Лаборатория информационной безопасности. Как обнаружить и удалить клавиатурный шпион REFOG Keylogger? Как узнать стоит ли клавиатурный шпион
Сегодня я покажу несколько способов, которые помогут вам определить ведётся ли за вашим компьютером скрытое, невидимое наблюдение.
Однажды ко мне обратился один мой знакомый, который попросил меня найти для него программу осуществляющую невидимую слежку за ПК. Он подозревал свою вторую половину в неверности.
Недолго думая я решил написать индивидуально для него такую программу потому что, во первых утилиты такого рода как правило платные, а бесплатные крайне ненадёжны и могут содержать в себе вредоносный код.
Спустя несколько дней программа была готова. И так что же я сделал?
С помощью IDE Delphi я написал данную утилиту, которая могла:
1) следить за клавиатурой, т.е. она записывала все нажатия клавиш в спец. отчёт и помещала его в невидимую папку;
2) создавать скриншоты — фото экрана монитора;
3) и всё это дело отправлять на электронную почту.
И ещё программа работала в невидимом режимеи стартовала при запуске Windows.
Фактически я создал — кейлоггер от английского слова keylogger т.е. клавиатурный шпион.
Теперь я покажу несколько способов поиска keyloggera на своём ПК.
Пример №1. Поиск mipko
Для примера я скачал и установил клавиатурный шпион mipko. Довольно-таки неплохая программа для скрытой слежки.
И так как же понять, что на вашем ПК может быть установлена данная программа.
Ну первым делом можно конечно же можно проверить свой ПК антивирусом — Dr web cureit
.
На данном скрине мы видим, что антивирус нашёл подозрительный файл.
Открываем папку где расположен этот файл и мы сразу же видим иконку программы mipko и другие принадлежащие ей файлы.
Кстати — данный способ помог мне однажды вычислить этот шпион у соседа. Эту программу как выяснилось позже установила его жена.
Пример № 2. Поиск mipko в Диспетчере задач
Программисты, которые создали данный келоггер видно, что хорошо потрудились, процесс mipko не отображается в стандартном Диспетчере задач, который установлен в Windows, но эта проблема решается легко достаточно скачать какой-нибудь альтернативный диспетчер например System Explorer.
Запускаем его -> открываем вкладку Processes и мы сразу видим процесс MPK.exe.
В интернете можно найти следующую информацию об этом файле:
Пример № 3. Поиск mipko в реестре (regedit)
Что бы не утруждать себя длительными поисками в реестре можно скачать программу Autoruns
.
Эта утилита показывает места автозапуска программ на ПК. Запускаем её и смотрим вкладку Everything
. Особое внимание уделяем процессам окрашенным в розовый цвет.
Пример № 4. Поиск mipko
Суть любого клавиатурного шпиона заключается в том, что он ставит глобальный хук, который следит за клавиатурой. Как правило этот хук загружается через динамическую библиотеку dll.
Почти все кейлоггеры, которые на данный момент времени доступны для скачивания в интернете работают именно по такому принципу.
Что бы поймать сам хук нужно установить всего-навсего какой-нибудь файрвол (Firewall ).
Для этой цели подойдёт Comodo Firewall . При попытке шпиона поставить глобальный хук на клавиатуру файровол выдаст сообщение на рабочий стол с системным предупреждением.
Пользуясь данным кратким руководством по поиску keylogger на своём ПК вы сможете также обнаружить и другие версии клавиатурных шпионов.
Название угрозы
Имя исполняемого файла:
Тип угрозы:
Поражаемые ОС:
Keylogger
Keylogger
Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)
Метод заражения Keylogger
Keylogger копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла bpk.exe . Потом он создаёт ключ автозагрузки в реестре с именем Keylogger и значением bpk.exe . Вы также можете найти его в списке процессов с именем bpk.exe или Keylogger .
Если у вас есть дополнительные вопросы касательно Keylogger, пожалуйста, заполните и мы вскоре свяжемся с вами.
Скачать утилиту для удаления
Скачайте эту программу и удалите Keylogger and bpk.exe (закачка начнется автоматически):
* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Keylogger в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.
Функции
Программа способна защищать файлы и настройки от вредоносного кода.
Программа может исправить проблемы с браузером и защищает настройки браузера.
Удаление гарантированно - если не справился SpyHunter предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 входит в комплект поставки.
