Keylogger

Sekce věnovaná virům a jiným škodlivým kódům, rovněž ale nástrojům, kterým se lze proti nim bránit…

Moderátoři: Mods_senior, Security team

Odpovědět
tazi6
nováček
Příspěvky: 2
Registrován: květen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Keylogger

Příspěvekod tazi6 » 29 kvě 2006 18:55

Nazdárek, mám takovej problém na PC se usadil Keylogger a nemůžu ho dostat ven. Tady někde na fóru jsem se dočetl, že mám natáhnout MicroWorld a jak mám postupovat a výsledek testu mám dát na fórum, jenže už netuším kam. Tak doufám, že jsem to udělal všechno dobře podle návodu a tady vkládám ta data co to našlo. Pokud to sem nepatří tak se předem omlouvám a prosím o radu co dál. :idea:

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Sun May 28 21:18:14 2006 => ERROR!!! Invalid Entry SMail = "C:\Program Files\Seznam\Postak\Postak.exe" (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.

C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
Sun May 28 21:18:15 2006 => ERROR!!! Invalid Entry BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} = "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe" (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.


Sun May 28 21:18:34 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.

Sun May 28 21:18:42 2006 => Offending Folder found: C:\Documents and Settings\PETR\Dokumenty\práce\skřivan\pošta\se
Sun May 28 21:18:42 2006 => Object "coolwebsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun May 28 21:18:51 2006 => Object "coolwebsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.




Sun May 28 21:22:03 2006 => ***** Scanning complete. *****

Sun May 28 21:22:03 2006 => Total Objects Scanned: 19332
Sun May 28 21:22:03 2006 => Total Critical Objects: 3
Sun May 28 21:22:03 2006 => Total Disinfected Objects: 0
Sun May 28 21:22:03 2006 => Total Objects Renamed: 0
Sun May 28 21:22:03 2006 => Total Deleted Objects: 0
Sun May 28 21:22:03 2006 => Total Errors: 3
Sun May 28 21:22:03 2006 => Time Elapsed: 00:04:10
Sun May 28 21:22:03 2006 => Virus Database Date: 5/28/2006
Sun May 28 21:22:03 2006 => Virus Database Count: 196888

Sun May 28 21:22:03 2006 => Scan Completed.

:evil: :evil:
Nahoru
Reklama
Top
Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:
Kontaktovat uživatele mijaja

Příspěvekod mijaja » 29 kvě 2006 19:30

Ahoj. Neboj se tady jsi vždycky dobře.
K tvému problému:
Stáhni si CWShredder a projeď s ním komp. Měl by odstranit ty záznamy s coolwebsearch.

Ale ve výsledcích mají být 3 řádky s chybami - máš tady jen 2 a potom 3 další řádky se šmejdy - a ten tu máš jen jeden:

C:\Documents and Settings\PETR\Dokumenty\práce\skřivan\pošta\se

Nebo byl to jeden a ten samý třikrát? I to se stává. Raději se ještě podívej. Krom toho ten soubor se jmenuje se? Nebo jsi při kopírování "ustřihl" konec názvu?

Projdi to raději ještě jednou, abychom neudělali jen poloviční práci. Šmejdi se rádi vrací na nedodělanou čistku.

A dej sem pro jistotu i log z HijackThisu.
Nahoru
tazi6
nováček
Příspěvky: 2
Registrován: květen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod tazi6 » 01 čer 2006 18:45

tady je ten log

Logfile of HijackThis v1.99.1
Scan saved at 18:41:48, on 1.6.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Spy Emergency 2005\SpyEmergency.exe
C:\Program Files\FirefoxPreloader\FirefoxPreloader.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\XoftSpy\XoftSpy.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\Documents and Settings\PETR\Plocha\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SMail] "C:\Program Files\Seznam\Postak\Postak.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [SpyEmergency] "C:\Program Files\Spy Emergency 2005\SpyEmergency.exe"
O4 - Global Startup: Firefox Preloader.lnk = C:\Program Files\FirefoxPreloader\FirefoxPreloader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1F831FA2-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Program Files\AutoCAD 2002 Cz\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Ovládací prvek AcDcToday) - file://C:\Program Files\AutoCAD 2002 Cz\AcDcToday.ocx
O16 - DPF: {AE563723-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD 2002 Cz\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Prvek AcPreview) - file://C:\Program Files\AutoCAD 2002 Cz\AcPreview.ocx
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Nahoru
Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:
Kontaktovat uživatele mijaja

Příspěvekod mijaja » 01 čer 2006 19:01

Takže nenašel jsi už v tom logu MWAVu ty zbývající položky? Potom teda předpokládám, že to byly duplikáty těch, které jsi jmenoval. MWAV by ti toho keyloggera našel, takže to bude nejspíše planý poplach. Těmi se vyznačovaly (a proto byly na seznamu škodlivého softu) jak SpyEmergency, tak i XoftSpy. Proto bych od tebe rád věděl, který soft ti toho keyloggera hlásí.
Až na tyhle dva programy (které bych ti doporučil odinstalovat a nainstalovat nějaký lepší) v logu už nic nemáš.

Jen jednu drobnost fixni:
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
Nahoru
Odpovědět

Zpět na “Viry, antiviry, firewally…”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti