как избавиться от "Keylog-sters" ?

[OlegR]

Кто знает как избавиться от "Keylog-sters" , spyware doctor его находит , удаляет , но он (Keylog-sters) снова появляется !

Keylog-sters (Keylog-Sters [McAfee])

Type: Keylogger

Trojan

Threat Level: High

Description: Keylog-sters is a password stealing Trojan that will steal any user data that is entered into a web form. Login information, credit card numbers, Internet banking details, and email logins are some examples of what this Trojan captures. Before it captures this information, it takes a screenshot of the current screen which in most cases, will show the page where the login or data is being entered. The screenshot is stored as a standard image file and the captured information into a "tmp" file into a directory that it creates under the "System" folder. The contents of the folder are then subsequently uploaded to the authors private FTP server with captured information from other infected users around the world.

escription: Keylog-sters -троян грабитель паролей, который крадет различные пользовательские данные, которые введены в WEB форму Данные о логинах, номерах кредитных карточек, интернет-банковские детали, и логины электронной почты -это лишь некоторые примеры троянских захватов. Для захвата этих данных, требуется скриншот текущего экрана, который в большинстве случаев, показан на странице, куда вводятся логин или данные . Скриншот сохраняется как стандартный файл изображения{образа} и захваченная информация в "tmp" файл в директорию "System" folder .Содержание этого фолдера впоследствии передается авторам на частный FTP сервер с захваченной информацией от всех зараженных{инфициров анных} пользователей во всем мире.

Пользователи настольных компьютеров не получают никаких очевидных индикаторов, что компьютер был заражен{инфицирован} , не подозревая о нарушение безопасности.

http://www.pctools.com/en/mrc/infect.../Keylog-sters/

http://www.marketwire.com/mw/release... ase_id=106522

Провел такой эксперимент:

Захожу на yandex.ru (специально через IE) с активным Доктором, предупреждает, что на сайте имеется опасный активный контент. Все равно захожу. Запускаю Доктора на сканирование компа, находит Keylog-sters

Не удаляю, проверяю комп NAV2005 (Auto-Protect не среагировал) - чисто.

Trojan Remover v6.4.7 с последними базами - ничего

Spy Emergensy 2005 - чисто

Lavasoft Ad-Aware SE Plus v1.06r1 - чисто

Сканировал следующими программами:

AntiViral Toolkit Pro Platinum Edition v3.5.1.2

NOD32 v2.50.26.0

Microsoft AntiSpyware

Spybot - Search & Destroy v1.4.0.0

Результат отрицательный.

Попробовал Оперу , пока Keylog-sters нет , а с IE проблема остается (((

Решаема ли она ???

Не только я поймал Keylog-sters , к сожелению ,он есть у каждого моего личного знакомого , а это 10 компьютеров , причем у двоих совершенно новые компы ,купленные на этой неделе ( после входа на yandex ОН появляется )

КТО СМОЖЕТ СДЕЛАТЬ СЛЕДУЮЩЕЕ :

1.Пользуемся IE .

2.Ваша защита - ЭТО Главное !

3.Входим на yandex.ru (хотя Keylog-sters может проникать и дгугим путем)

4.Сканируем Spyware Doctor(новым!) и получаем нужный результат , ТОГДА МОЖНО БУДЕТ ЗАКРЫТЬ ЭТОТ ВОПРОС !!!!

И пожалуйста не предлагайте сменить браузер , с этим все ясно .

Пробуем добиться результата в рамках IE !!!

Кто сделает по пунктам : 1-2!!!-3-4 ???

Всем желаю успехов !!!

[Saule]

Не смотря на такой длинный рассказ, из него ясно лишь следующее - есть подозрения на Keylogger.

Для устранения вашей проблемы этого слишком мало.

Скачайте, пожалуйста HijackThis.

Включите и нажмите на кнопку "Do a systemscan and save a logfile".

После чего программа выдаст вам лог, который необходимо скопировать и прислать мне в PM или выложить тут на форуме.

-------------------------------

Немного обьясню другими словами, что представляет собой тип KeyLogger. Такие трояны предназначены для перехвата и сохранения в файл того, что вводится вами с клавиатуры. То есть это клавиатурный шпион, который переодически обязательно должен отправлять записанную им информацию на указанный злоумышленником e-mail и/или FTP (исключение, может быть, когда такого трояна устанавливает на компьютер начальство, либо излишне любопытные/заботливые/ревнивые родственники, которым интересно, чем занимаються их дети/супруг/супруга в сети. Но я думаю, это не ваш случай). Поэтому хороший Firewall, с помощью которого вы будите контролировать любые ваши соединения, избавит вас от подобной утечки информации, и не смотря на то, что информация о вас будет собрана, доставить её по адресу у трояна уже не получиться.

Это просто совет.

--------------------------------

Еще меня немного смутило вот это:

Попробовал Оперу , пока Keylog-sters нет , а с IE проблема остается (((

Можно сделать вывод, что, возможно, речь идет совсем не о том, о чем вы подумали :)

Но чтобы в этом удостовериться, мне необходимо попить кофе и более-менее проснуться, что я и собираюсь сделать. А затем обязательно посмотрю на что именно реагирует Spyware Doctor на странице yandex и расскажу о своих наблюдениях.

[OlegR]

Если бы Вы сначало посмотрели бы сами , то мне даже обьяснять не

прийдется , Вы сами увидете Keylog ( при условии если у вас IE и Doctor )

у себя. Жду результата эксперемента !

[Saule]

Если бы Вы сначало посмотрели бы сами , то мне даже обьяснять не

прийдется , Вы сами увидете Keylog ( при условии если у вас IE и Doctor )

у себя. Жду результата эксперемента !

Ну что ж, рассказываю о своем эксперименте.

Вы верно заметили, что перед тем, как загрузить www.yandex.ru, Spyware Doctor предупреждает о том, что на сайте имеется опасный активный компонент. Тут нужно обьяснить, что именно Spyware Doctor имеет в виду.

Речь идет о поисковом слове, которое вы вводите в WEB форму сайта.

То есть всё, что вы туда вводите автоматически сохраняеться и дабавляеться в статистику, которую ведет yandex:

http://stat.yandex.ru/queries/last20.xml

Cледует заметить, что yandex использует тут тот же самый метод, по которому и действуют те самые Keylogger'ы. И по сути это тоже являеться своеобразным воровством той информации, которую вы вводите со своей клавиатуры в WEB форму. Но так как за сутки этот поисковик посещают нес-ко миллионов посетителей, эта информация никак не может считаться секретной и yandex имеет полное право её таким образом "воровать".

При этом всё, что вы открываете в интернете, сохраняеться на вашем компьютере во временных интернет файлах.

C:\DOCUME~1\имя пользователя\LOCALS~1\Temporary Internet Files\Content.IE5

В том числе сохраняеться и та страничка yandex.ru, на которой Spyware Doctor находит опасный активный компонент.

Далее, когда вы делайте проверку своего компьютера с его помощью, он находит Keylog-Sters именно во временных файлах интернета и именно в копии этой странички (при чем для него все её составляющие являються единым целым, это нормально).

Поэтому делаем вывод, что Keylog-Sters, уже несколько раз найденный на вашем компьютере, абсолютно никакой опасности для вас не представляет. И все ваши волнения напрасны

Просто для Spyware Doctor в этом случае важен именно сам метод, по которому он отлавливает шпионов.

Я надеюсь, что я понятно обьяснила... Если вдруг остались какие-либо вопросы или я о чем-то забыла, то смело спрашивайте.

[OlegR]

Еще вопрос

Лазил по инету в поисковике rambler.ru и других , в общем только не в yandex.ru

Сканировал Доктором ,

Результат :

Keylog-sters

Temporary Internet Files

C:\Dokument and Settings\User\Temporary Internet Files\Content.IE5\5WLS9AH\cyconter[1].gif

и дополнительно куки , такие :

Trackinng Cookie(s)

Cookies(spylog.com)

C:Dokument and Settings\User\Cookies\User@spylog[1].txt

Что это и стоит ли бояться ?

[OlegR]

Для большей наглядности добавлю картинку

от Доктора

[Saule]

Еще вопрос

Лазил по инету в поисковике rambler.ru и других , в общем только не в yandex.ru

Сканировал Доктором ,

Результат :

Keylog-sters

Temporary Internet Files

C:\Dokument and Settings\User\Temporary Internet Files\Content.IE5\5WLS9AH\cyconter[1].gif

и дополнительно куки , такие :

Trackinng Cookie(s)

Cookies(spylog.com)

C:Dokument and Settings\User\Cookies\User@spylog[1].txt

Что это и стоит ли бояться ?

Cookie - это текстовая информация, которую Web-сайт посылает на ваш компьютер, и когда позже вы снова посещаете тот же самый Web-сайт, ваш компьютер возвращает ему эту информацию неизмененной. Сайт благодаря этому может предоставлять своим посетителям некоторые услуги, например, представлять сайт в том виде, в котором посетитель его ранее настроил, или разрешать авторизованным посетителям вход на сайт без ввода пароля.

