Logi do sprawdzenia OTL - Prawdopodobnie Keylogger.

[Asanacar]

Objawy zainfekowania:
Napisz czym objawia się infekcja

- Prawdopodobniej mam na komputerze keyloggera. Postanowiłem jakoś działać.

Wykonywane działania:
Opisz czym był skanowany komputer, jakie posiada oprogramowanie ochronne

Skanowałem komputer programem antywirusowym Nod32 Smart Security oraz Malwarebytes Anti-Malware. Sformatowałem komputer i wszystkie jego zawarte dyski twarde po zainstalowaniu programów, aktualizacji systemowych, sterowników skanowałem komputer owymi programami. Nod32 wykrył 12 wirusów i się ich pozbył a Malware wykrył tylko sześć i tak samo je usunął. Po tym wszystkim obył się restart komputera i nadal nie jestem pewny czy pozbyłem się tego czego trzeba. Program przez Was nie wymagany Hijackthis wykrył tylko dwa nie porządne aplikacje/wirusy/coś tam i też się ich pozbyłem. Mam nadzieję, że mi pomożecie te forum polecił mi mój dobry przyjaciel więc też na Was liczę. Czekam na pomoc i w razie czego piszcie co jeszcze chcecie wymagać od logów czy tam coś. Ogólnie czego będziecie wymagać tak uczynię. Czekam :-)

Logi:
Tutaj umieść linki do logów z OTL i RSIT

OTL :

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL Extras :

[Aby zobaczyć linki, zarejestruj się tutaj]

Hijack :

[Aby zobaczyć linki, zarejestruj się tutaj]

RSIT :

[Aby zobaczyć linki, zarejestruj się tutaj]

[Waves]

Przeskanuj na

[Aby zobaczyć linki, zarejestruj się tutaj]

:

Kod:

C:\Windows\URCACM.EXE
K:\LGAutoRun.exe

Wklej tutaj linki z skanowania.

Do OTL w własne pole skanowania skrypt wklej:

Kod:

:Processes
Killallprocesses

:OTL
[2012-12-28 09:22:33 | 000,000,127 | ---- | C] () -- C:\Windows\System32\MRT.INI
[2012-12-20 15:58:50 | 000,000,670 | ---- | C] () -- C:\Windows\System32\Video.lnk
[2012-12-20 15:58:50 | 000,000,670 | ---- | C] () -- C:\Windows\System32\Pictures.lnk
[2012-12-20 15:58:50 | 000,000,670 | ---- | C] () -- C:\Windows\System32\Passwords.lnk
[2012-12-20 15:58:50 | 000,000,670 | ---- | C] () -- C:\Windows\System32\New Folder.lnk
[2012-12-20 15:58:50 | 000,000,670 | ---- | C] () -- C:\Windows\System32\Music.lnk
[2012-12-20 15:58:50 | 000,000,670 | ---- | C] () -- C:\Windows\System32\Documents.lnk
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

:Commands
[EMPTYTEMP]
[EMPTYFLASH]

Wykonaj skrypt. Pokaż raport z usuwania.

[Asanacar]

1. Skanowanie OTL (Skrypt)

[Aby zobaczyć linki, zarejestruj się tutaj]

2. URCACM.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

3. K:\LGAutoRun.exe Nie wiem co to jest. Nie posiadam tego jako dysk, wirutalny dysk, dvd-room. Nie mogę tego znaleźć.

[Waves]

A więc do OTL jeszcze to:

Kod:

:OTL
O33 - MountPoints2\{83244af1-1255-11e2-868b-002624b7e9ae}\Shell - "" = AutoRun
O33 - MountPoints2\{83244af1-1255-11e2-868b-002624b7e9ae}\Shell\AutoRun\command - "" = I:\Setup.exe
O33 - MountPoints2\{9dafeb8e-37fb-11e2-b803-002624b7e9ae}\Shell - "" = AutoRun
O33 - MountPoints2\{9dafeb8e-37fb-11e2-b803-002624b7e9ae}\Shell\AutoRun\command - "" = K:\LGAutoRun.exe

Wykonaj skrypt. Pokaż nowy log z OTL To już końcówka .

[tachion]

To nie wszystko chwila

Dodatkowo wklej ten skrypt i wykonaj, następnie ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i wykonaj polecenie delete,zrób dodatkowy skan otl bez extras

Kod:

:Files
C:\Windows\System32\autorun.inf
C:\Users\xXx\AppData\Roaming\Babylon

:OTL
IE - HKU\S-1-5-21-2080872934-954457068-2812902603-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110824&tt=101012_24_4112_1&babsrc=SP_ss&mntrId=2c9ce4ef000000000000002624b7e9ae
CHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Users\xXx\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\2.3.15.10_0\plugins/ConduitChromeApiPlugin.dll
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.0.7\bh\BabylonToolbar.dll (Babylon BHO)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.0.7\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKU\S-1-5-21-2080872934-954457068-2812902603-1000\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found.

:Commands
[RESETHOSTS]
[EMPTYTEMP]

[Asanacar]

Waves :

1.

[Aby zobaczyć linki, zarejestruj się tutaj]

Tachion :

1.

[Aby zobaczyć linki, zarejestruj się tutaj]

2. Program pobrany nic nie wykrywa i nie wyskakuje.
3. Dodatkowe skanowanie

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Z AdwCleanerpowinien być logale skoro był czysty to jest ok,to było tylko profilaktyczne działanie po OTL .
Tak więc to wszystko można przejść do czynności wykonania sprzątania w OTL