Log : http://www.wklejto.pl/79936
Extras : http://www.wklejto.pl/79937
Ogólnie przy włączaniu komputera zauważyłem kilka nieznanych procesów obawiam się, że mogą być to jakieś keyloggery.
Logi - Coś zamula kompa od jakiegoś czasu.
Rozpoczęty przez
Vanus1995
, 24 10 2010 11:22
-
Temat jest zamknięty
12 odpowiedzi w tym temacie
#2
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 24 10 2010 - 12:48
Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL.C:\\y.lnk
C:\\lau.exe
C:\\WINDOWS\\os4.exe
C:\\WINDOWS\\Last.dat
C:\\WINDOWS\\Ic.Inf
C:\\WINDOWS\\Tibia MULTI-ip changer.exe
C:\\WINDOWS\\Ip Changer Updater.exe
C:\\WINDOWS\\memlist.dat
C:\\WINDOWS\\Language.dat
C:\\WINDOWS\\patcher.exe
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.:OTL
IE - HKCU\\SOFTWARE\\Microsoft\\Internet Explorer\\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2269050
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\\DOCUME~1\\Patro\\USTAWI~1\\Temp\\Rar$EX00.890\\AntiKey.sys -- (AntiKeyLogger)
FF - prefs.js..browser.search.defaulturl: \"http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}\"
FF - prefs.js..keyword.URL: \"http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&q=\"
[2010-01-20 12:16:28 | 000,000,939 | ---- | M] () -- C:\\Documents and Settings\\Patro\\Dane aplikacji\\Mozilla\\Firefox\\Profiles\\q5cioi14.default\\searchplugins\\conduit.xml
O2 - BHO: (no name) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - No CLSID value found.
O2 - BHO: (no name) - {E33CF602-D945-461A-83F0-819F76A199F8} - No CLSID value found.
O2 - BHO: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found.
O3 - HKLM\\..\\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
O3 - HKLM\\..\\Toolbar: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found.
O4 - HKCU..\\Run: [KiesTrayAgent] D:\\Kies\\\\KiesTrayAgent.exe File not found
O4 - Startup: C:\\Documents and Settings\\Patro\\Menu Start\\Programy\\Autostart\\windate.exe ()
O20 - Winlogon\\Notify\\klogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
[2010-09-24 18:11:45 | 002,400,256 | ---- | C] (CipSoft GmbH) -- C:\\Documents and Settings\\All Users\\Dane aplikacji\\Tibia.bak
[2010-10-23 20:52:53 | 000,489,223 | ---- | C] () -- C:\\WINDOWS\\windate.exe
:Commands
[emptytemp]
[resethosts]
[Reboot]
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.
#3
Vanus1995
-
-
- 74 postów
Początkujący
Napisano 24 10 2010 - 14:35
C:\\y.lnk - czyste C:\\lau.exe - czyste C:\\WINDOWS\\os4.exe - czyste C:\\WINDOWS\\Last.dat - czyste C:\\WINDOWS\\Ic.Inf - czyste C:\\WINDOWS\\Tibia MULTI-ip changer.exe - czyste C:\\WINDOWS\\Ip Changer Updater.exe - czyste C:\\WINDOWS\\memlist.dat - czyste C:\\WINDOWS\\Language.dat - czyste C:\\WINDOWS\\patcher.exe(przy odpalaniu kompa mam ten proces otwarty) - 6/19 (TR/Spy.Agent.acr, Backdoor.Generic.492868, Trojan.DownLoader1.30440, Backdoor.Generic.492868, Backdoor.Generic.492868, Trojan-Spy.Agent)
Użytkownik Katarina edytował ten post 24 10 2010 - 19:08
#4
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 24 10 2010 - 14:58
W takim razie dodamy to do Scriptu:
.
Postępowanie bez zmian.:OTL
IE - HKCU\\SOFTWARE\\Microsoft\\Internet Explorer\\Main,Start Page = http://search.condui...&ctid=CT2269050
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\\DOCUME~1\\Patro\\USTAWI~1\\Temp\\Rar$EX00.890\\AntiKey.sys -- (AntiKeyLogger)
FF - prefs.js..browser.search.defaulturl: \"http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}\"
FF - prefs.js..keyword.URL: \"http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&q=\"
[2010-01-20 12:16:28 | 000,000,939 | ---- | M] () -- C:\\Documents and Settings\\Patro\\Dane aplikacji\\Mozilla\\Firefox\\Profiles\\q5cioi14.default\\searchplugins\\conduit.xml
O2 - BHO: (no name) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - No CLSID value found.
O2 - BHO: (no name) - {E33CF602-D945-461A-83F0-819F76A199F8} - No CLSID value found.
O2 - BHO: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found.
O3 - HKLM\\..\\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
O3 - HKLM\\..\\Toolbar: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found.
