Prawdopodobieństwo posiadania keyloggera

**Posty:** 186 · przez **naffie** 26 Lut 2014, 01:22

Cześć.

Ostatnimi czasy dzieją się dziwne rzeczy.
Prawdopodobnie ktoś wszedł w posiadanie moich haseł a jestem właścicielem serwera więc jest mi to dość niebezpieczne dla mnie.
Skanowałem system Kasperskim (pełna wersja) oraz dzisiaj zainstalowałem Emsisoft Anti-Malware, przeskanowałem system coś tam wykryło ... usunąłem.
Logi z OTLa:
http://wklej.org/id/1283566/
http://wklej.org/id/1283567/

Bardzo proszę o pomoc.
Z góry dziękuję
Naffie

**Posty:** 4765 · przez **ordynat** 26 Lut 2014, 09:05

Większość Keyloggerów jest niewykrywalna, a w logach można zobaczyć tylko nieliczne.
Część Keyloggerów można wykryć używając MBAM http://www.programosy.pl/program,malwarebytes-anti-malware.html lub właśnie Emsisoft Anti-Malware, którego użyłeś.

Usuniemy tylko "zamulacza":
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-03-07 12:11:04 | 000,000,000 | -HSD | M] -- C:\Users\Rafał\AppData\Roaming\wyUpdate AU
O22:64bit: - SharedTaskScheduler: {E31004D1-A431-41B8-826F-E902F9D95C81} - Windows DreamScene - %SystemRoot%\System32\DreamScene.dll File not found
O4 - HKU\S-1-5-21-4171382254-3136029167-686318444-1004..\Run: [Tiny download manager] "C:\Users\Rafał\AppData\Local\DM\TinyDM.exe" /M File not found
O4 - HKLM..\Run: [] File not found
FF - prefs.js..browser.search.defaultenginename,S: S", "WebSearch"
FF - prefs.js..browser.search.defaulturl: "http://websearch.searchbomb.info/?pid=512&r=2013/11/26&hid=6702609989345383553&lg=EN&cc=PL&unqvl=42&l=1&q="
FF - prefs.js..browser.search.order.1: "WebSearch"
FF - prefs.js..browser.search.order.1,S: S", "WebSearch"
FF - prefs.js..browser.search.selectedEngine,S: S", "WebSearch"
FF - prefs.js..keyword.URL: "http://websearch.searchbomb.info/?pid=512&r=2013/11/26&hid=6702609989345383553&lg=EN&cc=PL&unqvl=42&l=1&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: ""

:Reg
[-HKEY_USERS\S-1-5-21-4171382254-3136029167-686318444-1004\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt
.-------------------------------------------------------------------------------------

Error - 2014-02-25 13:59:21 | Computer Name = Rafał | Source = WinMgmt | ID = 10
Description =

>>http://support.microsoft.com/kb/2545227/en-us
Uruchom narzędzie Fix-it:
Link zapasowy > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi
(kliknij przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonaj kroki w kreatorze Fix.it. )

Autor postu otrzymał pochwałę

**Posty:** 186 · przez **naffie** 27 Lut 2014, 14:28

Log z usuwania OTL tutaj: http://wklej.org/id/1284740/.
Za co odpowiedzialny jest ten error?

"Error - 2014-02-25 13:59:21 | Computer Name = Rafał | Source = WinMgmt | ID = 10
Description = "

Użyłem Fixita - skrypt wykonany poprawnie.
Zaraz zainstaluję MBAMa.
Polecasz jakiś drobry firewall który będzie pytał się mnie/blokował wysyłanie e-maili/plików na jakiegoś FTPa?
Co jeszcze mogę zrobić żeby sie zabezpieczyć?

Dodano Dzisiaj, 13:44:
+ Log po skanowaniu MBAMem: http://wklej.org/id/1284753/

**Posty:** 4765 · przez **ordynat** 27 Lut 2014, 17:56

Za co odpowiedzialny jest ten error?

To tylko błąd spowodowany przez jedną z aktualizacji Systemu.
.