podezření na keyloggerer
ahoj,
v logu hijackthis prý nic nebylo, aktualizovaný superantispyware nic nenašel. to se jako schovává, nebo co? jak zjistím, že ho tady opravdu mám, a jak se ho případně zbavím?
operační systém mám w7 home premium 64 bit. pokud bude třeba další info, doplním.
díky.
1. a jak jsi vůbec k tomu podezření došla? Lógr měl tvar písečné duny?
2. opravdu reálný a průkazný test, zda je PC čisté, lze udělat vždy pouze offline, nikoli ze samotného běžícího OS.
1. podezírám bývalého přítele - četl si mé maily a nevím, jak by k heslu došel... nemám je nikde uložené, ani jsem se nezapomněla odhlásit - to vím na 100%, na toto si dávám pozor.
2. nemůžeš být konkrétní? pro totálního laika je to málo...
Ten test prostřednictvím Superantispyware udělej z nouzového režimu, s vypnutým antivirem a s (pro jednoduchost s fyzickým) odpojením PC od internetu (vytáhni kabel nebo vypni router nebo tak něco).
Nouzový režim: http://windows.microsoft.com/cs-CZ/windows-vista/S tart-your-computer-in-safe-mode
udělala jsem, nalezeno jen pár cookies.
Jestli mas podezreni na keylogger, nepouzivej superantispyware. Ten program je dnes prumernej. Jsou lepsi programy. Napriklad MBAM, Emsisoft apod. Lepsi bude, kdyz pujdes na specializovany forum. viry.cz. Nez se hrabat v necem, cemu nerozumis nebo pouzivat neco, co samo o sobe neni moc dobry.
no, takže mám vyzkoušet oba programy?
Zkus klidne oba, ale MBAM musis instalovat, Emsisoft muzes stahnout jako zip (stahuj Emsisoft Emergency Kit). Ja ti spis doporucuju to sverit nekomu, kdo vi co dela. Ale temato programama nic nepokazis. Muzes si to zkusit sama. Pokud nechces preinstalovavat - coz je asi nejrychlejsi a nejjistejsi varianta, tak bez na to druhy forum. Tam to s tebou vyresi. Nektery keyloggery neni tak jednoduchy zjistit.
vyzkouším, díky za tipy. a tu přeinstalaci provedu, nebo k ní spíše někoho zavolám. bude to asi rychlejší než to řešit na virech, ne?
avg-rescue-cd
nabootovat - vybrat kontrolovaný disk - pustit test.
vytvořila sem podle návodu na stránkách avg tu flešku( CD nemám po ruce). vlezla jsem do BIOSu do sekce "boot" a tam vybrala tu flešku, uložila změny a notebook se mi vypnul. tak jsem ho zapnula a nic se nestalo. jen mi ta fleška nejde odpojit, prý je momentálně používána.
co s tím?
flashku zformátuj.
stav se do krámu pro cd-rw.
už jsem zjistila chybu, v tom "boot" jsem nezměnila prioritu... takže flashka byla až druhá.
potom už to šlo. ten test proběhl, ale nezobrazil se mi žádnej výsledek... to je normální?
jo a flashka furt nejde odpojit, i když jsem tu její prioritu vrátila na zpět (byla druhá).
nestačilo by z flešky smazat ty věci potřebný k tomu testu?
smazala jsem to - nejde odpojit.
zformátování - taky nic.
Vykašlete se na to. Zazálohujte co potřebujete nechat a odneste to někam na reinstalaci. Ideálně do profi firmy, nebo někomu, u koho nehrozí, že vám tam nějaké podobné svinstvo nahraje znova.
odpoledne mi na to někdo přijde.
co s tou flashkou? mám strach, že se zničí, když ji vytáhnu "natvrdo".
Nic sa neznici, aj ked je zvlastne, ze je stale pouzivana.
