Just nu i M3-nätverket
Jump to content

Omöjlig keylogger!


tompish91

Recommended Posts

Hej!

Jag har fått en keylogger på datorn. Det vet jag eftersom både min hotmail och wow acc blev hackat. Det verkar vara det enda keyloggern var intresserad av. Hursomhelst har jag testa i princip alla gratis spyware och antivirus program, och de hittar ingenting. Spyware programmen hittar endas några cookies. Jag börjar få slut med alternativ och jag måste få bort keyloggern innan något allvarligare händer, som att han t.ex tar mitt paypal account.

Några förslag hur jag kan få bort det?

//Mvh Tom

Link to comment
Share on other sites

Det vanligaste sättet för någon att komma över lösenord till hotmail är på en phisingsida, dvs du har skrivit in ditt lösenord på en sida som du trodde var riktig men som var falsk. Har du fått tillbaka dina konton och kunnat byta lösenord samt "hemlig" fråga?

 

Men vi kan kolla om en logg visar något ovanligt. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

Link to comment
Share on other sites

Det var ingen dålig gissning, händer många att dom blir skammade på det sättet. Men jag har inte registrerat mig på något nytt på sistone.

 

 

mRun: [PWRISOVM.EXE] C:\Program Files (x86)\PowerISO\PWRISOVM.EXE

mRun: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"

mRun: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

mRun: [bambooCore] C:\Program Files (x86)\Bamboo Dock\BambooCore.exe

mRun: [switchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

mRun: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin

mRun: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime

mRun: [Net iD] "C:\Program Files (x86)\Net iD\iid.exe"

mRun: [VMware hqtray] "C:\Program Files (x86)\VMware\VMware Player\hqtray.exe"

StartupFolder: C:\Users\T-Dawg\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\OPENOF~1.LNK - C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe

StartupFolder: C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\Startup\MICROS~1.LNK - C:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE

mPolicies-explorer: NoActiveDesktop = 1 (0x1)

mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)

mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)

mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)

mPolicies-system: EnableUIADesktopToggle = 0 (0x0)

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL

LSP: C:\Program Files (x86)\VMware\VMware Player\vsocklib.dll

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

DPF: {99CAAA27-FA0C-4FA4-B88A-4AB1CC7A17FE} - hxxp://www.netgame.com/mplugin/mglaunch_USAv1005.cab

DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

TCP: {BEBF6AD3-0845-4579-ACCE-987A41008D30} = 83.225.245.11,83.255.245.11

Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files (x86)\Common Files\microsoft shared\Web Folders\PKMCDO.DLL

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL

TB-X64: {CD90BF73-20F6-44EF-993D-BB920303BD2E} - No File

TB-X64: {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No File

mRun-x64: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

mRun-x64: [AsioThk32Reg] %SYSTEMROOT%\SYSWOW64\REGSVR32.EXE /S %SYSTEMROOT%\SYSWOW64\CTASIO.DLL

mRun-x64: [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"

 

============= SERVICES / DRIVERS ===============

 

R1 vwififlt;Virtual WiFi Filter Driver;C:\Windows\System32\drivers\vwififlt.sys [2009-7-14 59904]

R2 TabletServicePen;TabletServicePen;C:\Windows\System32\Pen_Tablet.exe [2010-9-2 5414184]

R2 VMUSBArbService;VMware USB Arbitration Service;C:\Program Files (x86)\Common Files\VMware\USB\vmware-usbarbitrator.exe [2010-1-22 563760]

R2 WTouchService;WTouch Service;C:\Program Files\WTouch\WTouchService.exe [2010-9-2 127272]

R3 PTSimBus;PenTablet Bus Enumerator;C:\Windows\System32\drivers\PTSimBus.sys [2010-4-23 27304]

S3 arusb_win7x;Service For TP-LINK Wireless N Adapter;C:\Windows\System32\drivers\arusb_win7x.sys [2010-4-13 769024]

S3 npggsvc;nProtect GameGuard Service;C:\Windows\system32\GameMon.des -service --> C:\Windows\system32\GameMon.des -service [?]

