Prosím o kontrolu logu+odstranění programu Home Keylogger

[paul27]

V tom případě toto:

Stáhněte a uložte na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Spusťte aplikaci pod účtem Správce počítače - zavřete všechny spuštěné programy - následuje licenční ujednání, klikněte na Ano - začne se testovat (celá akce trvá cca. 5-10 minut, někdy i trochu déle) - během skenu se nepokoušejte spouštět žádne jiné aplikace a neklikejte do okna ComboFixu - po dokončení se automaticky otevře okno poznámkového bloku s textem (pokud se tak nestane, log je v C:\ComboFix.txt), který sem pomocí známých klávesových zkratek Ctrl + A (označení celého textu) -> Ctrl + C (uložení do jakési schránky) -> Ctrl + V (vložení textu) zkopírujte - a počkejte na další postup

VAROVÁNÍ: Pokud se vám zobrazí "CRITICAL WARNING !!" nesmíte restartovat počítač, o varování napište.
VAROVÁNÍ2: Je možné, že při testu budou různé bezpečnostní programy hlásit neoprávněný pokus o smazání daného souboru či něco jiného. Povolte jejich případné dotazy nebo na dobu scanu úplně vypněte rezidentní modul daného programu.

[Reklama]

[blackina]

ComboFix 08-03-07.4 - xxx 2008-03-08 19:55:30.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1029.18.179 [GMT 1:00]
Running from: C:\Documents and Settings\xxx\Plocha\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\MyWebSearch
C:\WINDOWS\Downloaded Program Files\dtc32.inf
C:\WINDOWS\Downloaded Program Files\egcomservice_pack.inf
C:\WINDOWS\Downloaded Program Files\egdaccess.inf
C:\WINDOWS\Downloaded Program Files\egdhtml.inf
C:\WINDOWS\Downloaded Program Files\nethv32.inf
C:\WINDOWS\Downloaded Program Files\netia32.inf
C:\WINDOWS\Downloaded Program Files\netpe32.inf
C:\WINDOWS\Downloaded Program Files\netslv32.inf
C:\WINDOWS\Downloaded Program Files\one2onesvc.inf
C:\WINDOWS\hosts
C:\WINDOWS\system32\kgfxlpj.dat
C:\WINDOWS\system32\kgfxlpj_nav.dat
C:\WINDOWS\system32\kgfxlpj_navps.dat
C:\WINDOWS\tmlpcert2005
C:\WINDOWS\winmgts
C:\WINDOWS\winmgts\acknowledged.mc2
C:\WINDOWS\winmgts\CompManagerPersist.mc2
C:\WINDOWS\winmgts\OrderPersist.mc2
C:\WINDOWS\winmgts\TimePersist

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\nm


((((((((((((((((((((((((( Files Created from 2008-02-08 to 2008-03-08 )))))))))))))))))))))))))))))))
.