Pokial sa vam nepodari zohnat nikoho na ten keyloger alebo vam dotycny nebude vediet pomoct mozete sa obratit na nasu platenu poradnu na it.poradna.net, kde vas problem urcite vyriesime;o).
zkusím ten restart.
pokud budou problémy pokračovat i po přeinstalaci, vyzkouším.
poslat šéfa do obchodu pro médium.
pc náhodně restartovat - a odpojit flashku. nebo přesvědčit windows, ať si na flashce nezakládají koš a adresář pro body obnovení.
přeinstalace windows ničemu nepomůže, když si člověk nechává povolený autorun, aby si mohl pc znova a lépe zavirovat.
nevím co myslíš. kde se to vypíná? připojím-li něco - např. tu flešku, CD - tak se mě notebook dotáže, zda-li to chci spustit.
a jinak na bezpečnost hodně dbám, na běžnou činnost používám neprivilegovaný účet. i proto mi je záhadou, jak se to vůbec mohlo stát.
neprivilegovaný účet oblibuju též.
případný malware buď selže nebo napadne pouze* jej, přihlášením jako admoš s nefunkční nákazou snadno vyfakuje.
*) existují dobře napsané výjimky, ovšem každý kinder-spyware-matlal to neumí. vir obvykle přes neošetřenou výjimku (nezahotfixovanou díru) nějaké služby windows si dokáže povýšit práva, aby mohl zapsat na disk do systému nebo do registrů pro all users.
vypnutí autorun - je to tuším hned první příkaz božího desatera:
a kam to mám napsat?
cesta v registrech - doklikat se a wytvořit dword proměnnou nodrivetypeautorun s hodnotou ff
nebo nakopírovat do příkazového řádku a spustit:
přístup byl odepřen. a to jsem na administrátorském účtu.
na plochu si dej zástupce cmd.exe - pak ho dej "spustit jako správce"
nebo to zmákneš editací registrů, jsi šikulka.
operace proběhla úspěšně.
no, a to stejný bych měla udělat i po přeinstalaci windows, že.
a díky za rady!
Trochu odbočím otázkou, není tohle už součástí aktualizací samotných win. Např.: v XP na to byly aktualizace, jak je to s W7 nevím. Takže není to náhodou zbytečnost, za předpokladu zapnutých aktualizací?
je, ale stále přežívají mraky lidí co neaktualizují. nebo přeinstalují systém, a než se jim stáhnou stovky záplat, mají z flashky dávno zavirováno.
ms tuším používá blokování autoplay a řeší jakési podmínky. ten autorun se mi líbí víc.
edit: hesla změnit ihned, nečekat na přeinstalaci.
šéf už sehnal do cd médium?
studuju.
cd do zásoby mi donese dotyčný, co přeinstaluje win. takže se nabízí otázka: znovu spustit ten test, nebo "jen" přeinstalovat?
po formátu tam nezbude nic, mbr se při instalaci taky přepisuje.
kdyby vir přežil v zálohách mezi oblíbenými prográmky, lze zas toto cd použít.
ve všech instalacích mívám nějaký rozumný správce úloh/autoruns - ať si udržuju přehled co mi vlastně startuje (msconfig.exe je nepoužitelný zmetek, raději codestuff starter, autoruns + process explorer, upm ...)
pokud se ti nechce zápasit s firewallem, aspoň jednou si spustit (ms)tcpiew, jestli něco někam nevhodně nenavazuje spojení. nouzově z příkazového řádku:
vypadá to nějak divně, nevyznám se v tom.
- codestuff jsi mi kdysi radil, průběžně do něj nahlížím.
- programy zálohovat nebudu (kromě CADů), není problém ty potřebné stáhnout znovu.
Taky můžeš zkusit něco grafického třeba:
cports.html
dík. a k čemu že to slouží?
Pro tebe je to uplne zbytecny. Vykasli se na to. Jako BFU (bez urazky) to vubec nepotrebujes. V tvym pripade je opravdu nejjedodussi preinstalovat PC, zmenit hesla. Dat si pripadne to Comodo a kaslat na nejaky utility a tuplem na prikazovy radky apod., protoze stejne nebudes vedet co je co. Je to fakt zbytecna prace, jen te to zatezuje a ve vysledku to ted k nicemu neni. Az budes mit priste treba nejaky problem, tak podobnou praci ti udela to Comodo, kde je v nastaveni firewallu moznost zapnout si volbu, ktera ti ukaze a zobrazi jake porty, ktery proces pouziva. Krasne na to vidis, je to pekne popsany a nejaky prikazovy radky a dalsi a dalsi aplikace te muzou nechat zcela chladnou.
neznám.
a asi jako jo, rozhodně to vypadá jednodušejc´.
