Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Złapany keylogger - prośba o sprawdzenie logów

bielik08 22 Lut 2018 22:59 306 3
  • #1 22 Lut 2018 22:59
    bielik08
    Poziom 5  

    Witam. Pare dni temu złapałem keyloggera. Jestem tego pewien, ponieważ dostałem hacka na konto w grze online (tibia, jeżeli miało by to pomoc w czytaniu logów). Hack na 99% pochodził z teamspeaka 3, gdzie wyskoczyło okienko o nieaktualnej wersji programu przy próbie wejścia na serwer, która niestety pobrałem:(.
    Przeszukałem PC cureit, nic nie wykrył. Przeskanowałem też MBAMem ten wykrył kilka rzeczy niekoniecznie związanych z tym keyloggerem, ale oczywiście wszystkie je usunąłem.
    Tutaj wstawiam jedyne linijki z ADWcleanera przed skanem FRST, które coś wykazały :

    ***** [ Registry ] *****

    PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
    PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}

    Po skanie FRST powyższe linijki znikły. Wrzucam jeszcze same logi FRST. Czy istnieje jeszcze jakis program na sprawdzenie/wykrycie czy keylogger dalej infekuje komputer?
    Prosiłbym o sprawdzenie, z góry dziękuje

    0 3
  • Pomocny post
    #2 22 Lut 2018 23:48
    krzychupar
    Poziom 41  

    To nie są żadne keyloggery tylko jakieś zbędne klucze [Key] w rejestrze, jeżeli kolega się tym sugeruje.

    Otwórz notatnik systemowy i wklej:

    Task: {5BABE1C8-276F-409B-8DF5-A1C7A8CC4DC0} - System32\Tasks\{A5AE326C-68F4-47FF-8463-4807B845BD2B} => C:\Windows\system32\pcalua.exe -a C:\Users\Grzegorz\Downloads\HamachiSetup-1.0.3.0-en_www.INSTALKI.pl.exe -d C:\Users\Grzegorz\Downloads
    Task: {71B888F3-5C8E-48C4-8533-23CF1B32DE80} - System32\Tasks\{3D2519C9-5660-4672-A692-8156943EABEC} => C:\Windows\system32\pcalua.exe -a E:\SETUP.EXE -d E:\
    Task: {76B68765-CA1E-4BB0-9EE9-D7554B2B614A} - System32\Tasks\{AF9DFDA4-2E2E-4FA7-A0A4-A14A624FE8DA} => C:\Windows\system32\pcalua.exe -a "D:\Unreal Tournament 1999\SETUP.EXE" -d "D:\Unreal Tournament 1999"
    HKU\S-1-5-21-2652080541-2614823404-2915302503-1000\...\MountPoints2: F - F:\SETUP.EXE
    HKU\S-1-5-21-2652080541-2614823404-2915302503-1000\...\MountPoints2: H - H:\setup.exe
    HKU\S-1-5-21-2652080541-2614823404-2915302503-1000\...\MountPoints2: {15f1111d-83da-11e6-8dfd-4ccc6a09cd28} - F:\SETUP.EXE
    HKU\S-1-5-21-2652080541-2614823404-2915302503-1000\...\MountPoints2: {23947f2b-976b-11e6-8d1d-4ccc6a09cd28} - G:\setup.exe
    GroupPolicy: Ograniczenia <==== UWAGA
    FF Extension: (Disable Crash Auto Submit) - C:\Users\Grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\nzvsjrqv.default-1514753314971\features\{d1217622-e481-410e-813a-0aa6122e0511}\disable-crash-autosubmit@mozilla.org.xpi [2017-12-31] [Przestarzałe]
    FF HKU\S-1-5-21-2652080541-2614823404-2915302503-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Grzegorz\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => nie znaleziono
    FF Plugin HKU\S-1-5-21-2652080541-2614823404-2915302503-1000: @acestream.net/acestreamplugin,version=3.1.11 -> C:\Users\Grzegorz\AppData\Roaming\ACEStream\player\npace_plugin.dll [Brak pliku]
    CHR HKU\S-1-5-21-2652080541-2614823404-2915302503-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2652080541-2614823404-2915302503-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
    S3 MSICDSetup; \??\E:\CDriver64.sys [X]
    S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
    2018-02-21 00:30 - 2018-02-21 00:30 - 000000000 ____D C:\Users\Grzegorz\Doctor Web
    2018-02-21 00:30 - 2018-02-21 00:30 - 000000000 ____D C:\ProgramData\Doctor Web
    2018-02-21 00:06 - 2018-02-22 22:44 - 000000000 ____D C:\AdwCleaner

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 23 Lut 2018 00:40
    bielik08
    Poziom 5  

    Cytat:
    To nie są żadne keyloggery tylko jakieś zbędne klucze [Key] w rejestrze, jeżeli kolega się tym sugeruje.


    tak sie spodziewałem, ale wkleiłem na wszelki wypadek. natomiast co do posiadania keyloggera lub czegos innego co przechwycilo hasło i login teraz lub pare dni temu nie mam wątpliwości. wrzucam fixloga. jeszcze proszę powiedz mi czy jest tu jakiś ślad takiego keyloggera czy same śmieci?

    0
  • Pomocny post
    #4 23 Lut 2018 12:18
    krzychupar
    Poziom 41  

    Żadnej infekcji nie ma to są same zbędne wpisy.

    0