Reczne usuwanie keyloggerów

[xemmoe]

Witam
Chciałbym się dowiedzieć jak wykryć ręcznie keyloggera.
tzn. nie chodzi mi o linki do programów typu ad-aware albo spybot bo już je mam. Słyszałem cos o pliku svhost***** i dlatego prosze dowiadczonych użytkowników ( moderatorzy mile widziani ) o wytłumaczenie co i jak.
Jeśli komuś zależy to moje wkleić co wykrył HijackThis.
Czy możliwe jest wykrycie każdego keyloggera nawet " samoróbkę "???

Z góry dziękuje za pomoc

[Sasek62]

Jeśli masz wina Xp to wlacz alt+ctrl+del i daj procesy jak pamietasz nazwe keyloggera to ten proces wylaczaj a jak nie to wylaczaj wszyskie oprocz EXPLORER***** i procesy zarejestrowane na Usługe Lokalną SYSTEM Usługe Sieciową

[Patimrok]

ekhem mój kolega z rl o tym napisał : http://forum.tibia.pl/showthread.php?t=12814
a jak nie chce się zaglądać przepisałem :

Cytuj:

Oryginalnie napisane przez Igomas of Heavy Magic

3.Naprawa Reczna

-Nie wiem dokladnie czy jest ten plik na windowsie 98 ale mozna sprobować.

Zaczynamy od wejscia w menu start,wyszukaj.TAm wyszukaj pliku svchost***** pod ktory najcześciej podszywaja sie keylogery.

Orginalny plik svchost***** znajduje sie w folderze windows\system32\
Z tego co pamietam ten plik obsluguje internet
W kazdym razie jak wyszuka ci wiecej niz ten wlasnie jeden plik...reszte wykasuj.JA mialem przyklad ze mialem 3 podejrzliwe pliki. 2 jakies tam dlugie z cyframi i jeden o ikonie gry tibi.Odrazu usunołem i sa skutki.Nie mam hacka.Jeśli to wam nie wyjdzie pozostaje ostatnia opcja....

[Rafi_ten]

Cytuj:

Oryginalnie napisane przez Sasek62

Jeśli masz wina Xp to wlacz alt+ctrl+del i daj procesy jak pamietasz nazwe keyloggera to ten proces wylaczaj a jak nie to wylaczaj wszyskie oprocz EXPLORER***** i procesy zarejestrowane na Usługe Lokalną SYSTEM Usługe Sieciową

kiedys sam tak robilem...ale to zmudna robota, ja po prostu znalzlem zrodlo keyloggera i po prostu usuonalem ^^

[xemmoe]

Użyłem opcji szukaj i oto co mi wykryło:

svchost C:\WINDOWS\system32 rozmiar: 13 KB Aplikacja

SVCHOST*****-353OF672.pf C:\WINDOWS\Prefetch rozmiar: 37KB plik pf

svchost C:\WINDOWS\SoftwareDistribut... rozmiar: 14 KB Aplikacja


Ten svchost***** cos mi sie nie podoba.
A wy co o tym sądzicie???

[Patimrok]

nie wiem nie znam się na tym, ale podałem link a jak nie to sie spytam koleżki i później zamieszcze odpowiedź

[Earl]

Z keylogami to jest tak ze musza sie same uruchamiac... Czyli robisz 3 rzeczy: sprawdzasz zawartosc menu Start>Programy>Autostart (male szanse ze tam bedzie), sprawdasz plik autoexec.bat (tam sa listy plikow ktore sie uruchamiaja przy starcie systemu. sprawdz czy ostatnie pare linijek nie jest jakies podejrzane) i autostart w rejestrze (nie pamietam jaki dokladnie adres ale powinienes znalesc). Jesli gdziekolwiek w tych 3 miejscach bedzie jakis plik niedawno utworzony o podejrzanej nazwie ew. w podejrzanym miejscu usun go po prostu.....

Ew. wlacz tibie wpisz jakies fikcyjne accnum i pass i sprawdz w dosie poleczenia z netem (najlepiej wylacz ie, gg, outlook i wszystko co moze korzystac z sieci oprocz tibii)... jesli bedzie cos wiecej sie laczyc (keylogg musi wyslac twoje dane do autora) to na 99% to jest podejrzany plik.

[Wexerh]

Tak sie sklada ze interesuje sie hackingiem nie tam jakies hackowanie kont czy cos tylko tak "naukowo" Keylogery sa przerozne ale najczesciej uzywany jest "Perfect Keylogger" jest to bardzo sprytny k log mozna go tak skonfigurowac ze nie pokazuje sie w trayu nie ma go w liscie dodaj usun programy niema go w tzw. "ctrl+alt+del" ani w menu start jedynym sposobem pozbycia sie keylogera jest zainstalowanie pozadnego Firewalla/Anty trojana(?) jezeli bedzie keyloger chcail wyslac logi z twojego komputera na mail podany przez hacekra "Dobry" Keylogermowinnien to weychwycic i podac sciezke pliku wedy nalezy sobie zapisac idelete z Szitem

[MayGyver]

a ja mam taka prosbe i rade jednoczesnie

przestancie pisac bzdury na forum
ktos cos gdzies zaslyszal i powtarza glupoty jeden za drugim

svchost***** jest plikiem systemowym
odpowiedzialnym za zarzadzanie bibliotekami
zacznijcie korzystac z google
http://www.liutilities.com/products/...brary/svchost/
i przestancie pieprzyc glupoty

bo az slabo mi sie robi jak czytam wasze posty

[Rikimaru]

