Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Keylogger w rejestrze - nie mogę go się pozbyć

Ala-91 07 Mar 2016 00:04 708 15
  • #1 07 Mar 2016 00:04
    Ala-91
    Poziom 11  

    Witam, nie mogę pozbyć się keyloggera z rejestru. Adwcleaner go wykrywa i gdy go usuwa, to przy następnym skanowaniu pokazuje, że syfiarz dalej siedzi w rejestrze. Malwarebytes Antimalware w ogóle nie wykrywa go. Co robić?

    0 15
  • #4 07 Mar 2016 01:06
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:
    Task: {21186303-137C-4C76-90AE-E384A6A12C72} - System32\Tasks\{4C62AE26-0357-42AC-B2C3-622209E6123C} => pcalua.exe -a "C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BCIWOV0R\SoftyVisII.exe" -d C:\Users\user\Desktop
    Task: {4E716758-EB4A-4E09-99E2-ACC4D7E94CAD} - System32\Tasks\{71C9E710-8A58-4299-8F83-9A90E33EE52D} => pcalua.exe -a "E:\Vista Setup\setup.exe" -d "E:\Vista Setup"
    Task: {74BC3769-0DB3-4975-9FB8-25CE63F1C585} - System32\Tasks\{6E3BF3BA-68B9-4BBF-9EFB-CA8081F68053} => pcalua.exe -a "C:\Users\user\Desktop\Super Mario Bros PC Installer.exe" -d C:\Users\user\Desktop
    Task: {834A1D02-4229-4C02-B87F-E1310149CDD6} - System32\Tasks\{8699DBF1-4D30-453A-9639-0F519AAD8D17} => pcalua.exe -a C:\Users\user\Desktop\WkuwaczSetup_v1.8\Setup.Exe -d C:\Users\user\Desktop\WkuwaczSetup_v1.8
    Task: {9B88A42E-BAC5-42B9-8156-09242E5B2AF9} - System32\Tasks\{54F7CC26-AC05-4F3F-8254-67957EAA0EF1} => pcalua.exe -a C:\Users\user\Desktop\exttrucksetup.exe -d C:\Users\user\Desktop
    Task: {A8C999ED-7CF9-46BC-A9C7-F50E75F6177B} - System32\Tasks\{8F4924A2-73A4-4385-99D6-3495F267740D} => pcalua.exe -a E:\instaluj.exe -d E:\
    Task: {D7D440BB-5295-40B7-A914-92C17EF8716E} - System32\Tasks\{8DC8A31D-DF2C-491A-944A-491E36052398} => pcalua.exe -a "C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.4.9\GUninstaller.exe" -c -uprtc -key "BabylonToolbar"
    Task: {E73FB146-1102-485E-9334-6F85D7AF1706} - System32\Tasks\{E22FFBCD-F6CE-49E1-A564-1C33D9AEA127} => pcalua.exe -a C:\Users\user\Downloads\USD_Win.exe -d C:\Users\user\Downloads
    Task: {F20C8457-EE4B-4A4A-97CF-0A92DB73CDBF} - System32\Tasks\{65524872-99EF-4524-AC50-474A6AEC89E4} => pcalua.exe -a E:\deps\dotnetfx.exe -d E:\deps
    Task: {F38DB030-745C-48C0-B8F9-1C684E6765E7} - System32\Tasks\{8C3F34FE-FB1A-423A-B94C-119D3B8393D4} => pcalua.exe -a C:\Users\user\Desktop\PedalToTheMetalSetup.exe -d C:\Users\user\Desktop
    Task: {F9BF7AE5-66AA-4C3E-AB13-0D85A4D5DF44} - System32\Tasks\{588248D1-813B-4A3C-9D9C-0F49EBAF67CD} => pcalua.exe -a C:\Users\user\Desktop\20080115160241875_Samsung_PC_Studio_313_GJ9.exe -d C:\Users\user\Desktop
    HKLM-x32\...\Run: [NPSStartup] => [X]
    HKU\S-1-5-21-3872785076-2550753500-846849981-1001\...\MountPoints2: {11896bb9-e237-11e3-a936-002215a9714d} - F:\AutoRun.exe
    HKU\S-1-5-21-3872785076-2550753500-846849981-1001\...\MountPoints2: {9e363b6f-829f-11e3-bd85-002215a9714d} - G:\AutoRun.exe
    HKU\S-1-5-21-3872785076-2550753500-846849981-1001\...\MountPoints2: {dc0de94a-e1dd-11e3-a14b-002215a9714d} - G:\AutoRun.exe
    HKU\S-1-5-21-3872785076-2550753500-846849981-1001\...\MountPoints2: {dc0de95a-e1dd-11e3-a14b-002215a9714d} - F:\AutoRun.exe
    HKU\S-1-5-21-3872785076-2550753500-846849981-1001\...\MountPoints2: {e07c4aab-2266-11e1-abc5-002215a9714d} - G:\Go.exe
    HKU\S-1-5-21-3872785076-2550753500-846849981-1001\...\MountPoints2: {f74688b0-06b8-11e5-a5a6-002215a9714d} - F:\LG_PC_Programs.exe