O4 - HKCU..\\Run: [KiesTrayAgent] D:\\Kies\\\\KiesTrayAgent.exe File not found
O4 - Startup: C:\\Documents and Settings\\Patro\\Menu Start\\Programy\\Autostart\\windate.exe ()
O20 - Winlogon\\Notify\\klogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
[2010-09-24 18:11:45 | 002,400,256 | ---- | C] (CipSoft GmbH) -- C:\\Documents and Settings\\All Users\\Dane aplikacji\\Tibia.bak
[2010-10-23 20:52:53 | 000,489,223 | ---- | C] () -- C:\\WINDOWS\\windate.exe
:Files
C:\WINDOWS\patcher.exe
:Commands
[emptytemp]
[resethosts]
[Reboot]
.
#5
Vanus1995
-
-
- 74 postów
Początkujący
Napisano 24 10 2010 - 15:16
Próbowałem stary script użyć, ale się coś zwiesiło. Spróbuje tym coś zrobić.
Po restarcie : http://www.wklejto.pl/79950
Nowy Log : http://www.wklejto.pl/79951
Czekaj usune wszystkie niepotrzebne programy i Tibie, bo nie chce mieć, żadnych keyów na kompie przez ten syf...
http://wklejto.pl/79954 <- Log po usunięciu zbędnych programów.
Znów pousuwałem troche plików, programów, folderów itp. New log : http://wklejto.pl/79961
Po restarcie : http://www.wklejto.pl/79950
Nowy Log : http://www.wklejto.pl/79951
Czekaj usune wszystkie niepotrzebne programy i Tibie, bo nie chce mieć, żadnych keyów na kompie przez ten syf...
http://wklejto.pl/79954 <- Log po usunięciu zbędnych programów.
Znów pousuwałem troche plików, programów, folderów itp. New log : http://wklejto.pl/79961
Użytkownik Vanus1995 edytował ten post 24 10 2010 - 17:16
#6
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 24 10 2010 - 17:40
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.:OTL
SRV - File not found [On_Demand | Stopped] -- C:\\Program Files\\McAfee Security Scan\\2.0.181\\McCHSvc.exe -- (McComponentHostService)
SRV - File not found [Auto | Stopped] -- C:\\Program Files\\Google\\Update\\GoogleUpdate.exe -- (gupdate) Usługa Google Update (gupdate)
IE - HKCU\\SOFTWARE\\Microsoft\\Internet Explorer\\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2269050
FF - prefs.js..browser.search.defaulturl: \"http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}\"
[2010-01-20 12:16:28 | 000,000,939 | ---- | M] () -- C:\\Documents and Settings\\Patro\\Dane aplikacji\\Mozilla\\Firefox\\Profiles\\q5cioi14.default\\searchplugins\\conduit.xml
O4 - Startup: C:\\Documents and Settings\\Patro\\Menu Start\\Programy\\Autostart\\windate.exe ()
[2010-10-23 20:52:53 | 000,489,223 | ---- | C] () -- C:\\Documents and Settings\\Patro\\Menu Start\\Programy\\Autostart\\windate.exe
:Commands
[emptytemp]
[Reboot]
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.
#7
Vanus1995
-
-
- 74 postów
Początkujący
Napisano 24 10 2010 - 17:53
Po restarcie : http://wklejto.pl/79965
Nowy Log : http://www.wklejto.pl/79966
Za co odpowiada proces 'windate.exe' ?
Nowy Log : http://www.wklejto.pl/79966
Za co odpowiada proces 'windate.exe' ?
Użytkownik Vanus1995 edytował ten post 24 10 2010 - 17:55
#8
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 24 10 2010 - 18:07
Też chciałbym wiedzieć, bo nie jest to proces Systemowy.Za co odpowiada proces 'windate.exe' ?
Coś to usuwanie się nie udaje.
Ściągnij -->Avenger.
wklej do niego ten tekst:
Files to delete: C:\Documents and Settings\Patro\Menu Start\Programy\Autostart\windate.exeKliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz nowy log z OTL.
.
#10
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 24 10 2010 - 18:26
Avenger sobie poradził z usunięciem.
Z tego, co wiem, to jest to plik Microsoftu, jeśli ktoś ma zainstalowany TABLET PC.
http://www.runscanner.net/lib/wisptis.exe.html
.
A gdzie Ty go widzisz? Ja w logu tego nie widzę.A 'WISPTIS.EXE' ?
Z tego, co wiem, to jest to plik Microsoftu, jeśli ktoś ma zainstalowany TABLET PC.
http://www.runscanner.net/lib/wisptis.exe.html
.
Użytkownik ordynat edytował ten post 24 10 2010 - 18:28
#11
Vanus1995
-
-
- 74 postów
Początkujący
Napisano 24 10 2010 - 18:28
Po odpaleniu PC'ta mam go w działających procesach, mam nadzieje, że nic groźnego.
Edit:
Coś jeszcze mam zrobić?
Edit:
Coś jeszcze mam zrobić?
Użytkownik Vanus1995 edytował ten post 24 10 2010 - 18:59
#12
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 24 10 2010 - 19:27
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Zniknie też Avenger.
.
Zniknie też Avenger.
.
#13
Vanus1995
-
-
- 74 postów
Początkujący
Napisano 24 10 2010 - 19:30
Ok dzięki wielkie za pomoc. Daje sie tu jakieś reputacje czy coś takiego?
Użytkownicy przeglądający ten temat: 1
0 użytkowników, 1 gości, 0 anonimowych
