Keylogger

[wheeljack]

Witam. Podejrzewam ze mam keyloggera na moim pc. Zrobilem scan log programem Hijackthis jednak nie wiem jak go odczytywac. Moglby ktos na to spojrzec?

http://pastebin.com/u8fRdeBs

jezeli nie ma nic co moglo byc keyloggerem mam pytanie z innej beczki. Chodzi o to ze od jednego z allegrowiczow zakupilem skrypt do Bota do gry Tibia. Chodzi o Neobota ktory ma jakis tam swoj jezyk programowania itd. Postac ktora gralem na tych skryptach zostala okradziona z itemow itd o lacznej wartosci jakichs 2 tysiecy. Dlatego mi zalezy na ogarnieciu tego, gdyz bede probowal cos z tym fantem zrobic jezeli wyjdzie ze to log z tego skryptu. Zamieszczam skrypty i mam nadzieje ze ktos moglby zerknac na nie i ocenic czy nie ma tu nigdzie wzmianki o wysylaniu loginu i hasla na jakies docelowe miejsce, np email czy cos takiego. Z gory dzieki za pomoc.

pozdrawiam

Pliki xml (skrypty neobot)
http://www.speedyshare.com/files/30847176/skrypty.rar
przepraszam za spakowanie rarem ale speedyshare nie akceptuje xml.

 

[Vandervir]

C:\WINDOWS\system32\EXPLORER.EXE

O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

masz coś złego na kompie

 

[wheeljack]

I jak moge to usunac aby nie wrocilo

 

[wheeljack]

witam ponownie. sorry za double posta ale nie dostalem odpowiedzi. Jestem pewny na 100% ze mam keyloggera, gdyz znowu zostalem "zhakowany". Czy da sie jakos ustalic czym jest ten keylogger i jak pobiera hasla itd? z gory thx za odp.

 

[michal31337]

Ja to bym tak zrobił:

Zaczął od przeskanowania antywirusem (polecam Immunet Protect na Win 7 i XP sp3).
Skopiował wsctf.exe (w rejestrze sprawdzasz gdzie jest na dysku dokładnie) i wrzucił na np. http://virusscan.jotti.org/pl

Firewalla jakiegoś masz? Może pomyśl o alternatywie dla Windows Firewall ? Firewallem już byś zablokował wysyłanie, jeżeli to zwykły keylogger.

 

[wheeljack]

przeskanowalem pc programem Spybot i znalazlo mi trojana i keyloggera:

Keylogger-Pro: [SBI $38842E01] Ustawienia (WartoϾ rejestru, nothing done)
  HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\IEPK
Win32.Rungbu.a: [SBI $8819FA0B] Identyfikator klasy (Klucz rejestru, nothing done)
  HKEY_CLASSES_ROOT\CLSID\MADOWN

czy jest jakas mozliwosc sprawdzenia co utworzylo te pliki i kiedy ?

ten wsctf.exe przeskanowalem nic nie znalazlo. Otwierajac go notatnikiem widze tylko:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="wsctf.exe"
"001"="qbase"
"002"="111"

 

[Proogar]

plik .xml jest niewykonywalny plik wiec nie mógł byc keyloggerem.

Poza tym , przeskanowałem je dodatkowo na virustotal.com i nic nie wykryło.

Po prostu sciągnąłeś jakies inne oprogramowanie które bylo zarazone programem szpiegujacym (keyloggerem)
Radze po prostu zrobic formata komputera najlepiej.

Mozesz zarazic sie plikami z rozszerzeniami wykonywalnymi typu .exe , .src , .bat i jeszcze paru , ale .xml jest niemozliwe.
Pozdrawiam

 

[Proogar]

Nie mozna miec w .XML keyloggera, bo to jest plik nie wykonywalny,a pozatym odtwarzany jest przez neobota wiec to nie mozliwe do zrobienia

 

[wheeljack]

a plik .rar ? bo dostalem te xml spakowane rarem:
http://www.speedyshare.com/files/30900103/paczki.rar




co do xml to wiem ze jest sposob zeby skrypt sam z siebie jak jest uruchomiony jakos pobral dane. tylko nie wiem jak. ;/

a tak na marginesie, dziwne ze zalozyles konto po to zeby mi odpisac

 

[Proogar]

.rar tez jest to plik nie wykonywalny.

Jest to po prostu paczka winrara.

