Keylogger

[FONT=Times New Roman][SIZE=3]Здравствуйте. Собственно проблема такова. Сегодня в директории C:\Documents and Settings\LM\Local Settings\Temp обнаружил текстовый файл в блокноте под названием keys.log В нем c 6.06.09 содержатся все логи нажатий клавиш.., иными словами где то сидит клавиатурный шпион и пишет туда гадости))). После последняя запись остановилась на том моменте как перезагрузил компьютер. В директории C:\Documents and Settings\LM\Local Settings\Temp\tmp экзешный файл syslogin.exe . Прошу Вас, посмотрите логи и дайте рекомендации. Буду признателен за ответ какая именно программа создает этот лог. Антивирус ESET NOD32 , проверка Trojan Remover-ом тоже чистая. Помогите. Спасибо.[/SIZE][/FONT]

Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZPMStatus(True);
QuarantineFile('C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe','');
DeleteService('AcrSch2Svc');
QuarantineFile('C:\Program Files\PrivacyKeyboard\akl_svc.exe','');
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

Выложил как написано..,но 'C:\Program Files\PrivacyKeyboard\akl_svc.exe' это антикейлоггер отсюда [url]http://www.privacykeyboard.com/[/url], поставленный мною сегодня, после обнаружения текстового файла с логами, а 'C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe' это от самой Тошибы программа уже третий год стоит и никогда подозрений не наводила..
В директории C:\Documents and Settings\LM\Local Settings\Temp\ были папки типа temp temp_new temp_old а них syslogin.exe .Этот файл был в автозагрузке, я поудалял его и убрал с автозагрузки. Пока новый keys.log в этой директории не создается, но кто знает что будет дальше. Ведь неизвестно какая программа отслеживала и создавала логи каждого нажатия клавиш. Я дополнительно, но уже в этом сообщении прикрепил тот самый файл файл, который я удалил, может проблема все таки в нем?

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
(c)
[B]Сделал[/B]

После запуска этого фаила syslogin.exe опять создался keys.txt и newtmp ng_temp tmp в нем опять пшутся логи нажатия клавиатуры

[size="1"][color="#666686"][B][I]Добавлено через 40 минут[/I][/B][/color][/size]

Запустил на другой машине этот самый syslogin.exe он также создает в :\Documents and Settings\LM\Local Settings\Temp\ файл с именем keys.txt
Пожалуйста, посмотрите все-таки вложение syslogin.rar в сообщение от 17:04 . 100 проц.это он. Через определенное время коннектится на этот адрес [url]lin1.webthosting.com[/url] через 21 порт. Ну помогите, пожалуйста.., раз удалили этот самый файл, который я загрузил, сообщите куда можно его послать, чтобы компетентно ответили.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\lm\local settings\temp\syslogin.exe - [B]Trojan-Spy.Win32.Agent.awaa[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]