Cytuj:

Oryginalnie napisane przez Wexerh

Tak sie sklada ze interesuje sie hackingiem nie tam jakies hackowanie kont czy cos tylko tak "naukowo" Keylogery sa przerozne ale najczesciej uzywany jest "Perfect Keylogger" jest to bardzo sprytny k log mozna go tak skonfigurowac ze nie pokazuje sie w trayu nie ma go w liscie dodaj usun programy niema go w tzw. "ctrl+alt+del" ani w menu start jedynym sposobem pozbycia sie keylogera jest zainstalowanie pozadnego Firewalla/Anty trojana(?) jezeli bedzie keyloger chcail wyslac logi z twojego komputera na mail podany przez hacekra "Dobry" Keylogermowinnien to weychwycic i podac sciezke pliku wedy nalezy sobie zapisac idelete z Szitem

Za przeproszeniem interesowujesz się to nie znaczy że się znasz to że się keylog nie pokazuje, czy inny vir to tak dało się zrobić pod windows 98, w xp głowy bym już za to nie dał a zreszta wystarczy start/uruchom/msconfig i tam macie wszystko co wam się odpala na kompie

[xemmoe]

Thx Wam za odpowiedz ale chciałbym się dowiedzieć na ten temat coś więcej.
Nie chodzi mi tylko o plik svchost***** ale o gólnie o sposobach ręcznego sprawdzania

[MayGyver]

najlepiej:

zainstalowac windowsa i wyeksportowac sobie rejestr do pliku

codziennie porownywac sobie wpisy w rejestrze z tymi w pliku
i usuwac te podejrzane

zycze milej zabawy

[xemmoe]

[quote=xemmoe]

svchost C:\WINDOWS\system32 rozmiar: 13 KB Aplikacja

SVCHOST*****-353OF672.pf C:\WINDOWS\Prefetch rozmiar: 37KB plik pf

svchost C:\WINDOWS\SoftwareDistribut... rozmiar: 14 KB Aplikacja


A co o tym sądzicie? Czy tu jest coś co powinienem usunąć?

[MayGyver]

chyba wyraznie napisalem ze jest to plik systemowy?
nie wolno usuwac plikow systemowych bo komp sie nie uruchomi


> svchost C:\WINDOWS\system32 rozmiar: 13 KB Aplikacja
glowny plik - nie usuwac

> SVCHOST*****-353OF672.pf C:\WINDOWS\Prefetch rozmiar: 37KB plik pf
ten plik umozliwia szybsze uruchomienie programu svchost
ogolnie pliki w tym katalogu (prefetch) umozliwiaja szybsze uruchamianie programow
nie usuwac

> svchost C:\WINDOWS\SoftwareDistribut... rozmiar: 14 KB Aplikacja
podaj pelna sciezke dostepu bo nie wiem co to jest
ale na 90% nie usuwac

[xemmoe]

Mówcie co chcecie ale modek zawsze potrzebny

C:\WINDOWS\SoftwareDistribution\Download\3f3d38e16 37fbcfdbb17ecba0d67fa56

to pełna nazwa tego pliku

Aha i jeszcze jedno: czy jesli chodze tylko po tibia.pl i nie sciagam nic to jest możliwośc złapania keyloggera??
Sorry za takie pytania...

[MayGyver]

zostaw ten plik

tak, jest mozliwosc zlapania keyloggera, jesli tylko wchodzisz na strone tibia.pl
i nie dlatego ze strona zawiera keyloggery

slyszales o wirusie sasser?

wchodzi do systemu poprzez dziury, i nie musisz nic sciagnac zeby go zlapac

wystarczy lekko zmodyfikowac takiego wirusa i okaze sie ze zamiast niszczyc dane bedzie pobieral plik z zewnatrz, ktory bedzie keyloggerem

i to wszystko moze sie stac w 30 sekund od podlaczenia sieci/internetu do komputera
bez pobierania jakichkolwiek plikow z zewnatrz czy nawet bez wchodzenia na strone

[xemmoe]

Wielkie dzieki MayGyver!!
A co do sassera to miałem nie lada przygode bo jeszcze nic wtedy o wirusach nie wiedzialem

[Command&Conquer]

Witam, mam pewien problem, dosc mocny. Sciagnalem plik Tibia 7.6 ze strony www.tibia.org.pl, okazalo sie ze plik ten zajmuje cale 256kB, i co gorsze gdy sie na niego wchodzi to wyswietla sie jakas aplikacja w oknie dos i koniec wylacza sie. Probowalem go usunac zwyczajnie... nie da sie, odmowa dostepu, zarzucilem tryb awaryjny, tez kiszka, wiec sie zdenerwowalem i sciagnalem kilka(3) programy do usuwania takich scierw(za przeproszeniem), niestety zaden go nie wykryl ani nie zabil... Mam pytanie, czy moze wiecie co z tym zrobic? Oczywiscie poki co format nie wchodzi w gre... Proszę w miare mozliwosci o pomoc.

[Mysterious Flash]

@up,
No widzisz.
Nigdy nie sciągaj syfów z org.pl
Przestroga na przyszłość. Sam szukałem tibi 7.6 do ots była potrzebna, nigdzie nie mogłem znaleśc, to kolega przesłał przez email.