Keylogger?

Printable View

28.12.2016, 10:38
4ireplaceatme

Вложений: 1

Keylogger?

Доброго времени суток.[COLOR=#ff0000][B]

1[/B][/COLOR] момент. После каждой переустановки системы, начинает все глючить, если оставить компьютер. Падает скорость интернета, особенно когда ввожу личные данные. Vkontakte я в онлайне спустя 12 часов afk. Смена паролей не помогает. Трояновские лаги винды. Планировщик задач отключен. Исчезает языковая панель. Вся софтина её заменяющяя не работает. hosts выглядел таким образом:
# 127.0.0.1 localhost
# ::1 эту запись удаляю и падает скорость инета.
Nod7 и Cureit - ничего. Загружался LiveCD. В MBR разделе AVZ показал Trojan.Keylogger (не помню какой)

[COLOR=#ff0000][B]2[/B][/COLOR] момент. Поставил COMODO (firewall ), Spybot (иммунизация), APS и ..starter. Тут и начались приходы. Фаервол установился, APS настроился, COMODO установился, хочет ребут. Spybot протыкал и на 50%сканирования системы я решил по haker'ски нажать ребут комодо. После ребута сразу экран помирания (driver_irql_not_less_or_equal = ndis.sys) - переставил дрова на LAN/Wi-Fi = ок. Захожу, APS выдает:
[TABLE="class: grid, width: 700"]
[TR]
[TD]port80[/TD]
[TD]HTTP-Web сервер[/TD]
[TD]Тревога - хакер!!![/TD]
[TD]127.0.0.1 [URL="http://www.007guard.com"]www.007guard.com[/URL][/TD]
[TD]1[/TD]
[/TR]
[/TABLE]
[SPOILER=hosts]# 127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1 [URL="http://www.007guard.com"]www.007guard.com[/URL]
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 [URL="http://www.008k.com"]www.008k.com[/URL]
127.0.0.1 008k.com
127.0.0.1 [URL="http://www.00hq.com"]www.00hq.com[/URL]
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 [URL="http://www.032439.com"]www.032439.com[/URL]
127.0.0.1 032439.com
127.0.0.1 [URL="http://www.0scan.com"]www.0scan.com[/URL]
127.0.0.1 0scan.com
и т.д.
[/SPOILER]
Теперь gpedit.msc (включился планировщик?) :dash2:
[SPOILER=Системная ошибка]При разборе обнаружена ошибка.
Системная ошибка: -2130706429.
Файл C:\Windows\PolicyDefinitions\ru-RU\inetres.adml,
строка 3, столбец 236[/SPOILER]
AutoLogger'ом сканировал [COLOR=#ff0000]2[/COLOR] раза. 1й раз утилиты вроде ничего не нашли(лог есть)

Креплю лог. Пожалуйста помогите
28.12.2016, 10:39
Info_bot

Уважаемый(ая) [B]4ireplaceatme[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
29.12.2016, 14:21
SQ

Здравствуйте,

Сами настраивали прокси-сервер?
[CODE]Найден URL автонастройки браузера IE S-1-5-21-3549327888-581649558-4111919766-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings, AutoConfigURL="C:\Program Files\i2p\scripts\i2pProxy.pac"
Обратите внимание: в настройках IE задан прокси-сервер Internet\ManualProxies = "0C:\Program Files\i2p\scripts\i2pProxy.pac"[/CODE]

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ExecuteRepair(13);
RebootWindows(false);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
12.01.2017, 16:38
4ireplaceatme

Вложений: 1

Здравствуйте. Да, сам.

На сайты теперь не дает многие заходить. В тему с оперы через vpn с горем пополам залез с 99го раза. 127.0.0.1 [url]www.007guard.com[/url] уже n-количество раз атаковал.

[HTML]virusinfo.info использует недействительный сертификат безопасности.
Сертификат действителен только для следующих имён:
www.anti-malware.ru, anti-malware.ru
Код ошибки: SSL_ERROR_BAD_CERT_DOMAIN[/HTML]

[SPOILER=Цепочка сертификата:]
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
[/SPOILER]
Что это?
29.01.2017, 11:59
4ireplaceatme

Вложений: 1

Здравствуйте. Прокси сам.

Почему-то не мог попасть даже :sos: на ваш форум примерно месяц и на некоторые многие сайты. Потом долго не мог сюда написать. Пускал в википедию и поисковики.
[HTML]virusinfo.info использует недействительный сертификат безопасности. Время и часовой пояс всегда правильные.
Сертификат действителен только для следующих имён:
www.anti-malware.ru, anti-malware.ru
Код ошибки: SSL_ERROR_BAD_CERT_DOMAIN[/HTML]
И такие
[HTML]https://virusinfo.info/showthread.php?t=207485
Не удалось установить защищённое соединение с этим узлом: запрошенное имя домена не соответствует указанному в сертификате сервера.
Форсированное защищённое соединение HTTP (HSTS): false
Привязка открытого ключа HTTP (HPKP): false[/HTML]
Спустя долгих и усердных времен скачал Dr.Web Cureit
[table="width: 700, class: grid"]
[tr]
[td]Hosts[/td]
[td]DFH:HOSTS.corrupted[/td]
[td]Вылечен[/td]
[td]С:\Windows\system32\drivers\hosts[/td]
[/tr]
[/table]
APS уже откровенно настраивает на паранойю (Что это?)
[table="width: 700, class: grid"]
[tr]
[td]port80[/td]
[td]HTTP-Web сервер[/td]
[td]Тревога - хакер!!![/td]
[td]127.0.0.1 [url]www.007guard.com[/url][/td]
[td]67 попыток[/td]
[/tr]
[/table]
Скрипт выполнил. Лог AdwCleaner(пусто) прилагаю