Скачайте утилиту для удаления Keylogger от российской компании Security Stronghold
Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Keylogger .. Утилита для удаления Keylogger найдет и полностью удалит Keylogger и все проблемы связанные с вирусом Keylogger. Быстрая, легкая в использовании утилита для удаления Keylogger защитит ваш компьютер от угрозы Keylogger которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Keylogger сканирует ваши жесткие диски и реестр и удаляет любое проявление Keylogger. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Keylogger. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Keylogger и bpk.exe (закачка начнется автоматически):
Функции
Удаляет все файлы, созданные Keylogger.
Удаляет все записи реестра, созданные Keylogger.
Программа может исправить проблемы с браузером.
Иммунизирует систему.
Удаление гарантированно - если Утилита не справилась предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.
Наша служба поддержки готова решить вашу проблему с Keylogger и удалить Keylogger прямо сейчас!
Оставьте подробное описание вашей проблемы с Keylogger в разделе . Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Keylogger. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Keylogger.
Как удалить Keylogger вручную
Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Keylogger, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Keylogger .
Чтобы избавиться от Keylogger , вам необходимо:
1. Завершить следующие процессы и удалить соответствующие файлы:
- edit-keylogger.exe
- frmabout.frm
- frmabout.frx
- globalhook.exe
- keylogger.frm
- keylogger.frx
- keylogger.vbw
- keylog~1.vbp
- keytrap.bas
- modconnected.bas
- modctrlaltdel.bas
- modicqpager.bas
- modinputtext.bas
- modstartwithwindows.bas
- modwinsock.bas
- saveediter.bas
- winsockbas.bas
- winsocksub.bas
- bpk.exe
- pk.bin
Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать для безопасного решения проблемы.
2. Удалите следующие папки:
3. Удалите следующие ключи и\или значения ключей реестра:
Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать для безопасного решения проблемы.
4. Сбросить настройки браузеров
Keylogger иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Keylogger. Для сброса настроек браузеров вручную используйте данную инструкцию:
Для Internet Explorer
Если вы используете Windows XP, кликните Пуск , и Открыть . Введите следующее в поле Открыть без кавычек и нажмите Enter : "inetcpl.cpl".
Если вы используете Windows 7 или Windows Vista, кликните Пуск . Введите следующее в поле Искать без кавычек и нажмите Enter : "inetcpl.cpl".
Выберите вкладку Дополнительно
Под Сброс параметров браузера Internet Explorer , кликните Сброс . И нажмите Сброс ещё раз в открывшемся окне.
Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.
После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.
Предупреждение: Сбросить настройки браузеров в Инструменты
Для Google Chrome
Найдите папку установки Google Chrome по адресу: C:\Users\"имя пользователя"\AppData\Local\Google\Chrome\Application\User Data .
В папке User Data , найдите файл Default и переименуйте его в DefaultBackup .
Запустите Google Chrome и будет создан новый файл Default .
Настройки Google Chrome сброшены
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.
Для Mozilla Firefox
Откройте Firefox
В меню выберите Помощь > Информация для решения проблем .
Кликните кнопку Сбросить Firefox .
После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить .
Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.
| Антивирусное программное обеспечение | Версия | Обнаружение |
|---|---|---|
| K7 AntiVirus | 9.179.12403 | Unwanted-Program (00454f261) |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Dr.Web | Adware.Searcher.2467 | |
| McAfee-GW-Edition | 2013 | |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
поведение Keylogger
- Изменение рабочего стола и параметры браузера.
- Keylogger деактивирует установленного программного обеспечения.
- Тормозит Интернет-соединение
- Интегрируется в веб-браузере через расширение браузера Keylogger
- Общее поведение Keylogger и некоторые другие текст emplaining som информация связанные с поведением
- Устанавливает себя без разрешений
- Изменяет пользователя Главная страница
- Keylogger подключается к сети Интернет без вашего разрешения
Keylogger осуществляется версий ОС Windows
- Windows 10 23%
- Windows 8 33%
- Windows 7 20%
- Windows Vista 7%
- Windows XP 17%
География Keylogger
Ликвидации Keylogger от Windows
Удалите из Windows XP Keylogger:
Удалить Keylogger от вашего Windows 7 и Vista:
Стереть Keylogger от Windows 8 и 8.1:
Удалить из вашего браузеров Keylogger
Keylogger Удаление от Internet Explorer
Стереть Keylogger от Mozilla Firefox
Прекратить Keylogger от Chrome
У каждого пользователя есть информация, которая для него очень дорога, но и злоумышленники продолжают создавать вирусные программы, способные украсть с компьютера все пароли и данные. Для этого они используют специально написанные программы, такие программы называются кейлоггеры. Они способны запоминать все действия пользователя, переходы по сайтам, нажатие клавиш, и т.д. Затем вся эта информация отсылается злоумышленнику.