S3 PTSimHid;PenTablet Simulated HID MiniDriver;C:\Windows\System32\drivers\PTSimHid.sys [2010-4-23 17064]

S3 SwitchBoard;SwitchBoard;C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-2-19 517096]

S3 WatAdminSvc;Windows Activation Technologies Service;C:\Windows\System32\Wat\WatAdminSvc.exe [2010-5-28 1255736]

 

=============== Created Last 30 ================

 

2010-12-09 12:52:48 -------- d-----w- C:\Program Files (x86)\Common Files\Wise Installation Wizard

2010-12-09 11:45:05 -------- d-----w- C:\Program Files (x86)\Spybot - Search & Destroy

2010-12-09 11:45:05 -------- d-----w- C:\PROGRA~3\Spybot - Search & Destroy

2010-12-09 11:18:49 -------- d-----w- C:\PROGRA~3\SecTaskMan

2010-12-09 11:18:45 -------- d-----w- C:\Program Files (x86)\Security Task Manager

2010-12-08 19:17:49 -------- d-----w- C:\Users\T-Dawg\AppData\Roaming\AVG10

2010-12-08 19:16:33 -------- d--h--w- C:\PROGRA~3\Common Files

2010-12-08 19:15:10 -------- d-----w- C:\PROGRA~3\AVG10

2010-12-08 19:09:09 -------- d-----w- C:\PROGRA~3\MFAData

2010-12-08 19:05:12 -------- d-----w- C:\Windows\System32\appmgmt

2010-12-08 17:04:51 -------- d-----w- C:\PROGRA~3\Alwil Software

2010-12-08 12:42:00 33856 ---ha-w- C:\Windows\System32\hamachi.sys

2010-12-07 08:00:44 8199504 ----a-w- C:\PROGRA~3\Microsoft\Windows Defender\Definition Updates\{F805DD43-F510-46CA-A29F-F73ADA01C346}\mpengine.dll

2010-12-04 02:05:17 729088 ----a-w- C:\Windows\iun6002.exe

2010-12-03 20:46:15 -------- d-----w- C:\Program Files (x86)\Steam

2010-12-03 20:46:15 -------- d-----w- C:\Program Files (x86)\Common Files\Steam

2010-12-01 21:26:51 2381824 ----a-w- C:\Windows\SysWow64\mshtml.tlb

2010-12-01 21:26:51 2381824 ----a-w- C:\Windows\System32\mshtml.tlb

2010-12-01 21:26:50 1448448 ----a-w- C:\Windows\SysWow64\inetcpl.cpl

2010-12-01 21:26:49 1502208 ----a-w- C:\Windows\System32\inetcpl.cpl

2010-12-01 10:16:02 40960 ----a-r- C:\Users\T-Dawg\AppData\Roaming\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\NewShortcut1_9559F7CA5E344237A2D9D856464AD727.exe

2010-12-01 10:16:02 40960 ----a-r- C:\Users\T-Dawg\AppData\Roaming\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\ARPPRODUCTICON.exe

