Log win 7 po keylogger.

[gorni]

Miałem na swoim kompie keyloggera. wykasowałem go po kilku godzinach studiowania forum. prawdopodobnie pomógł combofix. Teraz proszę o sprawdzenie logów po tym zabiegu czy to się udało, i czy po za tym wszystko jest ok, Dodam że jako antywirusa używałem Kaspersky (trial) i keylogger nie został wykryty, po skończeniu licencji używam AVG. polecono mi użycie MBAM. wykrył 24 zagrożenia które skasował, to nie pomogło na keylogger. Na koniec użyłem Combofix. i teraz nic nie widzę. Jak widać użyłem wielu programów i wiele skasowałem i stąd prośba o sprawdzenie logów.

niżej dodam kolejno logi jak w instrukcji

http://www.wklej.org/id/334225/


http://www.wklej.org/id/334227/


http://www.wklej.org/id/334229/

[wojtas]

Combofixa sami nie używamy...

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
PRC - [2009/10/10 20:19:30 | 000,090,195 | ---- | M] (Sver) -- C:\Windows\System32\oiomgujjh.exe
PRC - [2006/11/21 20:19:17 | 002,178,603 | ---- | M] (Indexer) -- c:\Program Files\Ageymbbdjdjhbp\oiomgujj.exe
SRV - [2009/10/10 20:19:30 | 000,090,195 | ---- | M] (Sver) [Auto | Running] -- C:\Windows\System32\oiomgujjh.exe -- (xleortlrwqjdan)
IE - HKU\S-1-5-21-604524677-2708395862-3557633927-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.mywebsearch.com/index.jhtml?n=77C09F4F&ptnrS=GRman000&ptb=25IhVnxLGUrQ3kGJw7lxqg
IE - HKU\S-1-5-21-604524677-2708395862-3557633927-1000\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll ()
FF - prefs.js..browser.search.selectedEngine: "MyWebSearch"
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.3
FF - prefs.js..extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.1
FF - prefs.js..extensions.enabledItems: {3f963a5b-e555-4543-90e2-c3908898db71}:9.0.0.783
FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRman000&ptb=25IhVnxLGUrQ3kGJw7lxqg&psa=&ind=2010050811&ptnrS=GRman000&si=&st=kwd&n=77cef0fb&searchfor="
FF - HKLM\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\1.bin File not found
FF - HKLM\software\mozilla\Firefox\Extensions\\avg@igeared: C:\Program Files\AVG\AVG9\Toolbar\Firefox\avg@igeared [2010/05/10 21:00:08 | 000,000,000 | ---D | M]
O2 - BHO: (AVG Security Toolbar BHO) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll ()
O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll ()
O3 - HKU\S-1-5-21-604524677-2708395862-3557633927-1000\..\Toolbar\WebBrowser: (AVG Security Toolbar) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll ()
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
@Alternate Data Stream - 201 bytes -> C:\ProgramData\Temp:8927A071
@Alternate Data Stream - 151 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:ABE89FFE

:Files
C:\Users\BURCZOCZEK\AppData\Roaming\Mozilla\FireFox\Profiles\ke0oyuef.default\searchplugins\mywebsearch.xml
C:\Program Files\AVG\AVG9\Toolbar
C:\Users\BURCZOCZEK\AppData\Local\AVG Security Toolbar
C:\ProgramData\AVG Security Toolbar
C:\Users\BURCZOCZEK\AppData\Local\Tempc*.html
c:\Program Files\Ageymbbdjdjhbp

:Commands
[emptytemp]

[emptyflash]
[clearallrestorepoints]

Kliknij w Run Fix. I potwierdź reset kompa .

Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia komputera i jak masz to log z Combofixa .. ale gdy niby CI pomógł. czyli coś usunął chcę zobaczyć co.

[gorni]

to jest log po który się pojawił po wklejeniu tego co wysłałeś.


http://www.wklej.org/id/334715/

to jest log OTL z Run skanu.


http://www.wklej.org/id/334724/

nie mam tego logu z combofix nie wiem czy gdzieś się zapisał.

ale keylogger jest nadal. znika jak coś zrobię. a po resecie pojawia się znowu.

