Just nu i M3-nätverket
Jump to content

Wow Keylogger


Datamilla

Recommended Posts

Någon bussig typ har lyckats lägga en keylogger på dotterns dator och har därigenom lyckats kidnappa hennes wowkonto. Hur hittar jag denna Keylogger?

Finns det program som söker enbart sådana?

Milla

 

Den som uppfann arbetet måste inte ha haft någonting att göra.

 

Link to comment
Share on other sites

Många keyloggers hittas av vanliga antivirus- och antispion/trojanprogram, så börja med att köra t ex AVG AntiSpyware:

http://rstones12.geekstogo.com/ewidosetup.htm

 

Sedan kan du ju lägga hit en HijackThis-logg om det inte hjälper så kan jag titta på den imorgon.

http://www.thespykiller.co.uk/files/HJTsetup.exe

 

Stoppar brandväggen keyloggern från att skicka informationen vidare?

 

Link to comment
Share on other sites

Stoppar brandväggen keyloggern från att skicka informationen vidare?

 

Troligen inte för vi vet inte vad vi ska stoppa. Någon har redan hennes lösenord och har ändrat det på wow-kontot så hon kommer inte in där. Blir ett fall för Blizzard. Kontot är sålt på ebay för flera tusen kronor då hon hade lvl 60 gubbe/gubbar där.

 

Hon hittade en fil på datorn

install_this.exe
som vi inte vet vad det var eller var den kom ifrån. Hon tog bort den med http://free.prevx.com/ som hon skannade med.

Dottern körde avast och den hittade något som hon tog bort men hon sa inte vad...? Avast hittade inte install_this filen som indikerades som trojan av prevx1.

 

Ska ge henne länken om AVG och hijack så postar jag imorgonkväll eller så.

 

 

Milla

 

Den som uppfann arbetet måste inte ha haft någonting att göra.

 

Link to comment
Share on other sites

Det var ju tråkigt att höra. :thumbsdown: Det vanligaste sättet att komma över lösenord är ju dock att gissa sig till dem och inte via keyloggers. Kolla igenom inställningarna i brandväggen och se till att där inte är godkänt några udda program.

 

Prevx kallar det för en del av Adware.Dollarrevenue (har inte med keyloggers att göra så vitt jag vet), då är det bra att köra ComboFix.

Ladda ner ComboFix:

http://download.bleepingcomputer.com/sUBs/combofix.exe

 

Kör den och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på Combofix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, klistra in den här, samt en ny HijackThis-logg.

 

Link to comment
Share on other sites

Combofix gick inte att köra den bara blinkade till med svart fönster.

 

Här kommer hijackloggen i alla fall. Hon kör Ewido nu.

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 16:49:21, on 2006-11-20

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Alwil Software\Avast4\aswUpdSv.exe

C:\Program\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program\Prevx1\PXAgent.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Program\Prevx1\PXConsole.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Alwil Software\Avast4\ashMaiSv.exe

C:\Program\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Application Data\Prevx\pxbho.dll

O4 - HKLM\..\Run: [avast!] C:\Program\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [PrevxOne] "C:\Program\Prevx1\PXConsole.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Desktop Calendar] C:\Program\Desktop Calendar\Desktop Calendar.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: Adobe Gamma.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Port för Symantec Fax Starter Edition.lnk = C:\Program\Microsoft Office\Office\1053\OLFSNT40.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program\Prevx1\PXAgent.exe" -f (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

[/log]

 

Ny logg kommer snart.

Milla

 

Den som uppfann arbetet måste inte ha haft någonting att göra.

 

Link to comment
Share on other sites

Någon bussig typ har lyckats lägga en keylogger på dotterns

dator

 

Har du provat att scanna datorn med Spybot Search & Destroy

http://www.safer-networking.org/sv/download/index.html

Uppdatera Spybot,scanna datorn,klicka sedan på Åtgärda markerat

problem för att fixa problem som Spybot hittar.Klicka sedan på

på immunisera för att inte få in fler dåliga programvaror i datorn.

 

Spybot brukar kunna hitta spyware,keyloggers och annat

otrevligt.

 

 

 

[inlägget ändrat 2006-11-20 18:18:49 av Brynäsarn]

Link to comment
Share on other sites

Har du provat att scanna datorn med Spybot Search & Destroy

 

Yes det har vi kört. Hittade inget mer än cookies. Har det och ad-aware på alla datorer + avast och zonealarm

 

Men tack ändå :=)

Milla

 

Den som uppfann arbetet måste inte ha haft någonting att göra.

 

Link to comment
Share on other sites

Cecilia ewido hittade inget tyvärr så sparades inte rapporten så vi får göra om den imorgon om det behövs.

 

Milla

 

Den som uppfann arbetet måste inte ha haft någonting att göra.

 

Link to comment
Share on other sites

Försök med ComboFix i felsäkert läge.

 

Gå till mappen C:\Program\Hijackthis med Utforskaren eller Den här datorn och byt namn på programmet HijackThis.exe till något annat, t ex rensning.exe, skapa sedan en ny logg som klistras in här, så får vi se om något mer syns i loggen.

 

Gå till http://www.virustotal.com/ klistra in följande filnamn i rutan, tryck på Send och vänta tills resultatet är klart (Status blir Finished). Klistra in resultatet (inkl. filstorlek) här.

C:\Program\Desktop Calendar\Desktop Calendar.exe

Om hon inte har haft det programmet väldigt länge och är säker på att det är ett bra program.

 

Link to comment
Share on other sites

C:\Program\Desktop Calendar\Desktop Calendar.exe

Om hon inte har haft det programmet väldigt länge och är säker på att det är ett bra program.

 

Det är ok Har det på flera datorer. Ska be henne fixa en log ikväll med rensning :=)

Milla

 

Den som uppfann arbetet måste inte ha haft någonting att göra.

 

Link to comment
Share on other sites

Hej igen Cecilia

 

Vi har gett upp å få saker att fungera så vi installerar om datorn. Det tar längre tid att trixa med program som inte vill fungera än och börja om känns det som. Jag tackar dig ändå för att du är så hjälpsam.

En eloge för ditt tålamod.

 

Milla

 

Den som uppfann arbetet måste inte ha haft någonting att göra.

 

Link to comment
Share on other sites

Tack själv för poängen! :)

Se till att det nya lösenordet är säkert, dvs innehåller siffror och/eller andra tecken förutom bokstäver och är minst 6 tecken långt och inte lätt att gissa sig fram till.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...