Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Perfect Keylogger - usunięcie

ninona 11 Jan 2011 19:03 4194 12
  • #1
    ninona
    Level 9  
    Witam,

    kilka dni temu ktoś zainstalował mi Perfect Keyloggera, na program wpadłam przypadkiem - jest to wersja demo i przy każdym uruchomieniu komputera keylogger wysyła mi monit o wprowadzenie numeru seryjnego!! Folder z zainstalowanymi plikami znalazłam. Niestety dostęp do programu zabezpieczony jest hasłem, co uniemożliwia mi sprawdzenie pod jaki adres email wysyłane są logi z mojego komputera. Czy jest możliwość złamania tego hasła? W jaki sposób usunąć całkowicie program?

    załączam log Gmer
    [28-30.06.2022, targi] PowerUP EXPO 2022 - zasilanie w elektronice. Zarejestruj się za darmo
  • Helpful post
    #4
    Adzi31
    Level 22  
    Witaj.
    Przystępujemy do usuwania.

    1. W OTL w pole textowe(własne opcje skanowania/skrypt) wklej:
    Quote:

    :OTL
    PRC - [2010-01-07 15:16:20 | 000,438,272 | ---- | M] () -- C:\Program Files\BPK\bpk.exe
    MOD - File not found -- C:\Windows\System32\mskRniern.dll
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ipinip.sys -- (IpInIp)
    DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\blbdrive.sys -- (blbdrive)
    O4 - HKLM..\Run: [bpk] C:\Program Files\BPK\bpk.exe ()
    O9 - Extra Button: Reg Error: Key error. - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - Reg Error: Key error. File not found
    :reg
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
    :files
    [2011-01-09 23:15:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Keylogger Detector
    [2011-01-09 23:15:08 | 000,000,000 | ---D | C] -- C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Keylogger Detector
    [2011-01-09 23:15:07 | 000,000,000 | ---D | C] -- C:\Program Files\Keylogger Detector
    [2011-01-07 19:27:17 | 000,000,000 | ---D | C] -- C:\Users\Ola\AppData\Roaming\BPK
    [2010-12-17 14:22:04 | 000,000,000 | -H-D | C] -- C:\Program Files\iSafe AllInOne Keylogger
    [2011-01-10 00:43:24 | 000,550,271 | ---- | C] () -- C:\Users\Ola\Desktop\BPK.rar
    C:\Users\Ola\AppData\Local\Temp*.html
    :commands
    [emptytemp]
    [emptyflash]

    Kliknij przycisk "wykonaj skrypt". Poczekaj, aż skrypt zakończy działanie. Zezwól na ponowne uruchomienie. Po ponownym uruchomieniu pokaże się log z usuwania. załącz go w następnym poście.


    2. Wykonaj skan narzędziami:
    Dr. Web Cureit! ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
    oraz
    Malwarebytes Anti-Malware http://www.malwarebytes.org/mbam-download.php

    Usuń to co znalazły.

    3. Zaszczep się przed infekcjami pendrivowymi programem USBfix.
    Podłącz wszystkie media wymienne i w USB fix kliknij vaccinate
    http://www.instalki.pl/programy/download/Windows/antywirusy/UsbFix.html

    4. Wykonaj nowe logi OTL do analizy, ustawienia takie jak wcześniej.

    Pozdrawiam!
  • Helpful post
    #5
    Acorus 20
    Level 43  
    Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

    Quote:
    :OTL

    MOD - File not found -- C:\Windows\System32\mskRniern.dll
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ipinip.sys -- (IpInIp)
    DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\blbdrive.sys -- (blbdrive)
    O9 - Extra Button: Reg Error: Key error. - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - Reg Error: Key error. File not found
    O33 - MountPoints2\{1ec68a2d-835e-11df-abdb-001e37b3ed71}\Shell\AutoRun\command - "" = egmjjb.exe
    O33 - MountPoints2\{1ec68a2d-835e-11df-abdb-001e37b3ed71}\Shell\open\Command - "" = egmjjb.exe
    O33 - MountPoints2\{594287f5-f75a-11df-8af3-001e37b3ed71}\Shell\AutoRun\command - "" = egmjjb.exe
    O33 - MountPoints2\{594287f5-f75a-11df-8af3-001e37b3ed71}\Shell\open\Command - "" = egmjjb.exe
    O33 - MountPoints2\{b24940cc-60b5-11df-846f-001e37b3ed71}\Shell\AutoRun\command - "" = wyskq6lt.exe
    O33 - MountPoints2\{b24940cc-60b5-11df-846f-001e37b3ed71}\Shell\open\Command - "" = wyskq6lt.exe
    O33 - MountPoints2\{efb37d81-f308-11df-b9c0-001e37b3ed71}\Shell\AutoRun\command - "" = egmjjb.exe
    O33 - MountPoints2\{efb37d81-f308-11df-b9c0-001e37b3ed71}\Shell\open\Command - "" = egmjjb.exe
    [2011-01-09 20:17:14 | 001,388,544 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.00A
    [2011-01-09 20:17:14 | 000,326,656 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.00B
    [2011-01-09 20:17:13 | 000,164,112 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.007
    [2011-01-09 20:17:13 | 000,147,728 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.008
    [2011-01-09 20:17:13 | 000,017,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.009
    [2011-01-09 20:17:12 | 000,598,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.006
    [2011-01-09 20:13:23 | 000,326,656 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.005
    [2011-01-09 20:13:22 | 001,388,544 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.004
    [2011-01-09 20:13:22 | 000,598,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.000
    [2011-01-09 20:13:22 | 000,164,112 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.001
    [2011-01-09 20:13:22 | 000,147,728 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.002
    [2011-01-09 20:13:22 | 000,017,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.003