2008-03-08 16:49 . 2002-10-05 10:01 <DIR> d-------- C:\Documents and Settings\Administrator\WINDOWS
2008-03-08 16:49 . 2002-10-05 09:43 <DIR> d--h----- C:\Documents and Settings\Administrator\ćablony
2008-03-08 16:49 . 2002-10-05 09:43 <DIR> d-------- C:\Documents and Settings\Administrator\Plocha
2008-03-08 16:49 . 2002-10-05 09:43 <DIR> d--h----- C:\Documents and Settings\Administrator\Okolnˇ tisk rny
2008-03-08 16:49 . 2002-10-05 09:43 <DIR> d--h----- C:\Documents and Settings\Administrator\Okolnˇ sˇś
2008-03-08 16:49 . 2002-10-05 10:00 <DIR> dr------- C:\Documents and Settings\Administrator\Oblˇben‚ polo§ky
2008-03-08 16:49 . 2002-10-05 09:43 <DIR> dr------- C:\Documents and Settings\Administrator\Nabˇdka Start
2008-03-08 16:49 . 2002-10-05 10:00 <DIR> dr------- C:\Documents and Settings\Administrator\Dokumenty
2008-03-08 16:49 . 2002-10-05 09:43 <DIR> dr-h----- C:\Documents and Settings\Administrator\Data aplikacˇ
2008-03-02 14:00 . 2008-03-02 14:00 <DIR> d-------- C:\Program Files\SUPERAntiSpyware
2008-03-02 14:00 . 2008-03-02 14:00 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-03-02 13:59 . 2008-03-02 14:00 6,342,680 --a------ C:\Program Files\SUPERAntiSpyware.exe
2008-03-01 19:54 . 2008-03-01 19:57 401,720 --a------ C:\HijackThis.exe
2008-02-24 21:49 . 2008-02-24 21:49 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-24 21:49 . 2008-02-24 21:49 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-23 10:35 . 2008-02-23 10:49 <DIR> d-------- C:\Program Files\ICQToolbar
2008-02-18 23:43 . 2003-07-06 14:07 372,736 --a------ C:\WINDOWS\system32\_IJL11.DLL
2008-02-18 19:56 . 2008-02-18 19:57 <DIR> d-------- C:\PROTOKOL
2008-02-17 09:34 . 2008-02-17 09:34 <DIR> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-02-17 09:07 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-02-17 09:07 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-02-17 09:07 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-02-16 15:41 . 2008-02-16 15:41 <DIR> d-------- C:\Program Files\Windows Live
2008-02-16 15:41 . 2008-02-16 15:41 <DIR> d--hsc--- C:\Program Files\Common Files\WindowsLiveInstaller
2008-02-16 15:40 . 2008-02-16 15:40 2,401,808 --a------ C:\WLinstaller.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-08 15:49 328 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2008-02-23 16:27 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-19 18:31 6,481,136 ----a-w C:\Kerio.exe
2008-02-16 14:56 --------- d-----w C:\Program Files\CCleaner
2008-02-11 21:40 --------- d-----w C:\Program Files\Google
2008-02-05 21:10 --------- d-----w C:\Program Files\Alwil Software
2008-02-05 21:09 13,619,248 ----a-w C:\avker_ful.exe
2008-01-31 07:22 --------- d-----w C:\Program Files\MSN Messenger
2008-01-29 15:07 --------- d-----w C:\Program Files\Anonymizer2
2008-01-28 15:50 --------- d-----w C:\Program Files\ESET
2008-01-22 15:19 --------- d-----w C:\Program Files\Lavasoft
2008-01-22 15:16 19,755,376 ----a-w C:\aaw2007.exe
2008-01-20 21:24 --------- d-----w C:\Program Files\Anonymous Browsing
2008-01-20 21:09 371,630 ----a-w C:\anonymousbrowsing.exe
2008-01-20 14:15 1,523,040 ----a-w C:\install_flash_player_active_x.exe
2008-01-07 15:12 1,635,539 ----a-w C:\install99b.exe
2008-01-05 15:49 2,401,808 ----a-w C:\Program Files\WLinstaller.exe
2007-12-30 16:43 2,724,328 ----a-w C:\Program Files\ccsetup203.exe
2007-12-23 15:06 16,413,696 ----a-w C:\Program Files\eav_nt32_csy.msi
2007-02-07 16:47 905 -c--a-w C:\Program Files\RootCERT_NewSica.cer
2006-08-23 19:36 37,518,744 -c--a-w C:\Program Files\iTunesSetup.exe
2006-07-26 22:33 10,310,760 -c--a-w C:\Program Files\SkypeSetup.exe
2006-07-21 19:07 53,874,973 -c--a-w C:\Program Files\zps8_cz.exe
2006-04-18 18:17 10,673,181 -c--a-w C:\Program Files\ndntczst.exe
2006-04-13 20:28 10,181,505 -c--a-w C:\Program Files\nentczst.exe
2006-02-27 15:14 380,517 -c--a-w C:\Program Files\114.exe
2006-01-05 15:49 14,662,208 -c--a-w C:\Program Files\602xml_filler_cz.exe
2005-11-15 19:11 19,968 --sha-w C:\Program Files\Thumbs.db
2005-08-12 11:03 3,451,376 -c--a-w C:\Program Files\pd70ds.exe
2005-07-26 12:42 10,844,936 -c--a-w C:\Program Files\GoogleEarth.exe
2005-06-02 21:27 18,945,765 -c--a-w C:\Program Files\start_ws.exe
2005-06-02 20:46 17,320,607 -c--a-w C:\Program Files\start7902.zip
2005-05-11 15:38 377,205 -c--a-w C:\Program Files\nfsu2cz_v1_1.zip
