Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

KOLANICH

PDM.Keylogger kernel mode memory patch

Рекомендованные сообщения

загрузил комп и обнаружил уведомление от касперского о кейлоггере

 

12.12.2009 15:28:08 Подозрительный легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя PDM.Keylogger kernel mode memory patch Средняя

 

 

при нажатии на медийные кнопки вылазяет 2 окна программ

кейлоггер ведь слушает всё, а обрабатывает корректно только алфавитно-цифровые

hijackthis.txt

virusinfo_syscheck.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По первому пункту: Ничего страшного. Не обращайте внимание.

 

По второму пункту:

Это в темповской папке архиватора. Просто очистите ее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отправьте на проверку сюда - http://www.virustotal.com/ru/ - вот эти файлы:

C:\Users\Админ\Desktop\tfnqmfd4.exe
C:\Users\7272~1\AppData\Local\Temp\RarSFX0\87v75y.exe
C:\Users\7272~1\AppData\Local\Temp\RarSFX0\6ugppXP.exe

Последние 2 файла почему-то у вас в памяти висят. Поэтому и интересны результаты их проверки.

Но их в любом случае можно удалить, да и вообще весь мусор почистить на компе, например, с помощью ccleaner.

 

Пофиксите в хайджеке:

R3 - URLSearchHook: (no name) -  - (no file)

У вас не закрыты потенциальные дыры:

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)

>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)

 

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

 

9. Мастер поиска и устранения проблем

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Также на компе не отключён NetBIOS.

Это всё можно отключить. Отключаем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дело в том, что драйве УЖЕ стоит и ему помешать, мммм, сложно. В нулевом кольце все равны. Сделайте исключение для этого драйвера из алерта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

C:\Users\Админ\Desktop\tfnqmfd4.exe это кюреит

 

C:\Users\7272~1\AppData\Local\Temp\RarSFX0\87v75y.exe этот файл не был найден

C:\Users\7272~1\AppData\Local\Temp\RarSFX0\6ugppXP.exe

 

сегодня вобще алертов не вылезало

 

R3 - URLSearchHook: (no name) - - (no file)

 

что это такое?

 

>> Разрешен автозапуск со сменных носителей

это не отключит автозапуск с лазерных дисков?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

KOLANICH, с лазерных дисков оставим автозапуск, а остальное можно отключить (автозапуск с флешек и винтов и прочее).

R3 - URLSearchHook: (no name) - - (no file)
Перехватчик поиска в браузере, это лучше пофиксить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ясно

это кип наc%@л

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

KOLANICH, от QIP там ещё полно мусора. Можно и его удалить.

По поводу дыр: напишите, если нужно их закрыть/отключить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я дыры пофиксил уже

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах