-
Junior Member
- Вес репутации
- 56
Keylogger
Здравствуйте. Собственно проблема такова. Сегодня в директории C:\Documents and Settings\LM\Local Settings\Temp обнаружил текстовый файл в блокноте под названием keys.log В нем c 6.06.09 содержатся все логи нажатий клавиш.., иными словами где то сидит клавиатурный шпион и пишет туда гадости))). После последняя запись остановилась на том моменте как перезагрузил компьютер. В директории C:\Documents and Settings\LM\Local Settings\Temp\tmp экзешный файл syslogin.exe . Прошу Вас, посмотрите логи и дайте рекомендации. Буду признателен за ответ какая именно программа создает этот лог. Антивирус ESET NOD32 , проверка Trojan Remover-ом тоже чистая. Помогите. Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZPMStatus(True);
QuarantineFile('C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe','');
DeleteService('AcrSch2Svc');
QuarantineFile('C:\Program Files\PrivacyKeyboard\akl_svc.exe','');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 56
Выложил как написано..,но 'C:\Program Files\PrivacyKeyboard\akl_svc.exe' это антикейлоггер отсюда http://www.privacykeyboard.com/, поставленный мною сегодня, после обнаружения текстового файла с логами, а 'C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe' это от самой Тошибы программа уже третий год стоит и никогда подозрений не наводила..
В директории C:\Documents and Settings\LM\Local Settings\Temp\ были папки типа temp temp_new temp_old а них syslogin.exe .Этот файл был в автозагрузке, я поудалял его и убрал с автозагрузки. Пока новый keys.log в этой директории не создается, но кто знает что будет дальше. Ведь неизвестно какая программа отслеживала и создавала логи каждого нажатия клавиш. Я дополнительно, но уже в этом сообщении прикрепил тот самый файл файл, который я удалил, может проблема все таки в нем?
Последний раз редактировалось AndreyKa; 12.06.2009 в 18:34.
Причина: exe-файл в теме
-
Junior Member
- Вес репутации
- 56
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
(c)
Сделал
-
Junior Member
- Вес репутации
- 56
После запуска этого фаила syslogin.exe опять создался keys.txt и newtmp ng_temp tmp в нем опять пшутся логи нажатия клавиатуры
Добавлено через 40 минут
Запустил на другой машине этот самый syslogin.exe он также создает в :\Documents and Settings\LM\Local Settings\Temp\ файл с именем keys.txt
Пожалуйста, посмотрите все-таки вложение syslogin.rar в сообщение от 17:04 . 100 проц.это он. Через определенное время коннектится на этот адрес lin1.webthosting.com через 21 порт. Ну помогите, пожалуйста.., раз удалили этот самый файл, который я загрузил, сообщите куда можно его послать, чтобы компетентно ответили.
Последний раз редактировалось Ambi; 12.06.2009 в 20:31.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\lm\local settings\temp\syslogin.exe - Trojan-Spy.Win32.Agent.awaa
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-