2004-12-12 11:36 868 -c--a-w C:\Program Files\INSTALL.LOG
2004-09-19 21:02 128,113 -c--a-w C:\Program Files\CSW_SW.exe
2004-08-17 16:06 551,823 -c--a-w C:\Program Files\F1_2002_CZfinal1_7.zip
2004-08-06 21:30 1,605 -c--a-w C:\Program Files\Damokles[1].cz - regist.eml
2004-07-30 20:40 2,855 -c--a-w C:\Program Files\Install.PIF
2004-07-27 14:37 8,471,121 ----a-w C:\Documents and Settings\xxx\CSOB_instalace_31.zip
2004-06-28 10:03 118,480 -c--a-w C:\Program Files\Install.exe
2004-06-04 17:13 701,503 -c--a-w C:\Program Files\sc4cz_v.1.0b_fixed.zip
2004-03-15 20:28 804,679 -c--a-w C:\Program Files\pogo_3.zip
2004-02-08 13:06 15,874 -c--a-w C:\Program Files\fot127crack.zip
2004-01-21 23:00 60,416 -c--a-w C:\Program Files\SETUP.EXE
2004-01-03 12:13 224,192 -c--a-w C:\Program Files\yahoo!_messenger_install.exe
2003-12-05 19:40 45 -c--a-w C:\Program Files\1700_svetopate.ram
2003-12-05 19:38 46 -c--a-w C:\Program Files\1800_svetoseste.ram
2003-12-05 19:18 8,303,800 -c--a-w C:\Program Files\r1p-bbc-en-setup.exe
2003-09-20 10:47 44,302 -c--a-w C:\Program Files\referee130402.zip
2003-06-27 20:44 2,666,582 -c--a-w C:\Program Files\databaseupdatev2.zip
2003-03-07 18:29 777,617 -c--a-w C:\Program Files\setupf.exe
2001-10-25 10:00 94,784 --sh--w C:\WINDOWS\twain.dll
2004-08-17 22:49 50,688 -csh--w C:\WINDOWS\twain_32.dll
2004-08-17 22:49 1,028,096 --sha-w C:\WINDOWS\system32\mfc42.dll
2004-08-17 22:49 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll
2004-08-17 22:49 413,696 --sha-w C:\WINDOWS\system32\msvcp60.dll
2004-08-17 22:49 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-17 23:49 15360]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [ ]
"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968]
"xxxx"="c:\program files\xcqmrwbplq\wbguqvaftpu.exe" [2006-01-17 23:43 1459133]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-07-28 15:19 4841472]
"nwiz"="nwiz.exe" [2003-07-28 15:19 323584 C:\WINDOWS\system32\nwiz.exe]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-06-14 15:24 278528]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-17 23:49 110592 C:\WINDOWS\system32\bthprops.cpl]
"CHotkey"="mHotkey.exe" [2006-12-08 17:01 547840 C:\WINDOWS\mHotkey.exe]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [ ]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 08:21 1443072]
"SystemKey"="" []
"xxxx"="c:\program files\xcqmrwbplq\wbguqvaftpu.exe" [2006-01-17 23:43 1459133]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-17 23:49 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\NetMeeting\\conf.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\ASUS\\WL-330 Utilities\\Discovery330.exe"=
"C:\\Program Files\\ASUS\\WL-330 Utilities\\Wizard.exe"=
"C:\\Program Files\\Internet Explorer\\iexplore.exe"=
"C:\\Program Files\\ICQ\\Icq.exe"=
"C:\\Program Files\\Call of Duty\\CoDMP.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 Defrag32b;Defrag32Boot;C:\WINDOWS\system32\drivers\Defrag32b.sys [2004-10-23 08:01]
R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2007-12-21 08:21]
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-02-20 13:34]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-02-20 13:34]
R1 VIAPFD;VIAPFD;C:\WINDOWS\system32\Drivers\VIAPFD.SYS [2001-12-18 13:45]
R2 Angelnt;Angelnt;C:\WINDOWS\system32\Drivers\ANGELNT.SYS [2005-08-10 16:29]
R2 Defrag32;Defrag32;C:\WINDOWS\system32\drivers\Defrag32.sys [2004-10-23 08:01]
R3 AVMWAN;AVM NDIS WAN CAPI Driver;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-03-19 09:54]
R3 fxpcbase;ISDN@2LINES;C:\WINDOWS\system32\DRIVERS\fxpcbase.sys [2001-03-19 09:54]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-04 07:04]
S2 PDSched;PDScheduler;"C:\Program Files\Raxco\PerfectDisk\PDSched.exe" [2005-01-04 14:59]
S2 r_server;Remote Administrator Service;"c:\Program Files\Radmin\r_server.exe" /service []
S3 ASINDIS5;ASINDIS5 Protocol Driver;C:\WINDOWS\system32\ASINDIS5.SYS [2002-09-10 18:35]
S3 GEMPC430;GEMPLUS GemPC430 USB Smart Card Reader;C:\WINDOWS\system32\DRIVERS\grclass.sys [2001-10-24 10:58]
S3 genmcmn;Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gmfiltr.sys []
S3 gtcdcmdm;GTRAN USB CDC Driver (PID 3196);C:\WINDOWS\system32\DRIVERS\gtusbmdm_gpc6400.sys []
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-08 20:05:12
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0