Po prostu tak jak napisalem wyzej , musiales zostac zainfekowany jakims innym programem, bo z tego co patrzylem (ten download co dales)
to tam nic nie ma.


btw, Co z tego ze zalozylem dzisiaj konto?
Po prostu chce Ci pomóc.
Czekaj na wypowiedz innych, za pewne powiedza to samo
pozdrawiam

 

[Forioz]

Nie da sie dac pod .rar, czy tam .xml

Pod Exe, Scr, bat, com chyba tylko da sie i niby ala "JPG"

 

[Szybol]

Co do plików xml, są czyste.
Jeśli ktoś ma wątpliwości proszę zapoznać się z formatem xml, jest to zwykły plik tekstowy służący do zapisu ustawień lub innych elementów różnych programów czy witryn www.
http://pl.wikipedia.org/wiki/XML
Allegrowicz nie jest przecież winien głupoty innego człowieka, który bezmyślnie szpikuje system wirusami.

 

[Doomi]

Ściągnąłem twoją paczkę , przeskanowałem i jest czysto więc sobie może przypomnij co innego robiłeś /otwierałeś/ściągałeś , ale już ci mówię gdzie tkwi problem .

O4 - HKCU\..\RunOnce: [UpdateT] C:\Documents and Settings\Kubus\Application Data\et_update\mservice32_t.exe (twój oprawca) to jest jakiś keylogger już kiedyś 2-3 ludzi miało podobny problem i ten sam syf .

 

[wheeljack]

tez mi nortor wylapal go jak dzis zainstalowalem (nortona). Da sie jakos sprawdzic co go utworzylo albo kiedy zostal utworzony? Nie ma go w tej lokalizacji nawet gdy otworze pliki ukryte ;/

 

[Doomi]

Nie wiem przypomnij sobie najlepiej co w ostatnich dniach robiłeś , ściągnąłeś coś z podejrzanej strony? akceptowałeś jakieś applety javy ? zezwalałeś nieznanym witrynom na dostęp . Zazwyczaj takie badziewia zapisują się w folderze WINDOWS , musiałbyś popatrzeć czy masz coś tam czego nie powinno być , plik ten zapewne nie będzie posiadał ikony.

 

[wheeljack]

jedyne co zrobilem w ostatnich dniach to sciagnalem i uzywalem tych skryptow. Nic wiecej. Nie mam czasu na filmy, programy siedzenie na stronach czy cos przez prace ;/ skrypty zostaly pobrane stad:

http://neo-skrypty.pl/

moze strona ma ukryty keylogger?

jak moge sprawdzic kiedy ten plik o ktorym piszesz zostal utworzony czy cos ?

 

[Proogar]

strona ma ukryty keylogger?

Hehe, jak moze miec ukryty keylogger? ze niby exploit? xD , Glownie strony ktore infekuja komputer, po wejsciu na strone aplet javy sie uruchamia zeby klikac run lub cancel.

Czysta jest.

 

[wheeljack]

to nie ma zadnego sposobu zeby znalezc sciezke ktora stworzyla keylogger?

albo jak moge znalezc ten plik mcservice32 ? bo nie ma go jako ikony. Nie ma zadnego sposobu ?
edytuj:

Panie szybol co do winy allegrowicza, rozmawialem z innymi ktorzy kupili skrypty u tej osoby i nie jestem pierwszym ktory zostal zhakowany tylko nikt sie tym nie interesowal... ja chce wrescie pokazac ze koles robi to czego nie powinien. Gdyby ukradl mi jakies smieci warte 50 zl to bym nawet nie ruszyl palcem ale stracilem ponad 700 zl i nie podaruje tego tak latwo dlatego prosze o pomoc a nie o karcenie mnie za stan mojego pc. Nigdy nikt mnie nie zhakowal czy cos nie majac antywirusa a zrobila to osoba od ktorej plik pobralem po zaplacie zgodnie z prawem. To tyle.

 

[Proogar]

Tak jak pisałem , najlepiej zrobic formata komputera zeby miec 100% pewnosc ze nic nie ma.

Mozna probowac easy cleanem , itd. , ale nie ma 100% pewnosci ze sie usunie z komputera.

Co do tych plików i strony to nic tam nie znalazłem.

A formatem .xml czy .rar nikogo nie da sie zarazic jakims trojanem,keyloggerem itd

Temat do zamkniecia