ctfmon*****
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs*****" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer*****
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg*****" /tray
O4 - Startup: UltimateZip Quick Start.lnk = C:\Program Files\UltimateZip 2.7\uzqkst*****
O4 - Global Startup: Canon LBP-810 Status Window.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK *****
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL*****/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget***** (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget***** (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/...gameloader.cab
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://www.miniclip.com/ricochet/Ref...GameLoader.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{593D420A-9D79-42C7-B02E-4D1B3B2A0E9B}: NameServer = 194.204.152.34 217.98.63.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3331DEF-E41D-49EC-B1DA-2859B3718973}: NameServer = 213.134.128.19,194.204.152.34
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr*****
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc*****
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr*****
O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc*****
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk*****
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan*****
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ*****
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC*****


Nie dzielę z nikim konta, ani nie wchodziłem na strony z darmowym PACCem(mam legalnie kupionego)

[Matek]

Jestes w jakiejs sieci osiedlowej??

Bo w logu nic co mogloby byc kl nie widze.

[Plastex]

Nie, mam modem neostrady.

Zrób może formata albo ściągnij Ad-Adware i sie zaopatrz w fire walla..

[Matek]

Kolega dobrze radzi..

A jak chcesz sie pobawic logiem to zapraszam na forum.mks.com.pl - tam moze pomoga.

Ale na moj zmysl nie masz kl. Widialem tam SpyBoota - one chyba wykrywaja takie *******y

[Nowohucianin]

Nie wiem czy to pomoże,ale może zrób przywracanie systemu

[Maryan]

Pomijajac fakt ze masz niesamowity bajzel w systemie to nie wiem co to za wpisy sa:
C:\WINDOWS\system32\CAPRPCSK*****
C:\WINDOWS\system32\pctspk*****
C:\WINDOWS\system32\system*****


reszta wyglada OK.

[Plastex]

Ściągnąłem Ad-Aware se



Rozwaliło mnie to, że spybot wykrył sam siebie (niestety nie zrobiłem screena) Spróbuję zaraz pousuwać to wszystko i mam nadzieję, że 3 hacka nie będzie

EDIT: Norton jest do d**y. Nie wykrył niczego.

[Warmendes]

Polecam 2 programy które pomogą ci. Jest to Antivir XP i Kerio Personal Firewall.
W firewall'u ustawiasz jakie programy czy tez inny aplikacje mozesz blokować. Blokuje równiez ataki z różnymi priorytetami. Ad-aware nie jest zbyt dobrym programem wg. mnie. Antivir xp + Kerio Personal Firewall = brak wirusów a najwazniejsze hacków

[phoneix]

Zawsze mowie, ze norton jest do dupy.. tym razem tez ogolnie nie ciekawy plik to C:\WINDOWS\system32\system***** ... A co do tego adaware... to zrob jeszcze raz skana ale w trybie awaryjnym, bo normalnie to nie wiele pomoze

[Plastex]

@phoneix
Jak uruchomić w trybie awaryjnym windows XP?

[phoneix]

Uruchamia Ci sie system wciskasz F8 Albo F6

[Maxi skywarien]

I zmien przegladarke na Mozille lub Opere bo na IE jest wiecej virow i niektore sa tylko na IE

[papski]

Cytuj:

Oryginalnie napisane przez phoneix

Zawsze mowie, ze norton jest do dupy..

Chyba ty jestes do dupy
Ja mam norton systemwork 2005, ad-awer se najnowsza wersja, microsoft antyspybot beta1 ( czy jakos tak), spybot serch and destroi najnowszy i sygate firrewall.

P.S. Norton nie wykrywa keylogerow bo ich jeszcze nie mialem

[i00n]

Heh, norton jako teoretycznie najczesciej używany anty-vir jest blokowany przez virusy jesli masz jakies nowe ktorych nie ma w bazie nortona. Jesli sciagniesz najnowsza baze i walniesz jakiegos starszego virka, takiego co blokowal nortona to ci go wykryje, w przeciwnym wypadku straciles nortona do czasu az usuniesz virka jakims innym programem. Nastepnie usuniecnie nortonoa i ponowne go nagranie.

[phoneix]

Cytuj:

Oryginalnie napisane przez papski

Chyba ty jestes do dupy
Ja mam norton systemwork 2005, ad-awer se najnowsza wersja, microsoft antyspybot beta1 ( czy jakos tak), spybot serch and destroi najnowszy i sygate firrewall.

P.S. Norton nie wykrywa keylogerow bo ich jeszcze nie mialem

Po 1 to nie pisze do ciebie wiec nie pyskuj malolacie i dalej kretynie wierz w wszystko co pisza w gazetach ktorym developer nortona placi za to zeby pisac dobre recenzje i wychwalac takie gowno jak norton, a jezeli twoja wiedza na temat kompow ogranicza sie do wlaczenia tibii to zamilcz w tym temacie, bo nawet poprawnie nie umiesz napisac programow z ktorych uzywasz i pewnie nawet nie wiesz co czego polowa z nich sluzy, wiecej mi sie nie chce pisac bo nie warty jestes tego