tady je vysledek z poznamkoveho bloku..... nevim jak dal

[paul27]

Tohle poznáváte?
C:\Program Files\start7902.zip
C:\Program Files\nfsu2cz_v1_1.zip
C:\Program Files\sc4cz_v.1.0b_fixed.zip
C:\Program Files\pogo_3.zip
C:\Program Files\fot127crack.zip

Tohle nechte prosím otestovat na http://www.virustotal.com:
C:\WINDOWS\system32\_IJL11.DLL
C:\avker_ful.exe
C:\install99b.exe
C:\Program Files\zps8_cz.exe
C:\Program Files\114.exe
C:\Program Files\pd70ds.exe
C:\Program Files\start_ws.exe

+ Přesuňte Combofix na plochu (pokud ho tam ještě nemáte) - otevřete si poznámkový blok - do něj zkopírujte text z nasledujícího okna:

Kód: Vybrat vše

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xxxx"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xxxx"=-

Text uložte jako CFScript.txt na plochu - po uložení uchopte vámi vytvořený soubor .txt levým tlačítkem myši a přesuňte jej nad ikonu ComboFixu - nad ikonou ComboFixu soubor .txt upusťte - spustí se ComboFix (možná budete muset znova potvrdit licenční podmínky kliknutím na Ano) - a CF začne znova scanovat, nakonci scanování se pokusí CF smazat zadané soubory či něco jiného, co jsme mu zadali - po provedení akce se opět zobrazí okno poznámkového bloku s textem, který sem zkopírujte a vyčkejte prosím na další rady

[Baron Prášil]

sorry za vstup

Tohle poznáváte?
C:\Program Files\start7902.zip
C:\Program Files\nfsu2cz_v1_1.zip
C:\Program Files\sc4cz_v.1.0b_fixed.zip
C:\Program Files\pogo_3.zip
C:\Program Files\fot127crack.zip

Tohle nechte prosím otestovat na http://www.virustotal.com:
C:\WINDOWS\system32\_IJL11.DLL
C:\avker_ful.exe
C:\install99b.exe
C:\Program Files\zps8_cz.exe
C:\Program Files\114.exe
C:\Program Files\pd70ds.exe
C:\Program Files\start_ws.exe

cracky,fixi- je třeba všechny nelegálně upravené programy odinstalovat
smazat a poté sken mwavem,ale to již nechám na paulovi
(takto by se to mohlo prohánět do nekonečna)