|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Подозрение на кейллогер |
|
|
[решено] Подозрение на кейллогер
|
Новый участник Сообщения: 7 |
Профиль | Отправить PM | Цитировать
Здравствуйте.
Я скачал для игры бота.После скачивания и запуска приложения ,оно вылетело и самоудалилось. Испугавшись я быстренько запустил AVZ ,он нашел в C:\Windows\SysWOW64\drivers какой-то файл ute3mjk4.sys и еще много всякой дряни. Сделал в разделе "Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему."... "Краткие правила по запросу помощи в лечении" и логи . Заранее спасибо |
|
Отправлено: 15:13, 11-11-2013 |
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать Цитата Kokosomen:
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве |
|
------- Отправлено: 15:45, 11-11-2013 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Лог сделал.
Если есть возможность посмотрите ,я скинул в архиве что я запускал.Может просто ложную тревогу забил и ничего такого особого там не было? |
Отправлено: 17:01, 11-11-2013 | #3 |
Пользователь Сообщения: 110
|
Профиль | Сайт | Цитировать Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Подробнее читайте в руководстве Обнаруженные ключи в реестре: 18 HKCR\AppID\{7169BBB3-3289-4696-B35D-4A88BCF6FB12} (PUP.Optional.WebCake.A) -> Действие не было предпринято. HKCR\CLSID\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.WebCake) -> Действие не было предпринято. HKCR\TypeLib\{EFDF368C-8DD9-4E05-87CD-16AA5CB03CB8} (PUP.WebCake) -> Действие не было предпринято. HKCR\Interface\{0AFD55C8-ADF8-4A33-A6E1-DEDB7A36AEB4} (PUP.WebCake) -> Действие не было предпринято. HKCR\WebCakeIEClient.Layers.1 (PUP.WebCake) -> Действие не было предпринято. HKCR\WebCakeIEClient.Layers (PUP.WebCake) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.WebCake) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.WebCake) -> Действие не было предпринято. HKCR\CLSID\{AF6B0594-6008-4327-93E5-608AD710A6FA} (PUP.Optional.WebCake.A) -> Действие не было предпринято. HKCR\WebCakeIEClient.Api.1 (PUP.Optional.WebCake.A) -> Действие не было предпринято. HKCR\WebCakeIEClient.Api (PUP.Optional.WebCake.A) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AF6B0594-6008-4327-93E5-608AD710A6FA} (PUP.Optional.WebCake.A) -> Действие не было предпринято. HKCR\CLSID\{BB975E58-E769-4E5A-BA12-B765BC559FF3} (PUP.Optional.WebCake.A) -> Действие не было предпринято. HKCR\CLSID\{DF84E609-C3A4-49CB-A160-61767DAF8899} (PUP.Optional.WebCake.A) -> Действие не было предпринято. HKCR\Interface\{DF84E609-C3A4-49CB-A160-61767DAF8899} (PUP.Optional.WebCake.A) -> Действие не было предпринято. HKCR\AppID\WebCakeIEClient.DLL (PUP.WebCake) -> Действие не было предпринято. HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято. HKLM\SOFTWARE\Google\Chrome\Extensions\fjoijdanhaiflhibkljeklcghcmmfffh (PUP.WebCake) -> Действие не было предпринято. Обнаруженные параметры в реестре: 1 HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0R1R1L0E1Q -> Действие не было предпринято. Обнаруженные папки: 3 C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38} (PUP.WebCake) -> Действие не было предпринято. C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Cache (PUP.WebCake) -> Действие не было предпринято. C:\Program Files (x86)\Web Cake (PUP.Optional.WebCake.A) -> Действие не было предпринято. Обнаруженные файлы: C:\Users\Общий\AppData\Local\Temp\is40051056\6066681_Setup.EXE (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\Общий\AppData\Roaming\Web Cake\WebCakeDesktop.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято. C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.ico (PUP.WebCake) -> Действие не было предпринято. C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.dat (PUP.WebCake) -> Действие не было предпринято. C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.exe (PUP.WebCake) -> Действие не было предпринято. C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\_Setup.dll (PUP.WebCake) -> Действие не было предпринято. C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\_Setupx.dll (PUP.WebCake) -> Действие не было предпринято. C:\Program Files (x86)\Web Cake\WebCakeDesktop.Updater.InstallState (PUP.Optional.WebCake.A) -> Действие не было предпринято. C:\Program Files (x86)\Web Cake\OptChrome.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято. C:\Program Files (x86)\Web Cake\sqlite3.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято. C:\Program Files (x86)\Web Cake\WebCakeDesktop.Updater.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято. C:\Program Files (x86)\Web Cake\WebCakeLayers.crx (PUP.Optional.WebCake.A) -> Действие не было предпринято. |
Отправлено: 18:05, 11-11-2013 | #4 |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Вообщем 1 лог сделал после того как почистил как сказано выше и написано в руководстве (mbam-log-2013-11-11 (18-56-21))
2 лог сделал после нового сканирования (MBAM-log-2013-11-11 (21-06-09)) |
|
Отправлено: 21:08, 11-11-2013 | #5 |
Пользователь Сообщения: 110
|
Профиль | Сайт | Цитировать В MBAM удалили кое что лишнее. Ну да ладно.
Сделайте новые логи по правилам (http://forum.oszone.net/thread-98169.html) диагностики. |
Отправлено: 21:28, 11-11-2013 | #6 |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Всего лишь sandboxie удалил,не велика потеря.
Если не трудно объясните что означает все то что я удалил. При новом сборе логов AVZ выдавал вот это |
Отправлено: 21:42, 11-11-2013 | #7 |
Пользователь Сообщения: 110
|
Профиль | Сайт | Цитировать Удаляем программное обеспечение, содержащее рекламу.
1. Удалите через установка и удаление программ (программы и компоненты): 2.
Подробнее читайте в этом руководстве. 3. Что находится в этих папках? |
Отправлено: 22:05, 11-11-2013 | #8 |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать 1)Не совсем понял что нужно сделать
2)Готово 3)Первое скорее всего от фотошопа Второе от игры |
Отправлено: 22:29, 11-11-2013 | #9 |
Пользователь Сообщения: 110
|
Профиль | Сайт | Цитировать 1. Откройте панель управления => Установка и удаление программ (Программы и компоненты) => Удалите Web Cake 3.00
2.
Подробнее читайте в этом руководстве. 3. Сделайте новые логи RSIT. |
Отправлено: 22:40, 11-11-2013 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Подозрение на вирус | warikkk | Лечение систем от вредоносных программ | 5 | 21-03-2013 17:46 | |
Подозрение на заражение | dio09 | Лечение систем от вредоносных программ | 11 | 02-01-2013 18:15 | |
Подозрение на вирусы | StuffLive | Лечение систем от вредоносных программ | 7 | 21-04-2011 13:38 | |
подозрение на заражение. | jok17er | Лечение систем от вредоносных программ | 16 | 30-10-2010 23:31 | |
Подозрение на вирус | Tanusik | Лечение систем от вредоносных программ | 2 | 13-04-2008 16:30 |
|