[решено] Подозрение на кейллогер

Drongo · Конфигурация компьютера

Цитата Kokosomen:

запустил AVZ ,он нашел в C:\Windows\SysWOW64\drivers какой-то файл ute3mjk4.sys »

Это драйвер самого авз, т.е. авз произвёл самодетект на себя, здесь ничего страшного нет. Логи чистые, но для страховки сделайте ещё логи МВАМ.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Kokosomen · MBAM-log-2013-11-11 (16-55-49).txt

Лог сделал.
Если есть возможность посмотрите ,я скинул в архиве что я запускал.Может просто ложную тревогу забил и ничего такого особого там не было?

mike 1 · Отправлено: **18:05, 11-11-2013** | #4

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:

Обнаруженные ключи в реестре:  18
HKCR\AppID\{7169BBB3-3289-4696-B35D-4A88BCF6FB12} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\CLSID\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.WebCake) -> Действие не было предпринято.
HKCR\TypeLib\{EFDF368C-8DD9-4E05-87CD-16AA5CB03CB8} (PUP.WebCake) -> Действие не было предпринято.
HKCR\Interface\{0AFD55C8-ADF8-4A33-A6E1-DEDB7A36AEB4} (PUP.WebCake) -> Действие не было предпринято.
HKCR\WebCakeIEClient.Layers.1 (PUP.WebCake) -> Действие не было предпринято.
HKCR\WebCakeIEClient.Layers (PUP.WebCake) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.WebCake) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.WebCake) -> Действие не было предпринято.
HKCR\CLSID\{AF6B0594-6008-4327-93E5-608AD710A6FA} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\WebCakeIEClient.Api.1 (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\WebCakeIEClient.Api (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AF6B0594-6008-4327-93E5-608AD710A6FA} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\CLSID\{BB975E58-E769-4E5A-BA12-B765BC559FF3} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\CLSID\{DF84E609-C3A4-49CB-A160-61767DAF8899} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\Interface\{DF84E609-C3A4-49CB-A160-61767DAF8899} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCR\AppID\WebCakeIEClient.DLL (PUP.WebCake) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\Chrome\Extensions\fjoijdanhaiflhibkljeklcghcmmfffh (PUP.WebCake) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0R1R1L0E1Q -> Действие не было предпринято.

Обнаруженные папки:  3
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38} (PUP.WebCake) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Cache (PUP.WebCake) -> Действие не было предпринято.
C:\Program Files (x86)\Web Cake (PUP.Optional.WebCake.A) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Users\Общий\AppData\Local\Temp\is40051056\6066681_Setup.EXE (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Общий\AppData\Roaming\Web Cake\WebCakeDesktop.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.ico (PUP.WebCake) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.dat (PUP.WebCake) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.exe (PUP.WebCake) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\_Setup.dll (PUP.WebCake) -> Действие не было предпринято.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\_Setupx.dll (PUP.WebCake) -> Действие не было предпринято.
C:\Program Files (x86)\Web Cake\WebCakeDesktop.Updater.InstallState (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\Program Files (x86)\Web Cake\OptChrome.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\Program Files (x86)\Web Cake\sqlite3.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\Program Files (x86)\Web Cake\WebCakeDesktop.Updater.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято.
C:\Program Files (x86)\Web Cake\WebCakeLayers.crx (PUP.Optional.WebCake.A) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Kokosomen · mbam-log-2013-11-11 (18-56-21).txt

Вообщем 1 лог сделал после того как почистил как сказано выше и написано в руководстве (mbam-log-2013-11-11 (18-56-21))
2 лог сделал после нового сканирования (MBAM-log-2013-11-11 (21-06-09))

mike 1 · Отправлено: **21:28, 11-11-2013** | #6

В MBAM удалили кое что лишнее. Ну да ладно.

Сделайте новые логи по правилам (http://forum.oszone.net/thread-98169.html) диагностики.

Kokosomen · CollectionLog-2013.11.11-21.35.zip

Всего лишь sandboxie удалил,не велика потеря.
Если не трудно объясните что означает все то что я удалил.
При новом сборе логов AVZ выдавал вот это

Функция ntdll.dll:LdrLoadDll (137) перехвачена, метод APICodeHijack.JmpTo[000301EE]
Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[000303F2]
Функция ntdll.dll:NtAllocateVirtualMemory (197) перехвачена, метод APICodeHijack.JmpTo[000305F6]
Функция ntdll.dll:NtFreeVirtualMemory (310) перехвачена, метод APICodeHijack.JmpTo[000307FA]
Функция ntdll.dll:NtProtectVirtualMemory (395) перехвачена, метод APICodeHijack.JmpTo[000309FE]
Функция ntdll.dll:NtSetContextThread (496) перехвачена, метод APICodeHijack.JmpTo[00030E06]
Функция ntdll.dll:NtTerminateProcess (550) перехвачена, метод APICodeHijack.JmpTo[00030C02]
Функция ntdll.dll:ZwAllocateVirtualMemory (1449) перехвачена, метод APICodeHijack.JmpTo[000305F6]
Функция ntdll.dll:ZwFreeVirtualMemory (1561) перехвачена, метод APICodeHijack.JmpTo[000307FA]
Функция ntdll.dll:ZwProtectVirtualMemory (1645) перехвачена, метод APICodeHijack.JmpTo[000309FE]
Функция ntdll.dll:ZwSetContextThread (1746) перехвачена, метод APICodeHijack.JmpTo[00030E06]
Функция ntdll.dll:ZwTerminateProcess (1800) перехвачена, метод APICodeHijack.JmpTo[00030C02]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[000E01EE]
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[000E05F6]
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[000E07FA]
Функция user32.dll:UnhookWinEvent (2279) перехвачена, метод APICodeHijack.JmpTo[000E03F2]
Функция user32.dll:UnhookWindowsHookEx (2281) перехвачена, метод APICodeHijack.JmpTo[000E09FE]

mike 1 · Отправлено: **22:05, 11-11-2013** | #8

Удаляем программное обеспечение, содержащее рекламу.

1. Удалите через установка и удаление программ (программы и компоненты):

Код:

Web Cake 3.00-->C:\PROGRA~3\TARMAI~1\{C4ED7~1\Setup.exe /remove /q0

2.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

3. Что находится в этих папках?

Код:

C:\Users\Общий\AppData\Roaming\AdobeUM
C:\ProgramData\nloader

Kokosomen · Отправлено: **22:29, 11-11-2013** | #9

1)Не совсем понял что нужно сделать
2)Готово
3)Первое скорее всего от фотошопа
Второе от игры

mike 1 · Отправлено: **22:40, 11-11-2013** | #10

1. Откройте панель управления => Установка и удаление программ (Программы и компоненты) => Удалите Web Cake 3.00

2.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".

По окончанию сканирования снимите галочки со следующих строк:

Код:

Folder Found C:\Program Files (x86)\driver-soft
Key Found : HKLM\SOFTWARE\Classes\CLSID\{00000001-4FEF-40D3-B3FA-E0531B897F98}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{64697678-0000-0010-8000-00AA00389B71}

Нажмите кнопку "Clean" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

3. Сделайте новые логи RSIT.