    BootExecute:
    SearchScopes: HKLM -> {E960974B-9320-4C9F-95DD-242404882DA5} URL = hxxp://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox
    SearchScopes: HKLM-x32 -> {E960974B-9320-4C9F-95DD-242404882DA5} URL = hxxp://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-3872785076-2550753500-846849981-1001 -> {86439243-1FE8-477B-B96C-CB4799B1A065} URL = hxxp://www.amazon.co.uk/gp/search?ie=UTF8&keywords={searchTerms}&tag=tochibauk-win7-ie-search-21&index=blended&linkCode=ur2
    SearchScopes: HKU\S-1-5-21-3872785076-2550753500-846849981-1001 -> {C4AB3F38-A4E7-4396-B353-E1C782B3ACA0} URL = hxxp://rover.ebay.com/rover/1/4908-44618-9400-8/4?satitle={searchTerms}
    SearchScopes: HKU\S-1-5-21-3872785076-2550753500-846849981-1001 -> {D4BC96BE-3390-467F-A905-BD5CD91475F6} URL = hxxp://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox
    SearchScopes: HKU\S-1-5-21-3872785076-2550753500-846849981-1001 -> {E960974B-9320-4C9F-95DD-242404882DA5} URL =
    DPF: HKLM-x32 {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/director/sw.cab
    Handler: linkscanner - Brak wartości CLSID
    Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku
    Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\SysWOW64\Adobe\Director\np32dsw_1210150.dll [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono
    FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono
    CHR HomePage: Profile 5 -> hxxp://www.msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl
    CHR HKLM-x32\...\Chrome\Extension: [bpeeepmahhfjiediknjejcmcfmjcjdck] - C:\Program Files (x86)\Google\Chrome\User Data\Default\Extensions\serach.crx <nie znaleziono>
    CHR HKLM-x32\...\Chrome\Extension: [dkdkpmmkgdbglmfmmmmehbkmnkopingb] - C:\Program Files (x86)\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx <nie znaleziono>
    S3 HWDeviceService64.exe; "C:\ProgramData\DatacardService\HWDeviceService64.exe" -/service [X]
    S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
    S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
    S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
    S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
    S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
    S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
    S3 nmwcd; system32\drivers\ccdcmbx64.sys [X]
    S3 nmwcdc; system32\drivers\ccdcmbox64.sys [X]
    S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [X]
    S3 upperdev; system32\DRIVERS\usbser_lowerfltx64.sys [X]
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\Nazwa użytkownka\Downloads\FRST64.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #5 07 Mar 2016 01:18
    Ala-91
    Poziom 11  

    Zrobione. Niestety Adwcleaner wykrywa ten sam problem :/

    Dodano po 30 [sekundy]:

    Ale dzięki za poświęcony czas :)

    0
  • #6 07 Mar 2016 01:21
    krzychupar
    Poziom 40  

    Co on takiego wykrywa i nie można tego usunąć ?.

    0
  • #8 07 Mar 2016 01:28
    krzychupar
    Poziom 40  

    I przez kliknięcie na Usuń nie usuwa go ?.

    0
  • #9 07 Mar 2016 01:30
    Ala-91
    Poziom 11  

    Wyświetlają się komunikaty, że zostało usunięte i robi się restart kompa, ale po ponownym skanie program znajduje ten sam problem.

    0
  • #10 07 Mar 2016 01:34
    krzychupar
    Poziom 40  

    To wejść do rejestru, znaleźć klucz i ręcznie gu usunąć.

    0
  • #11 07 Mar 2016 01:37
    Ala-91
    Poziom 11  

    Myślałam o tym. Jaką mam pewność, że jest to bezpieczne? Nie jestem informatykiem, słabo znam się na tym.

    0
  • #12 07 Mar 2016 01:40
    krzychupar
    Poziom 40  

    Menu start-Uruchom wpisać regedit i OK.

    0
  • #13 07 Mar 2016 01:46
    Ala-91
    Poziom 11  

    No wiem jak to się robi

    Dodano po 1 [minuty]:

    Keylogger w rejestrze - nie mogę go się pozbyć

    Dla pewności. To na pewno to?

    0
  • #14 07 Mar 2016 01:55
    krzychupar
    Poziom 40  

    Zwiń te trzy trójkąciki i kółkiem przewijasz w dół aż znajdziesz CLSID później następne rozszerzenie i jak znajdziesz odznaczasz to i PPM na tym i usuń.

    0
  • #15 07 Mar 2016 02:06
    Ala-91
    Poziom 11  

    Znalazłam CLSID, chociaż tyle się naprzewijałam, że prawie schudłam XD Jednak nie widzę tego pliku {E7BC3... Może jutro spróbuję. Chyba za zmęczona jestem. Jutro, tzn. właściwie już dzisiaj, o 6 muszę wstać. Dziękuję za pomoc. Dobranoc Keylogger w rejestrze - nie mogę go się pozbyć

    0
  • Pomocny post
    #16 07 Mar 2016 02:12
    krzychupar
    Poziom 40  

    Jeszcze musisz jechać w dół bo najpierw są cyfry później litery( nigdy w encyklopedii haseł nie szukałaś). I nie jest to żaden Keylogger tylko klucz z en. key.

    0