Въпрос за Skype

[Гост master7]

Изказваш се доста неподготвен или просто не точно в час с нещата.

Доколкото до този KGB Spy.. това, че го няма в трея(долу до часовина), не значи нищо

Какво очакваш да намери HijackThis ?!

Нали трябва да има някакъв процес от кейлогъра ? Все пак работи някак си, не може да работи под такова прикритие, че да не можеш да разбереш. С лога, който исках не очаквах HijackThis да ми каже "премахни този процес". Като имаш всички налични процеси, веднага се познава кой е непознат или познат като кейлогър. А имаш ли процеса, намираш го къде се крие и изтриваш програмата.

 

О Боже , подготвения.

 

Какъв трей ,кви 5 лв. Ти майтап ли си правиш ?

Използвах именно тази програма за проба защото знам че:

The program works in a stealth mode. It is not visible in the Windows Task Manager and cannot be stopped by the user !!!

 

Има един кейлогър който прави и използва процес svchost.exe .

Какво ще разбереш като го видиш ?

Май нищо .

Остани си със здраве и с подготовката си. :haha:

[Julko]

Значи в случая svchost.exe последно тоя keyloger ли е или нормален процес в Windows?Извинявам се ако въпроса е тъп ама не разбрах.

[Гост master7]

Няма страшно.

Обикновено са около 4-5 такива процеса в Task Manager-a ,но те са си редовни.

Ползвай си виртуалната клавиатура при въвеждане на паролите и спи спокойно.

 

К'во толкова се побърка с тоя кейлогър.

То може да си пробит и с някоя Remote Control Program ако става въпрос.

 

 

:haha:

[Lokoto]

Значи в случая svchost.exe последно тоя keyloger ли е или нормален процес в Windows?Извинявам се ако въпроса е тъп ама не разбрах.

Не, не е keyloger. Чети тук . master7 иска да каже, че keyloger-а може да е скрит, зад услугите на svchost.exe.

 

Няма страшно.

...Ползвай си виртуалната клавиатура при въвеждане на паролите и спи спокойно.

...

Може да се ползва и KeePass Password Safe!

[nikikom]

Julkata92

 

Вместо да се предполага/гадае защо така е станало, хората ти дадоха две предложения

Malwarebytes Anti-Malware

HijackThis

[Pe6o]

VIS,

 

Публикуван Днес, 03:29

Изказваш се доста неподготвен или просто не точно в час с нещата.

 

Не съм адвокат на никой, но от това което master7 пише личи, че не си прав.

Нещо повече: "Когато въвеждаш паролите ползвай виртуалната клавиатура...." е фундаментално правило за безопасно сърфиране, в смисъл въвеждане на пароли, номера на кредитни карти, банкиране и т.н..

 

Публикуван Днес, 03:29

Нали трябва да има някакъв процес от кейлогъра ? Все пак работи някак си, не може да работи под такова прикритие, че да не можеш да разбереш. С лога, който исках не очаквах HijackThis да ми каже "премахни този процес". Като имаш всички налични процеси, веднага се познава кой е непознат или познат като кейлогър. А имаш ли процеса, намираш го къде се крие и изтриваш програмата.

Прав си като по учебник, но нещата са много по сложни и с този подход практически нищо няма да постигнеш.

Като пример: "Systeм Safety Monitor" е страхотна програма, но също така и страхотен Keylogger.

Това е интересна тема, която си заслужава да се обособи като отделна.

 

nikikom,

 

"Malwarebytes Anti-Malware" и "HijackThis" са слабички за тази работа.

 

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

[VIS]

Да, прави сте. Но все пак си чакаме лога от HijackThis за да видим за какво иде реч.

Значи в случая svchost.exe последно тоя keyloger ли е или нормален процес в Windows?Извинявам се ако въпроса е тъп ама не разбрах.

Просто дай лог от HijackThis и ще видим дали има 'прост' кейлогър или нещо друго или дали се вижда нещо нередно на пръв поглед.

[Night_Raven]

Като пример: "Systeм Safety Monitor" е страхотна програма, но също така и страхотен Keylogger.

Откога System Safety Monitor e keylogger?