V češtině Běžný Franta Uživatel Anglická verze je drsnější...
odfajfknu, už na tom není asi co řešit.
děkuju všem.
A Nemáš na mailu (ve filtrech) nastaveno posílání kopie mailu na úplně jiný (neznámý) mail. BTW změn si heslo na mail.
ne, žádnej takovej filtr tam nemám.
heslo samozřejmě změním, ale až po přeinstalaci. teď by to bylo asi zbytečný.
Za předpokladu, že tvůj bývalý přítel již nemá fyzický přístup k pc, doporučil bych nějaký firewal třetích stran, jako bonus k bezpečnosti. Za předpokladu, že tam bude nějaká breberka, tak by neměla mít možnost komunikace ven díky firewalu. Takže už nebude splňovat původní účel. (Tohle řešení ale asi není 100%, ale lepší než nic ). Více asi neporadím krom reinstalace OS a tzv. odvšivení pomocí bezpečnostních programů, ale to už tady zaznělo.
a konkrétně?
jinak díky.
http://www.comodo.com/home/internet-security/free- internet-security.php
Co jiný kraj to jiný mrav, každý bude vychvalovat to své, já osobně používám Comodo Firewall (pouze firewall) a jsem plně spokojený, doporučil bych ti ho, i když někteří se mnou nebudou vůbec souhlasit, volba je na tobě.
BTW už se tady řešilo jaký je nejvhodnější na w7:
http://pc.poradna.net/q/view/788098-firewall-pro-w in7
comodo mi bude určitě vyhovovat. stahuju. díky.
Jen si u nej musis nastavit, aby te upozornoval i na odchozi komunikaci. U Comoda bude brzy verze 6, pokud nespechas, pockej si na ni. Zatim se totiz nevi, jestlu pujde jednoduse upgradovat ze starych verzi i se zachovanim nastaveni a pravidel.
Zistit keyloger cez rozne nastroje nemusi zdaleka stacit. Keyloger sa da pomerne lahko naprogramovat a kedze vsetky tieto sw v drvivej vacsine hladaju skodlivy sw na zaklade vzoriek, pokial je keyloger novy alebo neznamy tak ho neodhalia.
Skor by som sa zameral na "rucnu" identifikaciu, ale to uz nie je robota pre laika.
Pre teba asi najlepsia moznost je cista instalacia okien a nasledna zmena hesla na email.
Rad už je tu jak máku a co takhle změnit heslo a udělat nějakou past, pomocí emailu a dobrého kamaráda/ky? Ono to heslo se dá někdy docela dobře odhadnout.
PS. Jeden odkaz na programy a řešení problému s keylogery: viewtopic.php
nevěřím tomu, že by to heslo odhadl...
s pastí se ještě rozmyslím.
a díky za odkaz, mrknu na to!
Čo riešiš, teoreticky:
- ex priatel ti instaloval keyloger
- keyloger vykonal úlohu, t.j odchytil zadávané heslá
- ex priatel odinstaloval keyloger, zamietol stopy
Nic nenájdeš
jsem myslela, že to třeba jen SAS nezachytil, že pořád v ntb je. takže změnit hesla všude...
jak to čtu je lepší věnovat čas novému nastavení ntb než tam něco hledat, když to uživatel nemá pod kontrolou ...... takže změnit hesla, přeinstalovat OS NTB, ještě zašifrovat harddisk, aby se nedalo hrabat na ntb-disku pokud by běžel liveOS z cd/dvd/flašky
ex-, současný-, budoucí-, kočka, pes, křeček, soused(-ka), rodiče, sourozenci..... to je jedno, je to třeba zabezpečit hned