PDA

Просмотр полной версии : Нажил кейлогера , как бороться ?



FARIC
01.02.2013, 23:53
Всем доброго времени суток , уже три дня подозреваю , что в моей системе (Вин7 х64) завелся логер , что то типо NeoSpy или Mipko Employee Monitor . Проявляется следующим образом . В молодости рубался в CoD4 , эта игра использовала античитерскую систему Панк бастер , ну кто знает тот поймёт , так вот , при работе игры , этот Панк бастер делает скрины экрана и отправляет к себе на сервак , во время снятия скрина (некий промежуток времени) рабочий процесс как бы залипал , от 4 до 12 раз . А сейчас у меня это происходит тупо при работе компа каждые 40 минут , по грубым подсчетам 6 скринов подряд . Из моего не большого познания в Mipko эта гадость не только скрины делает а еще и пароли ворует и набранный текст .

В общем помогите господа , как эту какашку удалить . Программы автозапуска выключены все . Система проверена 3мя антивирусами .

ZELON
01.02.2013, 23:55
скачай (http://z-oleg.com/avz4.zip)avz посмотри на предмет перехвата функций..

FARIC
02.02.2013, 00:05
скачай (http://z-oleg.com/avz4.zip)avz посмотри на предмет перехвата функций..

Занятная софтинка , щяс освоим , пасибо .

Да по ходу я прав .

_sirota_
04.02.2013, 21:37
Занятная софтинка , щяс освоим , пасибо .

Да по ходу я прав .

Проскань им систему. в 99% она сама все найдет и сообщит. Скриптов валом. Эвристика на высоте. Давно пользуюсь, много раз выручала. О в неумелых руках ложит систему.
Не вздумай запускать не умеючи на серверных осях. Потом не зарузится.

sotmel
04.02.2013, 22:18
негоже теме в оффтопе валятся, переместил....

Major999
04.02.2013, 23:43
А кто в курсе как AVZ на Win 7 64 запустить?

_sirota_
05.02.2013, 08:33
А кто в курсе как AVZ на Win 7 64 запустить?

даблкликом. или правая кнопка мыщи - открыть.

ALEX_SW
05.02.2013, 11:18
Машина подвисает, по описанию, в результате натыкания на бэды в процессе записи - веник на бэды не помешало бы проверить.

noddy
05.02.2013, 19:15
Вряд ли там перехват. Дерьмо могло просто остаться в автозагрузке. С avz тогда сложнее определиться. Hijack вам в помощь

langet
05.02.2013, 21:06
я думаю, что лучше проверять с флеш или сиди, но не из системы.

_sirota_
05.02.2013, 22:13
я думаю, что лучше проверять с флеш или сиди, но не из системы.

Не из системы тебе по факту не увидеть изменений в работе (подмена стандартных функций, зловред как драйвер, маскировка процесса). Т.е. как раз таки avz и hijack отменно раюботают именно в системе. Если не удается запустить hijack? то запускаем avz и там есть скрипт очистки системы что бы стартанул hijack. Если и avz не стартует, то есть полиморфный avz. Но вот с полиморфным косяк, он старый, древние базы и эвристика не такая мощная как у нынешних версий. Хотя часто спасает.
А под системой сразу все видно что и от куда. Правда бывает надо пару заходов. Пол года назад (как известно многие вирусы прикрывают работу друг друга, или какой backdoor) при первом проходе avz заметил только перехват прерываний. И все. Балго заметил и кто перехватывает. Удалил, чистка системы самописным скриптом. Контрольный пробег и вот тебе 2 winapi функции перехватываются, чистка, ресет, еще прогон и в users\username уже лежит exe, кторого точно до этого не было. Удаляем его, чситка, скрипт восстановления, загружаемся в безопасном уже (до этого только в обычном режиме грузился, даже с параметром не перезагружатся при отказе системы перезагружался), прогон чисто. Гружусь в обычном, еще и черт дернул меня еще прогнать поверхностный скан и тут на тебе драйвер типа yvdgh выскочил.
А так с лайва ну запалил бы я exe, удалил бы и не факт что потом все остальное вылезло бы, не факт что через месяц картина не восстановилась бы. А так последовательность кто от кого и как.