Czy mam Keyloggera?

[aripck]

Mój poprzedni temat został usunięty ponieważ został źle zformułowany za co przepraszam. Poniżęj przedstawiam log procesów wykonywanych przez winde. czy w śród nich znajduje się keylogger? jeżeli tak to jak go usunąć?

Cytuj:

Logfile of HijackThis v1.99.1
Scan saved at 17:41:08, on 2007-07-02
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\Explorer*****
C:\WINDOWS\system32\LEXBCES*****
C:\WINDOWS\system32\spoolsv*****
C:\WINDOWS\system32\LEXPPS*****
C:\Program Files\AntiVir PersonalEdition Classic\avguard*****
C:\WINDOWS\SOUNDMAN*****
C:\Program Files\Java\jre1.5.0_06\bin\jusched*****
C:\Program Files\AntiVir PersonalEdition Classic\avgnt*****
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd*****
C:\Program Files\QuickTime\qttask*****
C:\Program Files\iTunes\iTunesHelper*****
C:\Program Files\Lexmark X1100 Series\lxbkbmgr*****
C:\Program Files\Lexmark X1100 Series\lxbkbmon*****
C:\WINDOWS\system32\ctfmon*****
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier*****
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon*****
C:\Program Files\Netropa\Onscreen Display\OSD*****
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv*****
C:\Program Files\AntiVir PersonalEdition Classic\sched*****
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM*****
C:\WINDOWS\system32\nvsvc32*****
C:\WINDOWS\system32\svchost*****
C:\Program Files\iPod\bin\iPodService*****
C:\WINDOWS\system32\wscntfy*****
D:\Gadu-Gadu\gg*****
C:\Program Files\Mozilla Firefox\firefox*****
C:\Program Files\WinRAR\WinRAR*****
C:\Documents and Settings\Admin\Pulpit\HijackThsis*****

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\sw g.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\FlashGet\getflash.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN*****
O4 - HKLM\..\Run: [nwiz] nwiz***** /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched*****
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck*****
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt*****" /min
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd*****
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask*****" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper*****"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32***** C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr*****"
O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\system32\ctfmon*****
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\gg*****" /tray
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier*****
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader*****
O8 - Extra context menu item: Download All by FlashGet - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - D:\FlashGet\jc_link.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL*****/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget*****
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget*****
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs*****
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched*****
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard*****
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService*****
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService*****
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES*****
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv*****
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32*****

[Uther92]

Ogólnie czysto...
Możesz usunąć to:
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck*****
bo to tylko zamula kompa a do niczego pożytecznego nie służy
***
Dla pewności możesz dać logi z silent runners i combofix.

[aripck]

Cytuj:

Oryginalnie napisane przez Uther92

Ogólnie czysto...
Możesz usunąć to:
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck*****
bo to tylko zamula kompa a do niczego pożytecznego nie służy
***
Dla pewności możesz dać logi z silent runners i combofix.

na prawdę mam czysto ? a tak się bałem bo po 1 gdy usuwam ikonke z katalogu głównego internet explorer która uruchamia go ona po kilku sekundach się pojawia z powrotem po 2 gdy prubuje zrobić przywracanie systemu jest to nie możliwe ;/ .
silent runners i combofix- skąd mam to wziąć ?

[Uther92]

IE automatycznie się przywraca..to normalne. Po co go usuwasz O.o ?
combofix-http://www.unicorn.ksiezyc.pl/WWW/instrukcje/combofix.html
silent-http://silentrunners.org/

[aripck]

Cytuj:

Oryginalnie napisane przez Uther92

IE automatycznie się przywraca..to normalne. Po co go usuwasz O.o ?
combofix-http://www.unicorn.ksiezyc.pl/WWW/instrukcje/combofix.html
silent-http://silentrunners.org/

usuwam ie aby zabezpieczyć się przed wysłaniem loga w razie keyloggera.

[Uther92]

Daruj sobie to

[aripck]

Cytuj:

Oryginalnie napisane przez Uther92

Daruj sobie to

dlaczego mam to sobie darować ?inni gdy usuwają ie nie mają problemu. poza tym jeżeli to sobie daruje jestem narażony na możliwość wysłania loga z moimi passami przez ie...

[Uther92]

Passy i tak zostałyby wysłane...

[xoz]

to usun zupełnie za pomocą programu (poszukaj sobie), albo zablokuj IE i Eksploratora na swoim FW

[aripck]

Cytuj:

Oryginalnie napisane przez xoz

to usun zupełnie za pomocą programu (poszukaj sobie), albo zablokuj IE i Eksploratora na swoim FW

gdybyś mi powiedział jak to ZROBIć xD .

p.s. na razie stosuje metodę że wszystkie znaki z klawy mam w pliku notatnika i sobie passy w nim składam kopiuje i wklejam w tibii

[Snib'ek]

Cytuj:

Oryginalnie napisane przez aripck

gdybyś mi powiedział jak to ZROBIć xD .

p.s. na razie stosuje metodę że wszystkie znaki z klawy mam w pliku notatnika i sobie passy w nim składam kopiuje i wklejam w tibii

Wklejanie passów nic nie daje. Jednym dobrym sposobem uniknięcia hacka jest używanie mózgu.