-
Junior Member
- Вес репутации
- 42
Подозрение на кейлоггер
Сегодня чуть не украли аккаунт в Стиме,кинули фейковую ссылку.Я как дурак зашел,покликал там на все и получил.Через несколько минут я заметил небольшие притормаживания. Еще появилось по 2 штуки процессов conhost.exe и csrss.exe,также иногда появляется процесс ctfmon.exe,который находится не в своей директории и не удаляется,т.к. просит разрешение у TrustedInstaller'а. Эти процессы,насколько я понял,управляют вводами данных,удаленным доступом и злоумышленник пользуется ими для кражи паролей.Помогите,пожалуйста!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Sanchozz, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
BEGIN
DeleteFile('C:\Windows\system32\Tasks\At1.job','64');
DeleteFile('C:\Users\ALEXAN~1\AppData\Local\Temp\60018904aq','32');
DeleteFile('C:\Windows\system32\Tasks\At1','64');
DeleteFile('c:\users\alexander\appdata\local\temp\2639AB53D.sys','32');
DeleteFile('c:\users\alexander\appdata\local\temp\2642BCF8E.sys','32');
ExecuteRepair(13);
ExecuteSysClean;
RebootWindows(true);
END.
Компьютер будет перезагружен.
Исправьте при помощи Hijackthis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.smilex.su;www2.ykt.ru;www.tube.ya1.ru;tf2.ya1.ru;telecom.sakha.ru;ya1.ru;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - (no file)
O3 - Toolbar: (no name) - {8dcb7100-df86-4384-8842-8fa844297b3f} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
-
-
Junior Member
- Вес репутации
- 42
-
Выполните скрипт в AVZ:
Код:
BEGIN
DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
DeleteFile('C:\Users\ALEXAN~1\AppData\Local\Temp\60018904aq','32');
DeleteFile('C:\Windows\system32\Tasks\At1','32');
ExecuteRepair(13);
ExecuteSysClean;
RebootWindows(true);
END.
Компьютер будет перезагружен.
Ещё раз сделайте новые отчеты.
-
-
Junior Member
- Вес репутации
- 42
-
ProxyServer = 80.81.216.160:8080
Этот прокси сервер Вы самостоятельно указали?
-
-
Junior Member
- Вес репутации
- 42
-
Тогда больше ничего подозрительного нет.
Сообщение от
Sanchozz
ctfmon.exe,который находится не в своей директории
Можете указать директорию, в которой он располагается?
-
-
Junior Member
- Вес репутации
- 42
Черт,на компьютере 4 этих файла,но вроде все же на своих местах:
один в C:\Windows\System32
другой в C:\Windows\SysWOW64
третий в C:\Windows\winsxs\x86_microsoft-windows-t..cesframework-ctfmon_31bf3856ad364e35_6.1.7600.16385_none_9d06e2 f6f1e51f98
и последний в C:\Windows\winsxs\amd64_microsoft-windows-t..cesframework-ctfmon_31bf3856ad364e35_6.1.7600.16385_none_f9257e 7aaa4290ce
Но только что увидел странный файл,созданный 5 часов назад CTFMON.EXE-5E5138CF.pf в директории C:\Windows\Prefetch может я и ошибаюсь
-
Все расположения верные. Есть ещё какие-либо подозрения?
-
-
Junior Member
- Вес репутации
- 42
Нет,хоть лаги у компьютера и прошли,мне не дают покоя эти процессы conhost.exe и csrss.exe.После перезагрузки они есть,но по одной штуке,но через несколько секунд запускается вторая копия обоих процессов и они прилично нагружают компьютер,но позже успокаиваются
-
Сообщение от
Sanchozz
conhost.exe и csrss.exe
Это системные процессы. Процесс conhost.exe относится к командной строке в ОС Windows 7,8, их может быть несколько.
csrss.exe имеет два процесса в системе, один из них виден в диспетчере задач, запущенном без прав администратора, однако поля информации пусты.
Сделайте отчет программы RSIT.
-
-
Junior Member
- Вес репутации
- 42
Нет,я это знаю,просто я часто слежу за процессами и до этого случая такого не наблюдал
-
C:\Windows\tasks\At1.job это задание планировщика удалите вручную.
Всё остальное в порядке.
-
-
Junior Member
- Вес репутации
- 42
Удалил.Лаги точно полностью прошли.Спасибо большое за помощь,надеюсь,что никто всеж больше не затаился