Подозрение на кейлоггер

**Sanchozz** · 12.08.2013, 16:44

Сегодня чуть не украли аккаунт в Стиме,кинули фейковую ссылку.Я как дурак зашел,покликал там на все и получил.Через несколько минут я заметил небольшие притормаживания. Еще появилось по 2 штуки процессов conhost.exe и csrss.exe,также иногда появляется процесс ctfmon.exe,который находится не в своей директории и не удаляется,т.к. просит разрешение у TrustedInstaller'а. Эти процессы,насколько я понял,управляют вводами данных,удаленным доступом и злоумышленник пользуется ими для кражи паролей.Помогите,пожалуйста!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.08.2013, 16:46

Уважаемый(ая) Sanchozz, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Никита Соловьев** · 12.08.2013, 17:42

Выполните скрипт в AVZ:

Код:

BEGIN
 DeleteFile('C:\Windows\system32\Tasks\At1.job','64');
 DeleteFile('C:\Users\ALEXAN~1\AppData\Local\Temp\60018904aq','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','64');
 DeleteFile('c:\users\alexander\appdata\local\temp\2639AB53D.sys','32');
 DeleteFile('c:\users\alexander\appdata\local\temp\2642BCF8E.sys','32');
 ExecuteRepair(13);
 ExecuteSysClean;
 RebootWindows(true);
END.

Компьютер будет перезагружен.

Исправьте при помощи Hijackthis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.smilex.su;www2.ykt.ru;www.tube.ya1.ru;tf2.ya1.ru;telecom.sakha.ru;ya1.ru;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - (no file)
O3 - Toolbar: (no name) - {8dcb7100-df86-4384-8842-8fa844297b3f} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)

Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.

**Sanchozz** · 12.08.2013, 17:56

Все выполнил,вот логи

**Никита Соловьев** · 12.08.2013, 18:09

Выполните скрипт в AVZ:

Код:

BEGIN
 DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
 DeleteFile('C:\Users\ALEXAN~1\AppData\Local\Temp\60018904aq','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 ExecuteRepair(13);
 ExecuteSysClean;
 RebootWindows(true);
END.

Компьютер будет перезагружен.

Ещё раз сделайте новые отчеты.

**Sanchozz** · 12.08.2013, 18:19

Выполнил

**Никита Соловьев** · 12.08.2013, 18:21

ProxyServer = 80.81.216.160:8080

Этот прокси сервер Вы самостоятельно указали?

**Sanchozz** · 12.08.2013, 18:22

Да,самостоятельно

**Никита Соловьев** · 12.08.2013, 18:25

Тогда больше ничего подозрительного нет.

Сообщение от Sanchozz

ctfmon.exe,который находится не в своей директории

Можете указать директорию, в которой он располагается?

**Sanchozz** · 12.08.2013, 18:38

Черт,на компьютере 4 этих файла,но вроде все же на своих местах:
один в C:\Windows\System32
другой в C:\Windows\SysWOW64
третий в C:\Windows\winsxs\x86_microsoft-windows-t..cesframework-ctfmon_31bf3856ad364e35_6.1.7600.16385_none_9d06e2 f6f1e51f98
и последний в C:\Windows\winsxs\amd64_microsoft-windows-t..cesframework-ctfmon_31bf3856ad364e35_6.1.7600.16385_none_f9257e 7aaa4290ce
Но только что увидел странный файл,созданный 5 часов назад CTFMON.EXE-5E5138CF.pf в директории C:\Windows\Prefetch может я и ошибаюсь

**Никита Соловьев** · 12.08.2013, 18:45

Все расположения верные. Есть ещё какие-либо подозрения?

**Sanchozz** · 12.08.2013, 18:58

Нет,хоть лаги у компьютера и прошли,мне не дают покоя эти процессы conhost.exe и csrss.exe.После перезагрузки они есть,но по одной штуке,но через несколько секунд запускается вторая копия обоих процессов и они прилично нагружают компьютер,но позже успокаиваются

**Никита Соловьев** · 12.08.2013, 19:06

Сообщение от Sanchozz

conhost.exe и csrss.exe

Это системные процессы. Процесс conhost.exe относится к командной строке в ОС Windows 7,8, их может быть несколько.
csrss.exe имеет два процесса в системе, один из них виден в диспетчере задач, запущенном без прав администратора, однако поля информации пусты.

Сделайте отчет программы RSIT.

**Sanchozz** · 12.08.2013, 19:19

Нет,я это знаю,просто я часто слежу за процессами и до этого случая такого не наблюдал

**Никита Соловьев** · 12.08.2013, 19:23

C:\Windows\tasks\At1.job это задание планировщика удалите вручную.

Всё остальное в порядке.

**Sanchozz** · 12.08.2013, 19:27

Удалил.Лаги точно полностью прошли.Спасибо большое за помощь,надеюсь,что никто всеж больше не затаился

Подозрение на кейлоггер (заявка № 143707)

Опции темы