 

"Malwarebytes Anti-Malware" и "HijackThis" са слабички за тази работа.

HijackThis е донякъде слабичка, но евентуално може и разкрие някои нередности. Malwarebytes' Anti-Malware не бих я нарекъл слаба. Просто е предложена за профилактично сканиране, защото може да успее да засече зловредния код, ако има такъв.

[nikikom]

Здравей Pesho. Радвамсе отново да се засечем.

 

"Malwarebytes Anti-Malware" и "HijackThis" са слабички за тази работа.

Все пак трябва от някъде да се започне, а не да гадаеме. Дали с Malwarebytes или HijackThis, или с друга програмо няма значение.

 

Първо това за Keylogger-а е предположение.

Предположение е и, че не му се вижда процеса.

[Julko]

Сканирах вчера със Malwarebytes Anti-Malware и нищо не откри.

 

Ето и лога

 

Logfile of HijackThis v1.99.1

Scan saved at 18:55:09, on 20.6.2010 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\Vimicro Corporation\VMUVC\VMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

D:\Softwer\SUPERA Anti Spyware\SUPERAntiSpyware.exe

C:\Program Files\WIDCOMM\BTTray.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\PROGRA~1\WIDCOMM\BtStackServer.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\WIDCOMM\bin\btwdins.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\Softwer\BitComet\BitComet.exe

C:\Program Files\Winamp\winamp.exe

D:\DOWNLOAD\alabala.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R3 - URLSearchHook: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Program Files\BS_Player\tbBS_0.dll

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Softwer\FlashGet\jccatch.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Softwer\BitComet\tools\BitCometBHO_1.4.4.13.dll

O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)

O2 - BHO: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Program Files\BS_Player\tbBS_0.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Program Files\BS_Player\tbBS_0.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [VMonitorVMUVC] "C:\Program Files\Vimicro Corporation\VMUVC\VMonitor.exe" VMUVC

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [sUPERAntiSpyware] D:\Softwer\SUPERA Anti Spyware\SUPERAntiSpyware.exe

O4 - Global Startup: Bluetooth.lnk = ?

O8 - Extra context menu item: &С&валяне &с BitComet - res://D:\Softwer\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &С&валяне на всички видео файлове с BitComet - res://D:\Softwer\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &С&валяне на всички с BitComet - res://D:\Softwer\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\btsendto_ie_ctx.htm

O8 - Extra context menu item: Сваляне на всички с FlashGet - D:\Softwer\FlashGet\jc_all.htm

O8 - Extra context menu item: Сваляне с FlashGet - D:\Softwer\FlashGet\jc_link.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Softwer\BitComet\tools\BitCometBHO_1.4.4.13.dll/206 (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Softwer\FlashGet\flashget.exe (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Softwer\FlashGet\flashget.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International

O11 - Options group: [TABS] Tabbed Browsing

O17 - HKLM\System\CCS\Services\Tcpip\..\{031E5036-31AD-4698-9838-27367D60A13F}: NameServer = 83.222.161.130,83.222.161.131

O17 - HKLM\System\CS1\Services\Tcpip\..\{031E5036-31AD-4698-9838-27367D60A13F}: NameServer = 83.222.161.130,83.222.161.131

O17 - HKLM\System\CS3\Services\Tcpip\..\{031E5036-31AD-4698-9838-27367D60A13F}: NameServer = 83.222.161.130,83.222.161.131

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\Skype4COM.dll

O20 - AppInit_DLLs:

O20 - Winlogon Notify: !SASWinLogon - D:\Softwer\SUPERA Anti Spyware\SASWINLO.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\bin\btwdins.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

[Night_Raven]

Логът от HijackThis не разкрива нищо зловредно.

[Julko]

Добре.Благодаря на всички отново за помоща.

[Pe6o]

Привет,

 

Откога System Safety Monitor e keylogger?

 

Ами формалният отговор е: от когато се е родила. По този въпрос нещо съм писал, но ще се повторя съвсем накратко.

