Решена Подозрение на кейлогер в АВЗ.

Статус
В этой теме нельзя размещать новые ответы.

RAS9000

Пользователь
Сообщения
25
Симпатии
0
Баллы
41
#1
Здравствуйте. Сканировал сегодня компьютер АВЗ и обнаружил, как я понимаю подозрение на кейлогер. Сделать лог аутологером я не могу, по причине того, что он постоянно перезагружает ПК (я уже заводил тему в конце июля, приношу извинения, но так и не разобрался в том, что тогда посоветовали) Поэтому решил выложить результат сканирования в АВЗ и если нужно могу выслать карантин.

C:\PROGRA~1\COMMON~1\MICROS~1\IME12\IMETC\IMTCTIP.DLL --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\COMMON~1\MICROS~1\IME12\IMETC\IMTCTIP.DLL>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Передает данные процессу: 1744 C:\Users\Руслан\Desktop\avz4\avz.exe (окно = "Внимание !!! База поcледний раз обновлялась 30.06.2018 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
3. Протокол антивирусной утилиты AVZ версии 4.46
4. Сканирование запущено в 23.08.2018 10:49:43
5. Загружена база: сигна")
6. Выясняет, какое окно находится в фокусе ввода
C:\PROGRA~1\COMMON~1\MICROS~1\IME12\IMETC\IMTCTIP.DLL>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
C:\PROGRA~1\COMMON~1\MICROS~1\IME12\SHARED\IMETIP.DLL --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\COMMON~1\MICROS~1\IME12\SHARED\IMETIP.DLL>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Опрашивает состояние клавиатуры
3. Опрашивает активную раскладку клавиатуры
C:\PROGRA~1\COMMON~1\MICROS~1\IME12\SHARED\IMETIP.DLL>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
C:\PROGRA~1\COMMON~1\MICROS~1\IME12\IMETC\IMTCCORE.DLL --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\COMMON~1\MICROS~1\IME12\IMETC\IMTCCORE.DLL>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Работает с файлом: c:\programdata\microsoft\imtc12\dicts\imtcph.imd
3. Работает с файлом: c:\users\27c6~1\appdata\roaming\micros~1\ime\imetc12\tceudcph.tbl
4. Работает с файлом: c:\users\руслан\appdata\roaming\microsoft\ime\imetc12\tceudp.upt
5. Опрашивает состояние клавиатуры
6. Опрашивает активную раскладку клавиатуры
C:\PROGRA~1\COMMON~1\MICROS~1\IME12\IMETC\IMTCCORE.DLL>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
C:\PROGRA~1\COMMON~1\MICROS~1\IME12\IMETC\IMTCCFG.DLL --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\COMMON~1\MICROS~1\IME12\IMETC\IMTCCFG.DLL>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Работает с файлом: c:\programdata\microsoft\imtc12\dicts\imtcphcs.imd
3. Работает с файлом: c:\programdata\microsoft\imtc12\dicts\imtcls.imd
4. Работает с файлом: c:\programdata\microsoft\imtc12\dicts\imtcl.imd
5. Работает с файлом: c:\programdata\microsoft\imtc12\dicts\imtcv.imd
6. Работает с файлом: c:\windows\system32\lcptr.tbl
7. Работает с файлом: c:\windows\system32\lcphrase.tbl
8. Работает с файлом: c:\users\27c6~1\appdata\roaming\micros~1\ime\imetc12\tceudcph.tbl
9. Работает с файлом: c:\users\руслан\appdata\roaming\microsoft\ime\imetc12\tceudp.upt
C:\PROGRA~1\COMMON~1\MICROS~1\IME12\IMETC\IMTCCFG.DLL>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
C:\PROGRA~1\COMMON~1\MICROS~1\IME12\SHARED\IMELM.DLL --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\COMMON~1\MICROS~1\IME12\SHARED\IMELM.DLL>>> Поведенческий анализ

Полный результат сканирование прикрепляю к сообщению.
Заранее благодарю.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,590
Симпатии
12,649
Баллы
2,203
#2
Больше похоже на Microsoft IME, но без полного комплекта логов сказать сложно.
https://safezone.cc/pravila/
 

RAS9000

Пользователь
Сообщения
25
Симпатии
0
Баллы
41
#3
Уважаемый акок, к сожалению я не могу собрать логи с помощью Аутологера, по причине постоянной перезагрузки, во время попытке собрать логи. И как наладить аутологер я тоже не знаю. Все что мне доступно это ФРСТ, его отчеты я могу прикрепить для анализа.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,590
Симпатии
12,649
Баллы
2,203
#4
У вас установлен IME12, вот на него и среагировал AVZ. Ничего страшного в этом нет. cezurity у вас установлен?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\MountPoints2: {0fdff9cd-0261-11e7-b219-902b34ccc930} - E:\autorun.exe
    S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
    S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
    ContextMenuHandlers4: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> No File
    Task: {4506C568-11FF-47A4-90CC-088272E3F4DA} - \ASC7_PerformanceMonitor -> No File <==== ATTENTION
    Task: {13C7581D-F713-4287-B09D-D6B6F4CC6B7A} - System32\Tasks\AVAST Software\Avast settings backup
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

А попробуйте еще запустить автологер из безопасного режима


  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,249
Симпатии
5,850
Баллы
918
#5
Уважаемый акок, к сожалению я не могу собрать логи с помощью Аутологера, по причине постоянной перезагрузки, во время попытке собрать логи. И как наладить аутологер я тоже не знаю. Все что мне доступно это ФРСТ, его отчеты я могу прикрепить для анализа.
Что значит постоянно? Он один раз перезагружает, а после перезагрузки сбор логов автоматически продолжается о чём он предупреждает.
 

RAS9000

Пользователь
Сообщения
25
Симпатии
0
Баллы
41
#6
Регист, в безопасном режиме удалось запустить сбор логов. До этого, после одной перезагрузки он просил повторную и т.д. Высылаю собранные логи.
Сообщения объединены:

Да, после того, как пофиксил, пришлось заново вводить пароли на всех сайтах, где зарегистрирован.
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,590
Симпатии
12,649
Баллы
2,203
#8
Покажите еще лог AdwCleaner[C01]. От Advanced SystemCare тоже стоит избавиться

Да, после того, как пофиксил, пришлось заново вводить пароли на всех сайтах, где зарегистрирован.
FRST чистит, ничего страшного.

В логах не вижу ничего вредоносного. Если есть желаение разберите с @regist причины падения автологера, это поможет в его развитии, а пока финальные рекомендации
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Статус
В этой теме нельзя размещать новые ответы.

Similar Threads

Сверху Снизу