    :Files

    C:\Users\Ola\AppData\Local\Temp*.html

    :Commands
    [emptytemp]


    Kliknij w Wykonaj Skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcieNastępnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
    Pokaż nowy log OTL.txt oraz raport z usuwania.
  • #6
    ninona
    Level 9  
    Dobra, tylko teraz którego "cytatu" mam użyć? Te wszystkie ścieżki niewiele mi mówią poza tym, że widzę między nimi różnicę. Proszę o konkretną informację.
  • Helpful post
    #7
    xE5150
    Level 25  
    Zrób dla obydwóch.

    Drugi jest uzupełnieniem pierwszego.

    Pozdrawiam!
  • #8
    ninona
    Level 9  
    Więc tak:

    01122011_132501 skrypt1.txt - po zrobieniu skryptu za Adzi31

    01122011_133448 skrypt2.txt - po zrobieniu skryptu za Acorus 20

    logi z OTL po wykonaniu skryptów i przeskanowaniu Dr. Web Cureit!
  • Helpful post
    #9
    Adzi31
    Level 22  
    Witaj.
    Super skrypty się wykonały. Usunęło się ponad 5Gb śmieci.

    1. Skopiuj tekst w cytacie do pola w OTL(własne opcje skanowania/skrypt):
    Quote:

    :OTL
    MOD - File not found -- C:\Windows\System32\mskRniern.dll
    DRV - File not found [File_System | Unknown | Running] -- -- (DwProt)
    O9 - Extra Button: Reg Error: Key error. - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - Reg Error: Key error. File not found
    :files
    C:\Users\Ola\AppData\Roaming\BPK
    C:\Program Files\BPK
    C:\Program Files\iSafe AllInOne Keylogger
    C:\Users\Ola\AppData\Roaming\BPK
    :commands
    [emptytemp]
    [emptyflash]

    Naciśnij wykonaj skrypt. Poczekaj, aż się wykona, zezwól na ponowne uruchomienie. Zapisz raport z usuwania.

    2. W OTL użyj opcji sprzątanie.

    3. Zeskanuj system jeszcze Malwarebytes Anti-Malware http://www.malwarebytes.org/mbam-download.php i usuń to co wykryje

    4. Usuń punkty przywracania systemu, aby infekcje tam się nie panoszyły.
    Panel sterowania -> System i konserwacja -> System -> Ochrona systemu -> Odznaczamy dyski objete funkcją przywracania, zatwierdzamy zmiany. Po chwili można tą funkcję ponownie włączyć.

    5. Zaktualizuj system, aplikacje i inne komponenty mające bezpośredni wpływ na bezpieczeństwo. W tej chwili to szwajcarski ser. Instaluj kolejno jeden po drugim:

    Vista Service Pack 1
    Vista Service Pack 2
    Internet Explorer 8
    java
    Adobe Reader X
  • Helpful post
    #10
    Acorus 20
    Level 43  
    Jeszcze poprawiamy.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

    :OTL

    O9 - Extra Button: Reg Error: Key error. - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - Reg Error: Key error. File not found
    [2011-01-09 23:15:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Keylogger Detector
    [2011-01-09 23:15:08 | 000,000,000 | ---D | C] -- C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Keylogger Detector
    [2011-01-09 23:15:07 | 000,000,000 | ---D | C] -- C:\Program Files\Keylogger Detector
    [2011-01-07 19:25:19 | 000,000,000 | ---D | C] -- C:\Program Files\BPK
    [2010-12-17 14:22:04 | 000,000,000 | -H-D | C] -- C:\Program Files\iSafe AllInOne Keylogger
    2011-01-09 22:45:52 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\BPK

    :Commands
    [emptytemp]

    Kliknij w Wykonaj Skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcieNastępnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
    Pokaż nowy log OTL.txt oraz raport z usuwania.
  • #11
    ninona
    Level 9  
    Zrobione.

    analogicznie jak poprzednio:
    skrypt3 - Adzi31
    skrypt4 - Acorus 20
    logi z OTL po wykonaniu skryptów i przeskanowaniu Malwarebytes Anti-Malware
  • Helpful post
    #12
    Acorus 20
    Level 43  
    Teraz to już czyściutko.Jeszcze tylko aktualizacje i będzie super.
  • #13
    ninona
    Level 9  
    W takim razie wielkie dzięki za pomoc :)