 

"SSM не е безопасна програма, това е типичен кейлогер. Препоръчвам да се използува съвместно с програма, която да ограничава достъпа и до отдалечен сървър. Използува различни приьоми за достъп до Мрежата. Например:notepad е легитимно приложение и като такова не се контролира от защитната стена, ако не му е даден ограничителен стаут."

 

Става въпрос за т.н. "ghostlog spyware" и начина на скрита комуникация с отдалечен сървър- условно казано "ghostlog" комуникация. По мой тестове HIPS'а на "Online Armor" не реагира на тази комуникация, което предполагам ще важи и за други HIPS'ови програми. Отлично се представя Threat Fire-представител на Behavior блокерите.

Повече за връзката: "System Safety Monitor", нейният изпълним файл-"syssafe.exe" и "ghostlog spyware" може да се прочете тук:

http://www.auditmypc.com/process/syssafe.asp

За пояснение малко снимков материал:

 

http://lh4.ggpht.com/_cYSuz4s_Wwg/TB41UfEYMXI/AAAAAAAABis/u5ZB14heZHs/s640/TF9.jpg

 

Oпит за използване на доверена програма за заблуда на потребителя.

 

http://lh3.ggpht.com/_cYSuz4s_Wwg/TB41uwKZWbI/AAAAAAAABmk/nXXYX0QfJt8/TF14.jpg

 

Друг тип опит за подсигуряване.

 

http://lh5.ggpht.com/_cYSuz4s_Wwg/TB41GBe6mxI/AAAAAAAABgc/QnvGgMkQNd4/s640/TF8.jpg

 

Няколко думи за кейлогерите.

Принципно логера действа по следната схема:

1.събира информация от натиснатите клавиши.

2.съхранява същата в логфайлове./или както по снимката във временни файлове в hidden формат: xx2-xx5...,затова HIPS'овете не ги хващат/

 

http://lh5.ggpht.com/_cYSuz4s_Wwg/TCHdvbYSVeI/AAAAAAAAB5s/2pJjrKPjdyI/SV%2016jpg.jpg

 

 

3.предават информацията на отдалечен сървър.

Борбата с кейлогерите може да се води с достатъчна ефективност и само при атака по една от точките.

1.Има специализирани програми: "antykeyloggery"- в повечето случай платени.

Безплатни алтернативи:

PSMAntiKeyLogger http://psmantikeyloger.sourceforge.net/prod01.htm- корейска, тествана с добри впечетления-за напреднали потребители.

Transaction Guard http://www.trendsecure.com/portal/en-US/tools/security_tools/transaction_guard

SnoopFree Privacy Shield http://www.snoopfree.com/PrivacyShield.htm

MyPlanetSoft Anti-Keylogger http://www.myplanetsoft.com/free/antikeylog.php

последните засега без мнение.

2.Може и ръчно чрез проверка на логфайловете в компютъра, за скритите използуване на подходящи за целта програма нпр.: "RootkitRevealer"

На този принцип работи програмата: KL-Detector http://dewasoft.com/privacy/kldetector.htm -анализира логовете и дава предписание-за напреднали потребители.

3.Както споменах HIPS'овете не са ефективни/за да не бъда погрешно разбран уточнявам-за този тип заплахи!/, затова +някъкъв "behavior blocker".

Забележка: поради начина си на действие част от споменатите програми се разпознават от някой АВ,като вирусоносители!

 

Привет nikikom, и на мене ми е прятно.

Употребих израза:...."слабички"... в контекста на конкретната заплаха, която изисква и конкретно противодействие.

 

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

[Night_Raven]

Нещо за друга System Safety Monitor си мислиш, ако въобще се казва точно така. System Safety Monitor е HIPS програма с мрежов контрол и е общо взето бащата на този тип програми. Няма нищо общо с keylogger-и.

[tanganika]

Привет Pesho

 

Би трябвало добрите HIPS програми да уведомяват когато непозната програма ( в зависимост от настройките и редовна програма ) се опитва да отваря с цел да показва или записва информация в какъвто и да било документ.

 

Пример :

 

http://store.picbg.net/thumb/12/DB/44f15f32fe2b12db.jpg

 

отказвам достъп и ето резултата.

 

http://store.picbg.net/thumb/7D/6D/4a346066ea617d6d.jpg