Как защитить информацию, хранящуюся на компьютере от кражи?
Как правило, на любом ПК нужно установить специальное ПО для его защиты и наблюдения за возможными угрозами, так что антивирус должен устанавливаться раньше, чем вы подключитесь в сети. Антивирус будет постоянно, в режиме реального времени, наблюдать за файлами системы, жесткими дисками, съемными носителями и время от времени их сканировать, на присутствие угроз.
Также стоит позаботиться о программное обеспечение сканирующее сетевой трафик. Вирусы кейлоггеры постоянно отправляют собранную у пользователей информацию своему создателю через интернет при активном его подключении. Специально созданные для этого программы (Firewall), будут этому всячески препятствовать, ограничивая такое соединение, пока оно не будет разрешено администратором компьютера. Тем самы, если даже кейлоггер и присутствует в системе вашего компьютера, собранная вирусом информация никак не сможет попасть к злоумышленнику.
Не нужно забывайте и о наличие в компьютере «Диспетчере задач», в котором в любое время можно посмотреть все активные процессы, запущенные во время работы. Если вы обнаружите что-то подозрительное, просто выберите пункт для этого процесса завершающий его работу ("Снять задачу" или "Завершить процесс"). Но не стоит увлекаться и останавливать процессы, в которых вы не уверены, что это шпионские программы, так как вы можете нарушить нормальную работу системы, что приведет к перезагрузке компьютера. Если вы знаете о присутствии в системе шпиона, но не можете его обнаружить, и антивирусные программы вам тоже не помогли, то самым надежным способом для избавления от него будет переустановка системы. Большинство кейлоггеров устанавливаются в систему в виде обычных программ. Просто посмотрите установленные на вашем компьютере программы и удалите те, что вы не устанавливали.
В предыдущей статье мы рассказывали . А в этой статье мы поможем вам найти и удалить клавиатурный шпион REFOG Keylogger . И делать это будем не сторонними программами, которые не всегда помогают, а методом поиска и удаления мастер пароля на вход(администрирование) самой программы шпиона.
На предыдущих ранних версиях, для того чтобы определить установлен ли у вас кейлоггер Refog надо было в строке пуск написать «runrefog» или нажать на комбинацию клавиш Ctrl+Shift+K . В последних версиях программы появилась возможность изменять секретную фразу для запуска программы. Поэтому фраза «runrefog» может и не запустить программу, если её изменили.
Поиск кейлоггера
По умолчанию программа Refog Keylogger устанавливается в эти папки:
- C:\Windows\System32\MPK\ – Для32-bit Windows (x86)
- C:\Windows\SysWOW64\MPK\ – Для 64-bit Windows (x64)
Попробуем их найти на компьютере. В меню пуск набираем:
- %allusersprofile%\Application Data\MPK — Для Windows XP
- %allusersprofile%\MPK — Для Windows 7, Vista, и Windows 8
Если после нажатия на клавишу enter вы получаете ошибку о том что Windows не может найти данную директорию, это означает что на вашем компьютере не установлен Regog Keylogger. Конечно злоумышленник мог бы изменить путь, но обычно большинство людей это не делают. Если открылась папка с файлами: «M0000» и ярлыком на программу «Refog Keylogger» .
Почти во всех версиях программы кейлоггер создаёт ярлык на папку все кроме версии Refog Personal Monitor. Если вы не нашли ярлык, попробуйте поискать поиском файл «MPKView.exe»
Обход защиты кейлоггера
Итак мы нашли программу или ярлык на неё, запускаем, перед нами появляется окно для ввода мастер пароля. Не закрывая окно, идём в контрольную панель. В настройках папки переходим на вкладку вид. Выбираем показывать скрытые файлы, папки и драйвера. И убираем галочку с «Скрыть системные защищённые файлы». Теперь возвращаемся в папку, и удаляем файл «S0000» который там появился. Закрываем все окна и обязательно перезапускаем компьютер!
Заходим в папку кейлоггер, запускаем программу. Теперь откроется окно программы без окошка ввода пароля. Ура! Мы обошли защиту программы.
Теперь у нас есть 2 варианта: мы можем удалить программу кейлоггер, или сменив пароль наблюдать за действиями того кто её вам установил, таким образом вы не только удалите кейлоггер но и узнаете кто её вам подсунул.
P.S. Самая плохая ситуация в области информационной безопасности это ситуация, которую вам больше прочего надлежит опасаться - это ощущение безопасности, когда в действительности вы не защищены.
Прочитав статью , вы узнаете какие существуют приложения для защиты от кейлоггеров, клавиатурных шпионов.