2010-12-01 10:16:00 -------- d-----w- C:\Program Files (x86)\Project64 1.6

2010-12-01 08:58:38 206848 ----a-w- C:\Windows\System32\mfps.dll

2010-12-01 08:57:34 466432 ----a-w- C:\Windows\System32\XpsGdiConverter.dll

2010-12-01 08:57:34 279552 ----a-w- C:\Windows\SysWow64\XpsGdiConverter.dll

2010-12-01 08:57:34 229888 ----a-w- C:\Windows\System32\XpsRasterService.dll

2010-12-01 08:57:34 135168 ----a-w- C:\Windows\SysWow64\XpsRasterService.dll

2010-12-01 08:57:05 1863680 ----a-w- C:\Windows\System32\ExplorerFrame.dll

2010-12-01 08:57:05 1495040 ----a-w- C:\Windows\SysWow64\ExplorerFrame.dll

2010-12-01 08:56:43 -------- d-----w- C:\Program Files (x86)\Feedback Tool

2010-11-19 02:22:57 -------- d-----w- C:\Users\T-Dawg\AppData\Roaming\codeblocks

2010-11-19 02:22:22 -------- d-----w- C:\Program Files (x86)\CodeBlocks

2010-11-18 18:44:22 80944 ----a-w- C:\Windows\System32\drivers\vmci.sys

2010-11-18 18:44:15 68656 ----a-w- C:\Windows\System32\drivers\vmx86.sys

2010-11-18 18:43:19 55344 ----a-w- C:\Windows\System32\vnetinst.dll

2010-11-18 18:43:19 20016 ----a-w- C:\Windows\System32\drivers\vmnetadapter.sys

2010-11-18 18:43:13 334384 ----a-w- C:\Windows\SysWow64\vmnetdhcp.exe

2010-11-18 18:43:09 395824 ----a-w- C:\Windows\SysWow64\vmnat.exe

2010-11-18 18:43:09 30256 ----a-w- C:\Windows\System32\drivers\vmnetuserif.sys

2010-11-18 18:43:02 56880 ----a-r- C:\Windows\System32\vmnetbridge.dll

2010-11-18 18:43:02 45104 ----a-r- C:\Windows\System32\drivers\vmnetbridge.sys

2010-11-18 18:43:02 24112 ----a-r- C:\Windows\System32\drivers\vmnet.sys

2010-11-18 18:42:58 958000 ----a-w- C:\Windows\System32\vnetlib64.dll

2010-11-18 18:41:19 29744 ----a-w- C:\Windows\System32\drivers\VMkbd.sys

2010-11-18 18:41:16 38960 ----a-w- C:\Windows\System32\drivers\hcmon.sys

2010-11-18 18:40:16 -------- d-----w- C:\Program Files (x86)\Common Files\VMware

2010-11-18 18:40:06 -------- d-----w- C:\PROGRA~3\VMware

2010-11-18 18:39:43 -------- d-----w- C:\Program Files (x86)\VMware

2010-11-17 16:26:04 -------- d-----w- C:\Program Files (x86)\Microsoft Visual Studio 8

 

==================== Find3M ====================

 

2010-11-02 01:15:34 34064 ----a-w- C:\Windows\SysWow64\lhacm.acm

2010-10-19 09:41:44 270720 ------w- C:\Windows\System32\MpSigStub.exe

2010-09-20 12:51:40 499712 ----a-w- C:\Windows\SysWow64\msvcp71.dll

2010-09-20 12:51:40 348160 ----a-w- C:\Windows\SysWow64\msvcr71.dll

2010-09-15 02:50:37 472808 ----a-w- C:\Windows\SysWow64\deployJava1.dll

 

============= FINISH: 17:19:22,39 ===============

Link to comment
Share on other sites

Du har inte klistrat in hela DDS-loggen.

 

Varför har du inget antivirusprogram igång?

 

Har du själv installerat Hamachi?

2010-12-08 12:42:00 33856 ---ha-w- C:\Windows\System32\hamachi.sys

Använt det mot någon server som någon med illasinnade tankar kan tänkas stå bakom?

Additional risk of disclosure of sensitive data which is stored or may be logged by the mediation server
http://en.wikipedia.org/wiki/Hamachi_%28software%29
Link to comment
Share on other sites

Det är ingen misstänkt som kommer upp i mitt huvud direkt. Men vem vet, kanske var via hamachi någon elaking gjorde något dumt. Min teori är dock att jag fick den från någon av mina nedladdningar från thepiratebay, för jag hade varken virusskydd eller brandvägg på ett tag. (jag vet att det är extremt korkat, var inte själv medveten om det).

Förlåtn jag verkade ha missat lite i DDS filen.

