Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Подозрение на кейллогер (http://forum.oszone.net/showthread.php?t=271807)

Kokosomen 11-11-2013 15:13 2252025
Подозрение на кейллогер
 
Вложений: 1
Здравствуйте.
Я скачал для игры бота.После скачивания и запуска приложения ,оно вылетело и самоудалилось. Испугавшись я быстренько запустил AVZ ,он нашел в C:\Windows\SysWOW64\drivers какой-то файл ute3mjk4.sys и еще много всякой дряни.
Сделал в разделе
"Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему."... "Краткие правила по запросу помощи в лечении"
и логи .
Заранее спасибо

Drongo 11-11-2013 15:45 2252056
Цитата:
Цитата Kokosomen
запустил AVZ ,он нашел в C:\Windows\SysWOW64\drivers какой-то файл ute3mjk4.sys »
Это драйвер самого авз, т.е. авз произвёл самодетект на себя, здесь ничего страшного нет. Логи чистые, но для страховки сделайте ещё логи МВАМ.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Kokosomen 11-11-2013 17:01 2252104
Вложений: 2
Лог сделал.
Если есть возможность посмотрите ,я скинул в архиве что я запускал.Может просто ложную тревогу забил и ничего такого особого там не было?

mike 1 11-11-2013 18:05 2252157
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:
Обнаруженные ключи в реестре:  18
HKCR\AppID\{7169BBB3-3289-4696-B35D-4A88BCF6FB12} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\CLSID\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.WebCake) -> Действие не было предпринято.
HKCR\TypeLib\{EFDF368C-8DD9-4E05-87CD-16AA5CB03CB8} (PUP.WebCake) -> Действие не было предпринято.
HKCR\Interface\{0AFD55C8-ADF8-4A33-A6E1-DEDB7A36AEB4} (PUP.WebCake) -> Действие не было предпринято.
HKCR\WebCakeIEClient.Layers.1 (PUP.WebCake) -> Действие не было предпринято.
HKCR\WebCakeIEClient.Layers (PUP.WebCake) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.WebCake) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.WebCake) -> Действие не было предпринято.
HKCR\CLSID\{AF6B0594-6008-4327-93E5-608AD710A6FA} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\WebCakeIEClient.Api.1 (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\WebCakeIEClient.Api (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AF6B0594-6008-4327-93E5-608AD710A6FA} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\CLSID\{BB975E58-E769-4E5A-BA12-B765BC559FF3} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\CLSID\{DF84E609-C3A4-49CB-A160-61767DAF8899} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\Interface\{DF84E609-C3A4-49CB-A160-61767DAF8899} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\AppID\WebCakeIEClient.DLL (PUP.WebCake) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\Chrome\Extensions\fjoijdanhaiflhibkljeklcghcmmfffh (PUP.WebCake) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0R1R1L0E1Q -> Действие не было предпринято.

Обнаруженные папки:  3
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38} (PUP.WebCake) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Cache (PUP.WebCake) -> Действие не было предпринято.
C:\Program Files (x86)\Web Cake (PUP.Optional.WebCake.A) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Users\Общий\AppData\Local\Temp\is40051056\6066681_Setup.EXE (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Общий\AppData\Roaming\Web Cake\WebCakeDesktop.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.ico (PUP.WebCake) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.dat (PUP.WebCake) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.exe (PUP.WebCake) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\_Setup.dll (PUP.WebCake) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\_Setupx.dll (PUP.WebCake) -> Действие не было предпринято.
C:\Program Files (x86)\Web Cake\WebCakeDesktop.Updater.InstallState (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\Program Files (x86)\Web Cake\OptChrome.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\Program Files (x86)\Web Cake\sqlite3.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\Program Files (x86)\Web Cake\WebCakeDesktop.Updater.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\Program Files (x86)\Web Cake\WebCakeLayers.crx (PUP.Optional.WebCake.A) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Kokosomen 11-11-2013 21:08 2252319
Вложений: 2
Вообщем 1 лог сделал после того как почистил как сказано выше и написано в руководстве (mbam-log-2013-11-11 (18-56-21))
2 лог сделал после нового сканирования (MBAM-log-2013-11-11 (21-06-09))

mike 1 11-11-2013 21:28 2252336
В MBAM удалили кое что лишнее. Ну да ладно.

