keylogger
Zdravím. Nedávno jsem na jedné stránce ohledně her dal nabídku. Přes steam se mi ozval nějaký člověk a dal mi odkaz na stažení "obrázku". Já ho stáhl a otevřel. Viděl jsem cosi typ souboru: spořič obrazovky. Otevřel jsem ho a poté zmizel. Myslím si že je to keylogger ale nevím jak ho najít nebo najít to co to způsobilo a odstranit to. Pomůžete mi prosím?
Sporic obrazovky je soubor s priponou SCR. V podstate je to EXE (spustitelny program) se zmenenou priponou a nejakymi standardnimi funkcemi (nahled apod., ktere nejsou povinne).
Po stazeni se te system ptal, zda to chces pustit, takze jsi to tupe odklikl (pokud tedy nemáš vypnuto UAC, čímž si zaděláváš problémy ještě víc).
Po spusteni si klidne mohl z internetu dotahnout další kód a spustit jej nebo udělat cokoliv jiného.
Ten "obrázek" vezmi, stáhni a ulož jej někam bez spouštění. Jdi na VirusTotal.com a tam jej nahraj. Tak se aspoň dozvíš, co v sobě ten soubor obsahoval. Podle toho se můžeš zařídit dál.
Obecné rady:
stáhnout a spustit Malwarebytes antimalware
zkontrolovat spuštěním MSConfig, co se spouští po spuštění počítače
Do MSConfig jsem se díval. Je tam po spuštění: Správce zvuku, NVIDIA Backup, Microsoft Security, Catalyst, Gaming Keybord, 360 Total Security a Hamachi. nic jiného tam nevidím a tak právě chci zjistit jestli to není v nějakém systémovém souboru. A další problém je ten, že ten soubor už nemám jak stáhnout, protože už ten odkaz nefunguje.
Ještě jsem udělal screen procesů, jestli vám to nějak pomůže.
ty z těch pidisloupců něco poznáš? připadá ti ten screen normální?
potřebuješ vidět z jakých míst ty programy startují, co přesně je v příkazu za rundll32, co za bloatware je údajný "360 Total Security", co běží jako služba spuštěná systémem...
buď si to všechno roztáhneš a naklikáš v tom správci úloh, nebo použiješ rozumnější nástroje.
- správci autostart položek a služeb: ms autoruns (v příkazovém řádku jen autorunsc.exe), mitec tmx, codestuff starter
- správci úloh: ms process explorer, mitec tmx
- textový log pro přehled: combofix, adwcleaner
Já jen doúplním Brtníka - klikni dole na tlačítko zobrazit procesy všech uživatelů, protože jsi určitě ten "keyloger" nainstaloval jako admin
Nyní by mě zajímalo proč mám asi 20x spuštěných stejných procesů. :(
Kdybys kliknul na titulek, seřadí se ti to podle abecedy - bude to přehlednější
Kdybys rozšířil sloupce, aby se tam dalo něco přečíst místo prvních pár písmen, tak by to k něčemu bylo.
Kdyby sis v menu vybral další užitečný sloupec - třeba příkazový řádek, řeklo by to něco i tobě
Procesy
Pokud by sis zobrazil i příkazový řádek, bylo by to ještě veselejší a hned bys věděl, odkud se to pouští. To platí hlavně u SvcHost.
Najdeš to, jak jsem psal dřív v menu Zobrazit / Vybrat sloupce. Ještě doporučuju zobrazit i sloupec popis a zaměřit se na řádky, které nemají popis vyplněný.
Fuel service je co? Předpokládám, že počítač palivo nepotřebuje
Máš tam několik současně běžících "bezpečnostních" programů - MS antispam, Malwarebytes, 360 TotalSecurity. Tady neplatí, čím víc antivirových proigramů, tím víc hi-fi, ale naopak.
Prověřil bych procesy s "divným" názvem - PnkBstrA
PunkBuster je OK.
To byl jen příklad, na jaké procesy bych se zaměřil. Často jsou tam procesy s vygenerovaným jménem.
Pro původního tazatele:
příkazový řádek je důležitý, protože škodlivý proces se může jmenovat stejně jako standardní systémový, jen se spouští z jiného adresáře. Taky nemají tyto procesy obvykle popis, což může sloužit jako rychlá orientace
bonjour service zakaž, nainstaloval jsi nekompatibilní shit od apple.
něco jsem ti výš psal, nic jsi neudělal.
osd.exe je co?
360cosi je co a proč?
jak vlastně poznáváš, že si vědomně neinstaluješ spyware?
Já teď nic neinstaloval. Protože všechny programy jsem už měl. A tak jsem zapoměl být opatrný. 360cosi je antivir. osd.exe je nějaký pomocný proces pro mou herní klávesnici.
považuješ to 360cosi za důvěryhodné? pak ovšem nechápu, proč hledáš keylogger.
na obsah těch svchostů ses díval?
umístění procesů znáš, odkud startují? ve správci úloh sis nezobrazil cestu k programům (nebo příkazový řádek).
Považuji to za důvěryhodné, protože nedávno jsem odvirovával PC a jeden odborník v servisu mi to tam nainstaloval. Hledám keylogger, protože když mi ten neznámý člověk poslal ten soubor, tak chtěl můj účet jelikož jsem na něm měl hodně cenných věcí a on je chtěl.
360cosi je možná důvěryhodné, ale sám bych si ho do PC neinstaloval, i kdyby mě o tom přemlouvalo 10 odborníků. ze servisu. Tyhle anti-všechno balíky jednak dokážou šíleně zbrzdit PC a dále je běžný uživatel nedokáže nastavit, takže většinou hrozí dva extrémy - všechno povolí (a je to jako kdyby tam neměl nic), nebo všechno zakáže (a pak mu blbnou programy, internet, ...).
Můžeš si aspoň ve Správci procesů zobrazit cestu k souboru (menu Zobrazit -> Vybrat sloupce)?
A co je schováno pod jednotlivými svchosty zjistíš dle identifikátorů PID z výpisu příkazu "tasklist /svc" (zadáš v okně cmd).
A hlavně ne každý, kdo dělá v servisu je zaručeně odborník
potřetí a pomalu: ty tam máš nainstalovaný důvěryhodný 360cosi, který ti dovnitř pustil instalaci keyloggeru a toleruje ho tam? děláš si srandu?
dále: opakovaně jsem se ptal, jestli jsi zobrazil obsahy hostitelů svchost - nic.
opakovaně jsem chtěl, ať si zobrazíš ve správci úloh úplné cesty k běžícím procesům - zas nic.
proskenuj ten pc z nějakého bootovacího antivirového cd, třeba:
http://support.kaspersky.com/viruses/rescuedisk#do wnloads
čisté prohlížeče bez doplňků ověříš proskenováním přes adwcleaner.
pak si zobraz přehled startujících položek - ms autoruns, raději na fullscreen - a nad všemi se zamysli.
nebo si vyjeď textový log z combofix a dlouho si v něm čti.