Czy mam keyloggera?

[UpTheIronsPL]

Niedawno wyszła nowa wersja Minecrafta. Szukając potrzebnego launchera non premium natknęłam się na ten ze strony minecraft.zyczu.pl Po pobraniu działał normalnie, jednak dziś na forum pewnego serwera znalazłam informację od właściciela, że ten laucher ma keyloggera. Wklejam link do loga z ComboFixa, bo w HiJackthis ukazywał się błąd D: Proszę o sprawdzenie i ewentualną instrukcję co dalej zrobić ^^.

http://wklej.to/sVIGN

 

[crazyferajna]

nie wiem czy to keylogger czy coś innego, ale widzę jakieś syfy... niech się wypowiedzą specjaliści

 

[Tadeusz Fantom]

Ta wklejka z poprzecznym suwakiem na dole utrudnia analizę, ComboFix nie jest programem do analizy logów ale do usuwania szkodliwych programów i należy go używać bardzo ostrożnie.
Użyj programu SpyWare Doctor - wersję free, wykonaj skanowanie - jest skuteczny.
Bezpośrednio w logach ComboFixa nie zauważyłem jakiś pozostałości trojanów ale niektóre programy (nazwy) bym musiał sprawdzić czy je sam zainstalowałeś jako dodatki czy to działalność innej natury.

 

[UpTheIronsPL]

A więc zeskanowałam komputer tym programem SpyWare Doctor. Wykrył on 4 zagrożenie i 611 infekcji jednak aby je usunąć trzeba zarejestrować program. Czy jest jakiś program podobny do tego ale darmowy?
whitehunter - nazwa pliku to chyba minecraftzyczu.exe.

 

[Tadeusz Fantom]

A więc zeskanowałam komputer tym programem SpyWare Doctor. Wykrył on 4 zagrożenie i 611 infekcji jednak aby je usunąć trzeba zarejestrować program. Czy jest jakiś program podobny do tego ale darmowy?
whitehunter - nazwa pliku to chyba minecraftzyczu.exe.

Dlatego, że chyba zainstalowałeś wersję komercyjną zamiast free.
Inny skuteczny program to malwarebytes, też powinien bez problemu poradzić sobie.
Proponuję zrobić po aktualizacji programu skanowanie systemu w trybie awaryjnym, wówczas pliki szkodników nie są uruchomione i można je bez problemu usunąć.

 

[UpTheIronsPL]

Może to zabrzmi głupio, ale jak uruchomić system w trybie awaryjnym? Jestem kompletnym laikiem. ^^

 

[bundiessp]

W minecraft by zyczu nie ma żadnego keyloggera . To konkurencja zycza , mianowicie PolandCraft , chcąc stawić go w jak najgorszym swietle , rozpusciła jakieś nie do konca potwierdzone plotki . Ja korzystam od dawna , nigdy nie bylo ZADNYCH problemow z haslami do portali i tym podobne .

 

[UpTheIronsPL]

Tak jak mówiliście zeskanowałam komputer programem Malwarebytes w trybie awaryjnym. Teraz nic nie wykrył (tak jak antywirus), bo skanowałam też tym programem w trybie "normalnym", za to usunęłam te z kwarantanny. Czy powinnam coś jeszcze zrobić?
Ps. chciałabym też zauważyć, że jestem dziewczyną, chociaż mój nick na to nie wskazuje.

 

[UpTheIronsPL]

@bundiessp Możliwe, ale ja wolę mieć całkowitą pewność.

 

[Tadeusz Fantom]

@bundiessp Możliwe, ale ja wolę mieć całkowitą pewność.

Przypuszczalnie system jest czysty.
Można dla pewności program HijackThis uruchomić "jako administrator" i log umieścić tutaj do sprawdzenia.

 

[UpTheIronsPL]

Oto log:

http://wklej.to/s83YM

 

[Tadeusz Fantom]

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&ui d=HitachiXHTS543225L9A300_090107FB2F00LLDDBARAX&ts=0

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&ui d=HitachiXHTS543225L9A300_090107FB2F00LLDDBARAX&ts=0

Należy usunąć koniecznie.
Jeśli logowanie było do stron to należy się upewnić czy rzeczywiście była to strona ta co powinna czy czasem nie było przekierowania przeglądarki na kopię strony. Proponuję pozmieniać hasła w usługach sieciowych.

Moim zdaniem, jesli nie korzystasz z programu:

C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe

to odinstaluj go łącznie z dodatkami do przeglądarek.

 

[UpTheIronsPL]

Już. Mam jeszcze jedno pytanie. Mój firewall pokazuje, że eGdpSvc chce zmodyfikować coś w systemie, czy coś takiego. Czy jest on groźny i jak go usunąć?
Pojawia się też dymek z powiadomieniem że zablokowano działanie arwebgrd.exe o porcie 49666. Co z tym zrobić? ^^

 

[Tadeusz Fantom]

Już. Mam jeszcze jedno pytanie. Mój firewall pokazuje, że eGdpSvc chce zmodyfikować coś w systemie, czy coś takiego. Czy jest on groźny i jak go usunąć?
Pojawia się też dymek z powiadomieniem że zablokowano działanie arwebgrd.exe o porcie 49666. Co z tym zrobić? ^^

-eGdpSvc: jeśli używasz programu C:\ProgramData\eSafe\eGdpSvc.exe to stąd ten proces co chce zmodyfikować "coś" w systemie. Jesli używasz to zostaw, jeśli nie to odinstaluj.

-arwebgrd.exe : musiałbym znać umiejscowienie pliku, wyszukaj w systemie (opcję folderów ustaw aby były widoczne wszystkie pliki) i zobaczysz gdzie wystepuje (ściezka dostepu).

 

[UpTheIronsPL]

Oto lokalizacja %programfiles%\Avira\AntiVir Desktop\avwebgrd.exe

 

[Tadeusz Fantom]

Oto lokalizacja %programfiles%\Avira\AntiVir Desktop\avwebgrd.exe

Plik należy do Avira Antivirus Premium 2012 i jest bezpieczny. Jego ewentualne połączenia mogą być związane z aktualizacja bazy definicji programu.

 

[UpTheIronsPL]

Jeśli tak mówisz, to pewnie jest bezpieczny. Trochę mnie to denerwuje jak wyskakuje mi po kilka razy chwilę po starcie komputera, ale no trudno..
Tak czy inaczej dziękuję za szybką i dobrą pomoc tobie - Tadeusz Fantom i tobie - Whitehunter

 

[Tadeusz Fantom]

Jeśli tak mówisz, to pewnie jest bezpieczny. Trochę mnie to denerwuje jak wyskakuje mi po kilka razy chwilę po starcie komputera, ale no trudno..
Tak czy inaczej dziękuję za szybką i dobrą pomoc tobie - Tadeusz Fantom i tobie - Whitehunter

W ustawieniach zapory sieciowej można ustawić aby następnym razem nie powiadamiało o tym i wówczas nie będzie wyskakiwał komunikat.

 

[UpTheIronsPL]

Ok. Jeszcze raz dzięki. ^-^