Сделайте новые логи по правилам (http://forum.oszone.net/thread-98169.html) диагностики.

Kokosomen 11-11-2013 21:42 2252349
Вложений: 1
Всего лишь sandboxie удалил,не велика потеря.
Если не трудно объясните что означает все то что я удалил.
При новом сборе логов AVZ выдавал вот это

читать дальше »
Функция ntdll.dll:LdrLoadDll (137) перехвачена, метод APICodeHijack.JmpTo[000301EE]
Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[000303F2]
Функция ntdll.dll:NtAllocateVirtualMemory (197) перехвачена, метод APICodeHijack.JmpTo[000305F6]
Функция ntdll.dll:NtFreeVirtualMemory (310) перехвачена, метод APICodeHijack.JmpTo[000307FA]
Функция ntdll.dll:NtProtectVirtualMemory (395) перехвачена, метод APICodeHijack.JmpTo[000309FE]
Функция ntdll.dll:NtSetContextThread (496) перехвачена, метод APICodeHijack.JmpTo[00030E06]
Функция ntdll.dll:NtTerminateProcess (550) перехвачена, метод APICodeHijack.JmpTo[00030C02]
Функция ntdll.dll:ZwAllocateVirtualMemory (1449) перехвачена, метод APICodeHijack.JmpTo[000305F6]
Функция ntdll.dll:ZwFreeVirtualMemory (1561) перехвачена, метод APICodeHijack.JmpTo[000307FA]
Функция ntdll.dll:ZwProtectVirtualMemory (1645) перехвачена, метод APICodeHijack.JmpTo[000309FE]
Функция ntdll.dll:ZwSetContextThread (1746) перехвачена, метод APICodeHijack.JmpTo[00030E06]
Функция ntdll.dll:ZwTerminateProcess (1800) перехвачена, метод APICodeHijack.JmpTo[00030C02]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[000E01EE]
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[000E05F6]
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[000E07FA]
Функция user32.dll:UnhookWinEvent (2279) перехвачена, метод APICodeHijack.JmpTo[000E03F2]
Функция user32.dll:UnhookWindowsHookEx (2281) перехвачена, метод APICodeHijack.JmpTo[000E09FE]

mike 1 11-11-2013 22:05 2252361
Удаляем программное обеспечение, содержащее рекламу.

1. Удалите через установка и удаление программ (программы и компоненты):

Код:
Web Cake 3.00-->C:\PROGRA~3\TARMAI~1\{C4ED7~1\Setup.exe /remove /q0
2.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

3. Что находится в этих папках?

Код:
C:\Users\Общий\AppData\Roaming\AdobeUM
C:\ProgramData\nloader

Kokosomen 11-11-2013 22:29 2252380
Вложений: 1
1)Не совсем понял что нужно сделать
2)Готово
3)Первое скорее всего от фотошопа
Второе от игры

mike 1 11-11-2013 22:40 2252394
1. Откройте панель управления => Установка и удаление программ (Программы и компоненты) => Удалите Web Cake 3.00

2.
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    Folder Found C:\Program Files (x86)\driver-soft
    Key Found : HKLM\SOFTWARE\Classes\CLSID\{00000001-4FEF-40D3-B3FA-E0531B897F98}
    Key Found : HKLM\SOFTWARE\Classes\CLSID\{64697678-0000-0010-8000-00AA00389B71}
  • Нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

3. Сделайте новые логи RSIT.

Kokosomen 11-11-2013 23:21 2252430
Вложений: 3
Все готово.
Как я понял ,ничего особо критического для пк не было,кроме рекламы?

mike 1 12-11-2013 11:24 2252664
Здравствуйте похоже я ошибся немного удалите в AdwCleaner еще эту запись:

Код:
[x] Not Deleted : HKLM\SOFTWARE\Classes\CLSID\{00000001-4FEF-40D3-B3FA-E0531B897F98}
После удаления прикрепите отчет C:\AdwCleaner\AdwCleaner[S1].txt

Kokosomen 12-11-2013 17:12 2252996
Вложений: 1
Готово

mike 1 12-11-2013 18:19 2253063
Что с проблемой?


Время: 00:24.

Время: 00:24.
© OSzone.net 2001-