Тracking cookie - это cookie, которыми могут пользоваться несколько сайтов (т.е. к такому виду cookie доступ может получить не только тот сайт, который создал его, но и другие определенные сайты), что нарушает конфиденциальность ваших данных. Именно поэтому от такого вида cookie и необходимо избавляться.

Однако, стоит заметить, что угроза нанесения вам вреда с помощью cookie минимальна. Сookie не могут ничего прочитать с жесткого диска и не могут переслать данные. Поэтому бояться там в принципе нечего. Но чтобы обезопасить себя на будущее от Тracking Сookie с какого-нибудь конкретного сайта (например, в вашем случае от spylog.com), вы можите сделать следующее:

Start > Control Panel > Internet Options > Security

Делее выберите "Restricted Sites", нажмите на кнопку "Sites", и в новом приложение, которое появиться, впишите под "Add this Web site to the zone" следующее:

*.spylog.com

Затем нажмите на кнопку Add и ОК.

Может со скрином будет легче:

----------------------------------

Что касаеться Keylog-sters во временных интернет-файлах, то там точно такая же ситуация, которая была с yandex, просто сайт уже какой-нибудь другой.

То есть, если вы заходите на какой-либо сайт и Spyware Doctor предупреждает вас об опасном активном контенте, но вы всё равно заходите, то после, в большинстве случаях, он будет находить в ваших временных файлах Keylog-sters.

Еще какие-нибудь вопросы?

Изменено 15 февраля, 2006 пользователем Saule

[snejinka]

OlegR:

И пожалуйста не предлагайте сменить браузер , с этим все ясно .

Пробуем добиться результата в рамках IE !!!

Это тоже самое , что сказать, я знаю , что ботинки дырявые, но надо все равно добиться того, чтобы ноги не промокали от хождения по лужам.В рамках IE, такие проблемы все равно будут оставаться. В Firefox, есть такая опция - удалять все файлы и куки , после , того как выходишь из программы и загружается быстрее страница , чем в ИЕ, ну , да , ладно, каждому свое.

Самое интересное ,что проблема идентифицирована McAfee , уменя стоит полный комплект фаерволла и мониторит антивирь , но у меня подобных проблем нет. И вообще уже случалось, что файлы , объявленные McAfee , как malware- это особый скрипт в программах, ну , которые никак не шпионят. Подробнее посмотри здесь

И вообще в сети информация на эту тему( Keylog-sters) вся связана PC tools, что отдает очень сильно маркетинговым ходом, потому как на Security Lab ничего нет по поиску.

Не удаляю, проверяю комп NAV2005 (Auto-Protect не среагировал) - чисто.

Trojan Remover v6.4.7 с последними базами - ничего

Spy Emergensy 2005 - чисто

Lavasoft Ad-Aware SE Plus v1.06r1 - чисто

Сканировал следующими программами:

AntiViral Toolkit Pro Platinum Edition v3.5.1.2

NOD32 v2.50.26.0

Microsoft AntiSpyware

Spybot - Search & Destroy v1.4.0.0

Хотелось бы посоветовать еще одну программу , которая мне очень нравится - Anti Trojan shield триальную версию найдешь без проблем. Она находит много мусора за всеми остальными. :sm(100):

[OlegR]

;)

Спасибо за ответы , но все же как сделать так , что бы Spyware Doctor не находил бы

Keylog-sters , даже если их не следует бояться ???

[Saule]

:sm(100): Спасибо за ответы , но все же как сделать так , что бы Spyware Doctor не находил бы

Keylog-sters , даже если их не следует бояться ???

Ответ PC tools:

1. Откройте Spyware Doctor.

2. Выберите "Onguard".

3. Выберите "Key Logger Guard".

4. Нажмите на кнопку "On", чтобы переключить её на положение "Off".

-------------------------

Моё мнение, лучше ничего не отключать, а просто с этим смириться.

Ведь кто знает, может когда-нибудь на вашем компьютере заведеться настоящий KeyLogger, а он у вас не будет определяться.

[OlegR]

Так что , сама PC Tools советует это сделать !!!??? Серьезно ???

[Saule]

Вы спрашивали:

все же как сделать так , что бы Spyware Doctor не находил бы Keylog-sters???

И они просто ответили именно на этот вопрос (имея в виду, что если уж вам так не хочеться, постоянно находить на своем компьютере Keylog-sters с вэб-страниц, то просто совсем отключите тот модуль, который за это отвечает):

И еще раз обьясню, так как мне кажеться, вы не совсем всё поняли.

Keylog-sters неопасен только лишь в случае, если он найден в ваших временных интернет-файлах (расширения html, htm, js, gif, jpg, css и т.п.).

Если же Keylog-sters будет в каком-либо exe или dll файле, то это действительно будет опасный троян.