Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Keylogger - jak z nim walczyć?

oskarceb 08 Wrz 2015 16:29 615 8
  • #1 08 Wrz 2015 16:29
    oskarceb
    Poziom 10  

    Witam!
    Dołączając na kanał Team Speaka, program kazał mi pobrać dźwięki 3D.
    Po pobraniu żadne okienko nie wyskakiwało i od teraz przy każdym włączeniu komputera sądzę, że ten program działa, ponieważ nic nie robiąc na komputerze kręci mi się kółeczko przy myszce, które oznacza ładowanie.
    Wynikiem pobrania programu było utracenie przeze mnie konta Steam.
    Próbowałem wyłączyć program przy uruchomieniu, ale nic nie działa (za pomocą msconfig). W programach do usunięcia posiadam także 2 programy, których nie da się usunąć.
    Komputer skanowałem antywirusem.

    Proszę o pomoc i przepraszam za jakiekolwiek błędy. :)

    0 8
  • CControls
  • Pomocny post
    #2 08 Wrz 2015 19:52
    Acorus 20
    Spec od komputerów

    Odinstaluj BorderlineFunc. Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {80FD58D5-DF6B-4450-8E84-6704C0ED6222} - System32\Tasks\Superclean => c:\programdata\{f33f4238-c430-7d62-f33f-f4238c4308e3}\hqghumeaylnlf.exe [2014-08-19] (Super PC Tools Ltd) <==== UWAGA
    Task: {8265BD51-DCEF-4B12-97F2-AACC05A97156} - System32\Tasks\{C8930296-E3F7-41CE-BC63-48AA056A8699} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe"
    Task: {F85B12C5-0957-4F74-B81A-F60F0CC0CEDC} - System32\Tasks\ROC_JAN2013_TB_rmv => C:\Program Files (x86)\AVG Secure Search\PostInstall\ROC.exe
    Task: C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files (x86)\AVG Secure Search\PostInstall\ROC.exe
    Task: C:\Windows\Tasks\Superclean.job => c:\programdata\{f33f4238-c430-7d62-f33f-f4238c4308e3}\hqghumeaylnlf.exe <==== UWAGA
    AlternateDataStreams: C:\ProgramData:NT
    AlternateDataStreams: C:\ProgramData:NT2
    AlternateDataStreams: C:\Users\All Users:NT
    AlternateDataStreams: C:\Users\All Users:NT2
    AlternateDataStreams: C:\Users\admin\Dane aplikacji:NT
    AlternateDataStreams: C:\Users\admin\Dane aplikacji:NT2
    AlternateDataStreams: C:\Users\admin\AppData\Roaming:NT
    AlternateDataStreams: C:\Users\admin\AppData\Roaming:NT2
    AlternateDataStreams: C:\ProgramData\Application Data:NT
    AlternateDataStreams: C:\ProgramData\Application Data:NT2
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT2
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2
    HKLM-x32\...\Run: [mbot_pl_15] => [X]
    HKLM-x32\...\Run: [] => [X]
    HKLM-x32\...\Run: [7ec5fdd1bd40c0e735c83246220080ae] => C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7ec5fdd1bd40c0e735c83246220080ae.exe [327680 2015-09-08] ()
    HKU\S-1-5-21-1927311190-1982247293-312604582-1000\...\Run: [7ec5fdd1bd40c0e735c83246220080ae] => C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7ec5fdd1bd40c0e735c83246220080ae.exe [327680 2015-09-08] ()
    ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\admin\AppData\Local\MEGAsync\ShellExtX64.dll Brak pliku
    ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\admin\AppData\Local\MEGAsync\ShellExtX64.dll Brak pliku
    ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\admin\AppData\Local\MEGAsync\ShellExtX64.dll Brak pliku
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku




    ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku
    ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\admin\AppData\Local\MEGAsync\ShellExtX32.dll Brak pliku
    ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\admin\AppData\Local\MEGAsync\ShellExtX32.dll Brak pliku
    ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\admin\AppData\Local\MEGAsync\ShellExtX32.dll Brak pliku
    Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7ec5fdd1bd40c0e735c83246220080ae.exe [2015-09-05] ()
    CHR HKLM\SOFTWARE\Policies\Google: Zasada ograniczeń <======= UWAGA
    CHR HKU\S-1-5-21-1927311190-1982247293-312604582-1000\SOFTWARE\Policies\Google: Zasada ograniczeń <======= UWAGA
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\.DEFAULT -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=14218496...;uid=st31000524as_9vpcr439xxxx9vpcr439&q={searchTerms}
    SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    FF SearchEngineOrder.1: V9
    FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\5p05ghgc.default\extensions\deskCutv2@gmail.com
    S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
    S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
    U3 a4p7ophp; Brak ImagePath
    S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
    S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
    S3 hamachi; system32\DRIVERS\hamachi.sys [X]
    S4 NVHDA; system32\drivers\nvhda64v.sys [X]
    S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X]
    S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
    S3 PCAMPR4; \??\C:\Windows\system32\PCAMPR4.SYS [X]
    S3 PCANDIS4; \??\C:\Windows\system32\PCANDIS4.SYS [X]
    2015-09-08 12:11 - 2015-09-08 15:12 - 00000000 ____D C:\Program Files (x86)\DNS Unlocker
    2015-08-20 14:30 - 2015-08-30 17:51 - 00000000 ____D C:\Program Files (x86)\ReactorExtender
    2015-08-19 12:11 - 2015-09-08 12:11 - 00000340 _____ C:\Windows\Tasks\Superclean.job
    2015-08-19 12:11 - 2015-08-25 12:11 - 00000000 ____D C:\ProgramData\{f33f4238-c430-7d62-f33f-f4238c4308e3}
    2015-08-19 12:11 - 2015-08-20 18:28 - 00000000 ____D C:\Program Files (x86)\Super Optimizer
    2015-08-19 12:11 - 2015-08-19 12:11 - 00003252 _____ C:\Windows\System32\Tasks\Superclean
    2015-08-09 20:41 - 2015-09-05 22:44 - 00000000 ____D C:\Program Files (x86)\DrWeb AntiVirus Link Checker
    2015-08-09 20:41 - 2015-09-05 22:44 - 00000000 ____D C:\Program Files (x86)\CheapMMe
    2015-08-09 20:41 - 2015-09-05 22:44 - 00000000 ____D C:\Program Files (x86)\CheaPMe
    2014-11-01 14:36 - 2014-11-01 14:36 - 0612340 _____ (CMI Limited) C:\Users\admin\AppData\Local\nsdC1AF.tmp
    2014-11-01 19:57 - 2014-11-01 19:57 - 0612340 _____ (CMI Limited) C:\Users\admin\AppData\Local\nse544A.tmp
    2014-11-01 13:41 - 2014-11-01 13:41 - 0612340 _____ (CMI Limited) C:\Users\admin\AppData\Local\nshE083.tmp
    2014-11-01 14:35 - 2014-11-01 14:35 - 0627776 _____ (CMI Limited) C:\Users\admin\AppData\Local\nsmB224.tmp
    C:\ProgramData\AdobeHelper.exe
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw. Przeskanuj programem Malwarebytes Anti-Malware https://www.malwarebytes.org/downloads/
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

    1
  • #3 08 Wrz 2015 22:01
    oskarceb
    Poziom 10  

    Tylko problem w tym, że nie mogę usunąć BorderlineFunc. Jakieś pomysły jak to usunąć?

    0
  • CControls
  • Pomocny post
    #4 08 Wrz 2015 23:50
    Kolobos
    Spec od komputerów

    Pomin i wykonaj reszte.

    1
  • #5 09 Wrz 2015 15:59
    oskarceb
    Poziom 10  

    Tak jak podaliście, tak zrobiłem. Podczas usuwania wyskoczyło okienko "Program (śmieszne literki i cyferki) przestał działać".
    Po restarcie komputera nie ma już tego kółeczka przy kursorze, lecz nadal nie moge usunąć tych 2 plików. Czy to w czymś przeszkadza i wiecie jak je usunąć?

    0
  • Pomocny post
    #6 09 Wrz 2015 16:11
    Kolobos
    Spec od komputerów

    Jakich plikow?

    1
  • #7 09 Wrz 2015 16:31
    oskarceb
    Poziom 10  

    Zdjęcia wyżej.

    0
  • Pomocny post
    #8 09 Wrz 2015 16:44
    Acorus 20
    Spec od komputerów

    Skasuj folder C:\FRST.
    Przeskanuj programem Malwarebytes Anti-Malware https://www.malwarebytes.org/downloads/
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

    1
  • #9 09 Wrz 2015 18:47
    oskarceb
    Poziom 10  

    Keyloger usunięty. :) Dziękuje wszystkim za pomoc. Temat do zamknięcia.
    Keylogger - jak z nim walczyć?

    0