 

 

 

DDS (Ver_10-12-05.01) - NTFS_AMD64

Run by T-Dawg at 17:18:29,53 on 2010-12-09

Internet Explorer: 9.0.7930.16406

Microsoft Windows 7 Ultimate 6.1.7600.0.1252.46.1033.18.2047.915 [GMT 1:00]

 

 

============== Running Processes ===============

 

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\nvvsvc.exe

C:\Windows\system32\svchost.exe -k RPCSS

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k LocalService

C:\Program Files\WTouch\WTouchService.exe

C:\Windows\system32\nvvsvc.exe

C:\Windows\SYSTEM32\WISPTIS.EXE

C:\Windows\system32\svchost.exe -k NetworkService

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\sppsvc.exe

C:\Windows\system32\Pen_Tablet.exe

C:\Program Files (x86)\Common Files\VMware\USB\vmware-usbarbitrator.exe

C:\Windows\SysWOW64\vmnat.exe

C:\Windows\System32\Drivers\WTSRV.EXE

C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe

C:\Windows\SysWOW64\vmnetdhcp.exe

C:\Windows\system32\WUDFHost.exe

C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

C:\Windows\system32\taskhost.exe

C:\Windows\SYSTEM32\WISPTIS.EXE

C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\WTouch\WTouchUser.exe

C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe

C:\Windows\system32\WTablet\Pen_TabletUser.exe

C:\Windows\system32\Pen_Tablet.exe

C:\Program Files (x86)\Veoh Networks\VeohWebPlayer\veohwebplayer.exe

C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation

C:\Program Files (x86)\Bamboo Dock\Bamboo Dock\Bamboo Dock.exe

C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe

C:\Windows\SysWOW64\CTHELPER.EXE

C:\Windows\SysWOW64\CTXFIHLP.EXE

C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe

C:\Program Files (x86)\PowerISO\PWRISOVM.EXE

C:\Program Files (x86)\Adobe\Reader 9.0\Reader\reader_sl.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe

C:\Windows\SysWOW64\CTXFISPI.EXE

C:\Program Files (x86)\Bamboo Dock\BambooCore.exe

C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin

C:\Program Files (x86)\Net iD\iid.exe

C:\Program Files (x86)\VMware\VMware Player\hqtray.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\system32\SearchIndexer.exe

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Users\T-Dawg\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Windows\system32\SearchProtocolHost.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\T-Dawg\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\T-Dawg\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\T-Dawg\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\T-Dawg\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\T-Dawg\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\T-Dawg\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\T-Dawg\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\T-Dawg\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Windows\System32\svchost.exe -k LocalServicePeerNet

C:\Windows\system32\DllHost.exe

C:\Windows\system32\DllHost.exe

C:\Users\T-Dawg\Downloads\dds.scr

C:\Windows\system32\conhost.exe

Link to comment
Share on other sites

Men du ser ju ut att ha AVG och/eller Avast installerat. Varför är det inte igång och skyddar datorn? Syftet är att antivirusprogrammen ska stoppa skadliga program innan de har hunnit lägga in en massa skadliga filer och ändrat om inställningar.

 

Illegala nedladdningar är en mycket vanlig källa till skadliga program. Jag hoppas att du har avinstallerat allihop och tagit bort deras mappar för det är ju omöjligt att i en logg se att en fil i t ex en Photoshop-mapp är infekterad. Motsvarande gäller förstås en illegal Windows.

 

Det saknas fortfarande en bit från DDS-loggen, samt Attach-loggen.

 

Skanna datorn online på http://www.eset.com/onlinescan/

För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

 

Avbocka alternativet "Remove found threats"

Bocka för "Scan Archives

 

Klicka på "Advanced Settings"

Bocka för:

Scan for potentially unwanted applications

Scan for potentially unsafe applications

Enable Anti-Stealth Technology

 

Tryck på Scan

 

När skanningen är klar skapas loggfilen C:\Program\Eset\Eset Online Scanner\log.txt. Öppna den i Anteckningar och klistra sedan in innehållet i ditt svar.

Link to comment
Share on other sites

Sharken:

Ditt inlägg är flyttat till sin egen tråd: //eforum.idg.se/topic/325831-sharken-keylogger/

 

Cecilia

Moderator

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...