[wojtas]

te plik/i :

C:\Windows\System32\Rezip.exe

przeskanuj tu
http://virusscan.jotti.org/
http://www.virustotal.com/

i daj raporty ze skanow w następnym poście

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
@Alternate Data Stream - 201 bytes -> C:\ProgramData\Temp:8927A071
MOD - File not found -- C:\Windows\System32\msrunkerk.dll

:Files
C:\Windows\System32\oiomgujjh.exe
C:\Windows\System32\yk62x86.dll
C:\Windows\System32\drivers\yk62x86.sys
C:\Users\BURCZOCZEK\AppData\Local\Temp*.html

:Services
yksvc
xleortlrwqjdan
yukonw7

:Commands
[emptytemp]

Kliknij w Run Fix. I potwierdź reset kompa .

Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia komputera + log z Gmera

[gorni]

skanery nic nie wykazały w obu 0 zagrożeń.

po OTL http://www.wklej.org/id/334762/


z OTL http://www.wklej.org/id/334764/


UWAGA!
nie mogę użyć GMER. Odpalam go i wyskakuje ze zostały dokonane zmiany pokazuje 4 podświetlone linijki (pliki) i ładuje dalej. po ok 2 min wyskakuje błąd i komp się resetuje.

a key loger nadal jest. Jak mam skasować tego keylogera? mogę go odinstalować bo jest w panelu sterowania. Ale chce hasło a hasła nie znam. Kiedyś się bawiłem w key log, ale żadne z moich haseł nie działa. Powiedz mi czy jak zrobię odzyskiwanie systemu z Samsung Recovery Solution 4 czy to pomoże? Czy jakiekolwiek rokity i etc zostana gdzieś?

[wojtas]

spróbuj Gmera odpalić w awaryjnym... jak nie to Zamiast Gmera spróbuj zamiennie wykonać log z Root Repeal

Daj loga z Combofixa

[gorni]

COMBOFIX

http://www.wklej.org/id/334792/

GMER

http://www.wklej.org/id/334798/

[wojtas]

Otworz notatnik i wklej w nim to:

File::
c:\windows\System32\oiomgujjh.exe
C:\windows\System32\oiomgujjh.exe
c:\windows\System32\mswcnooee.dll
c:\windows\System32\mswcnooee.dll

Folder::
c:\program files\ageymbbdjdjhbp

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost]
"netsvcs"=-
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,54,00,65,00,72,00,6d,\
00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,\ 73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,\
00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,\
6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,78,00,6d,00,6c,\
00,70,00,72,00,6f,00,76,00,00,00,77,00,73,00,63,00,73,00,76,00,63,00,00,00,\
57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,00,00,00

Driver::
AVG Security Toolbar Service

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Rozpocznie się usuwanie i powstanie log daj go.

Autor postu otrzymał pochwałę

[gorni]

mistrzu z tym logiem coś jest nie halo, Zrobiłam tak jak napisałeś, ale mój system ześwirował zupełnie, nic nie dało się zrobić ani zczytać loga ani nic, był tylko kosz i jak by tryb awaryjny, musiałem zrobić odzyskiwanie. Nie wiem czy to ma sens wogóle. Chyba zrobię mu odzyskanie systemu od pierwotności,

[wojtas]

daj jeszcze raz log z COmbofixa... a czy masz podejrzenia co do folderów / plików od keylogera ?

[gorni]

bo wiesz, ogólnie to komp się sprawuje wporządku. Tylko ta ikona keylogera mnie wkurza, wiem jak w paelu go odistalować, ale on chce hasło zeby go wywalić a ja go nie znam, a z tych co używam zawsze to żadne nie pasuje

[wojtas]

to podaj w następnym poście loga , + scieżki dostępów do tego co chcesz usunąć...

[gorni]

dobra prezes. Najpierw zrobie odzyskiwanie systemu. zrobiłem kiedyś kopie zapasową, zobaczę co to z działa, a później będziemy myśleć czy da się cokolwiek jeszcze zrbroić. Narazie dziękuje za pomoc.