Подозрения на Keylogger

Printable View

30.03.2012, 15:01
kukushka22222

Подозрения на Keylogger

Антивирус выдал подозрение на Keylogger. При провверке ничего не находит. Помогите, пожалуйста, разобраться есть что-то или нет.
30.03.2012, 15:02
Info_bot

Уважаемый(ая) [B]kukushka22222[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
30.03.2012, 15:41
Bratez

[QUOTE]Внимание !!! [COLOR="#FF0000"]База поcледний раз обновлялась 17.10.2011[/COLOR] необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
[b]Обновите базы AVZ[/b] и сделайте новые логи.
30.03.2012, 16:39
kukushka22222

Вот, файлы после обновления и повторной проверки.
30.03.2012, 16:54
миднайт

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите антивирус и фаервол.

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\ice_time.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.

[QUOTE]Антивирус выдал подозрение на Keylogger[/QUOTE]

на какой-то определнный файл ругается?
30.03.2012, 17:42
kukushka22222

[QUOTE=миднайт;880321]
на какой-то определнный файл ругается?[/QUOTE]

Пишет в Отчете антивируса:
Обнаружено: Keylogger - Приложение отсутствует - Объект \DRIVER\KBFILTR
Незавершен: Keylogger - Приложение отсутствует - Объект \DRIVER\KBFILTR
Обнаружено: Keylogger - Приложение отсутствует - Объект \DRIVER\SYNTP
Незавершен: Keylogger - Приложение отсутствует - Объект \DRIVER\SYNTP

Это только один раз появилось, пока не повторяется.

Скрипт сейчас выполню.

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

Скрипты выполнила. Карантин quarantine.zip отправила.

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

Еще забыла написать... после обнаружения Keylogger ноутбук сразу выключился.
30.03.2012, 17:56
миднайт

[B]C:\Windows\System32\ice_time.dll[/B] - [B][COLOR="#FF0000"]HackTool.Win32.Nice.b (Tool.Icetime)[/COLOR][/B]
похоже это кряк к касперскому.
+
Synaptics Pointing Device Driver (SYNTP)
Keyboard Filter by Dritek System (KBFILTR)
легальные драйверы от соответствующих компаний.

Сделайте лог полного сканирования [b][url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url][/b]
30.03.2012, 18:10
kukushka22222

[QUOTE=миднайт;880352][B]C:\Windows\System32\ice_time.dll[/B] - [B][COLOR="#FF0000"]HackTool.Win32.Nice.b (Tool.Icetime)[/COLOR][/B]
похоже это кряк к касперскому.
[/QUOTE]
Да, я тоже думала, что это от кряк к Касперскому.
[QUOTE=миднайт;880352]
Synaptics Pointing Device Driver (SYNTP)
Keyboard Filter by Dritek System (KBFILTR)
легальные драйверы от соответствующих компаний.
[/QUOTE]
Это хорошо.
30.03.2012, 19:59
kukushka22222

[QUOTE=миднайт;880352]
Сделайте лог полного сканирования [B][URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL][/B][/QUOTE]

Сделала
Подскажите, как потом удалить программу [URL="http://virusinfo.info/showthread.php?t=53070"][B]MBAM[/B][/URL]
31.03.2012, 02:13
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Обнаруженные ключи в реестре: 1
HKLM\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Действие не было предпринято.

Обнаруженные папки: 1
C:\Users\Света\AppData\Roaming\FieryAds (Adware.FieryAds) -> Действие не было предпринято.

Обнаруженные файлы: 8
C:\Users\Света\AppData\Roaming\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> Действие не было предпринято.
C:\Users\Света\AppData\Roaming\fieryads.dat (Adware.FieryAds) -> Действие не было предпринято.[/code]
31.03.2012, 12:50
kukushka22222

Вот, результат
31.03.2012, 18:34
thyrex

Больше придраться не к чему
01.04.2012, 00:37
kukushka22222

Спасибо огромное за помощь!
Чем было опасно найденое?
И напишите, пожалуйста, как полностью удалить программу MBAM?
01.04.2012, 12:38
thyrex

[quote="kukushka22222;880690"]И напишите, пожалуйста, как полностью удалить программу MBAM?[/quote]Через Установку и удаление программ
02.04.2012, 12:38
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ice_time.dll - [B]HackTool.Win32.Nice.b[/B] ( DrWEB: Tool.Icetime, NOD32: Win32/HackTool.Nice.B trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]