Клавиатурный шпион
 

Доброго времени суток.
Где-то полтора года назад я начал замечать странные вещи на своем компьютере.
При входе в онлайн игру она повисала, а после перезапуска ее Кис7 писал что приложение изменилось,хотя раньше этого не происходило.Я несколько раз менял винду, но этого хватало на 2-3 дня потом все начиналось опять.Также начинались глюки с клавиатурой, пробел например начинал работать тока после 3-4 нажатия.Несколько месяцев назад я поставил Висту, радовался недолго где-то неделю. Сначала моя игрушка начала писать "Loading of the keyboard module failed. Pleaze exit the game and reload" а через несколько дней я чисто случайно наткнулся в своем компе на програмку KGB-Spy. Вообщем я понял что виста не панацея и надо все-таки
ковырять ХР.Да сразу надо сказать что у меня ХР со всеми обновлениями,все ненужные службы отключены, ADSL модем в режиме роутера с НАТом и фаерволом ,на компе стоит Оутпост 2009 и кис 2009.На сей момент открыты 3 порта и 2 из них порты каспера, а 3тий порт мозилы, разрешение на доступ в интернет стоит только у 4-5 програм.
Что бы предотвратить изменение файлов в игре я поставил разрешение на чтение и выполнение только юзеру под которым сижу,остальным пользователям поставил запрет даже на просмотр,а изменение файлов и создание запретил вообще всем.
Игрался спокойно где-то неделю(потом MD5 сумма перестала совпадать и появилась надпись "Loading of the keyboard module failed. Pleaze exit the game and reload"). Через неделю я просто создал образ с чистым оригиналом игры и запускал через алкоголь,это решило проблему с изменением файлов в игре..... но появилась другая..... Теперь этот шпион запускается при загрузке учетки юзера под которой я сижу,а что самое интересное, что под админом все в порядке,и если сначала загружать учетку админа при запуске компа а потом тупо выходить и заходить юзером то зловред не загружеатся. Проверил автозагрузку ни чего странного не обнаружил(Каспер, оутпост, CTF Loader и все)
Замечаю по надписи "Loading of the keyboard......."
Уважаемые гуру может быть вы мне подскажете с моей проблемой,заранее благодарен

Выложите логи
В KIS 2009 даже если стоит запрет на доступ в интернет - приложения все равно получают доступ в интернет.

iskander-k, Ограничиваю доступ программам с помощью Оутпост фаервол про.
Посмотрел логи, засунуть кейлогер в папку оутпоста это весело наверно.
А вот собственно логи

зачем KIS и Outpost на одном компьютере держится?? два файрвола конфликт легко создадут

Сейчас в КиС защита от сетевых атак отключенна,просто в КиС есть куча полезных опций каторых нету в КаВ

Pili, проверит логи и скажет что дальше делать.

у меня outpost 2009 ловит все клавиатурные шпионы на ура, помоему дело не в них вообще

Zusul666,
1. У Вас будут проблемы, если Вы оставите в системе КIS и Oupost вместе. И дело не в отключении защиты в одном из продуктов. Конфликты обеспечены на уровне драйверов. Придется удалить один из продуктов, тем более KIS вполне может заменить Outpost.
2. Проводилась ли проверка CureIt?
3. В AVZ меню Файл -- Выполнить скрипт. Скопируйте код и нажмите "Запустить".
4. После перезагрузки сделайте лог HijackThis еще раз и выложите.
5. У Вас возможен файловый вирус или разработчик сам добавляет апдейты в игру.
6. Неплохо будет, если Вы выложите новые логи уже без одного из файрволлов.

Цитата:

Цитата KXX у меня outpost 2009 ловит все клавиатурные шпионы на ура »

Этого нельзя утверждать

Zusul666, запустите AVZ с правами администратора и повторите все логи, защитное ПО на время формирования логов отключите, Oupost желательно совсем деинсталлировать.

Severny,
1 снес оутпост
2 да проводилась найден вирус в папке с драйвером к сетевой карте Win32.hllw.Gavir.ini
3 выложу чуть позже пока что выкладываю логи с правами админа и отключенным каспером
4
5 опдейты не выкладывались админами этот вопрос я специально уточнял,да и опдейтер кричал что ему отказано в доступе поскольку право на запись с папки было снято
6 да удалил оутпост
Вот логи с правами админа и выключенным каспером (Oupost удален)

Zusul666, Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.
Повторите лог virusinfo_syscheck.zip

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix

Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи OTViewIt.txt и Extras.txt и прикрепите к сообщению

Pili,
Письмо с quarantine.zip отправил
остальное тут

Блин забыл вот

Zusul666, файлы в карантине чистые, по логам ничего зловредного не вижу
Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов или выполните скрипт
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Большое спасибо.
когда работал Combofix, запустилась служба автоматического обновления(хотя служба была выключена) и Combofix провис где-то на 15 минут.Так и не дождавшись отклика я установил эти 7 обновлений и перезагрузил комп.Но дело в том что обновления уже были установлены на моем компе и он их просто переустановил. Может быть я что то сделал не правильно?
и еще вопрос в логах AVZ есть такие строчки:
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A5721F8 -> перехватчик не определен
Это нормально?

И может быть есть какое-то свое мнение на этот счет,почему под юзером возникает такая проблема а под админом все в порядке

Combofix включает неработающие, но с точки зрения безопасности нужные службы. Поэтому у тебя должны были включиться "Автоматическое обновление", "Служба безопасности системы" и т.п.
Не стоит обращать внимания.
Возможно под админом у AVZ хватает прав определить перехватчик.

Я неправильно выразился, вобщем почему при входе под юзером игра мне пишет "Loading of the keyboard module failed. Pleaze exit the game and reload" а под админом все впорядке.И если создать нового юзера там тоже все нормально (ну во всяком случае первых 2-3 дня)
Буду рад выслушать любые мнения на этот счет.

Severny,
угу 4 или 5 служб врубилпонял

Перехватчики м.б. от sptd.sys
Некоторые программы требуют прав админа, игры в том числе. Вопрос по проблеме в конкретной игре нужно обсуждать точно не в этом разделе форума.
Предположение - игра пытается что-то записать в ту область(реестр или папку на диске, например C:\windows\system32), куда нет права записи под пользователем, посмотреть что и куда та или иная программа пытается получить доступ можно с помощью regmon и filemon от sysenternals - см. здесь и соответственно раздать права на необходимые ветки реестра и папки или выход проще - запускать игру от имени администратора (можно на это время отключиться от сети)
Добавлю ещё, CоmboFix также доп. включает восстановление системы и перед каждым запуском создает доп. точку восстановления.

Мда стоило остаться без оутпоста всего на сутки и вот результат

..и что? Outpost обраружил трояна в реестре? Что-то же должен он обнаруживать.
В качестве сканера можешь попробовать эту программу Malwarebytes' Anti-Malware

я к тому что если бы остался с КИСом продолжал бы находиться в щастливом невежестве =) как это было с KGB-spy...
Каспер лучший антивирус по моему мнению,но оставлять только на него защиту своего компа не следует.
Это только мое мнение

По поводу чего? По поводу непонятного следа в реестре?

ну этого следа не было 2 дня назад, так же не было ни каких уведомлений со стороны каспера об удалении вредоносных програм(хотя в настройка стоят все галки)
А вобщем это уже пошел флуд

Zusul666, Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Сделайте новые лог AVZ virusinfo_syscheck.zip
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.