Microsoft telnet !! Wlamanie an kompa chyba

[hiszpaan]

Witam. Mam problem otoz dzisiaj gralem sobie spokojnie w Age of Empires 3 i nagle wyskoczylo mi takie okienko konsolowe microsoft telnet i pisalo ze laczenie z jakism tam IP prawdopodobnie bylo to moje IP zamykalem to ale ciagle sie wlaczalo wreszcie niby wylaczylem wszedlem do gry a tam na chat tak jakbym ja pisal : admin 1234 jakies polecenia typu quit itd. chyba zadno z nich nie wyszlo bo ja tez zaczalem spamowac wiec przy tym co on pisal (jesli to bylo wlamanie) pojawialy sie moje literki. Potem wyszeldme z gry a tu znowu to okienko tylko pisze ze polaczenie z danym IP sie nie powiodlo i moje haslo to nie 1234 tak jak pisalo w grze , zamknalem to zrobilem reconnecta sprawdzilem noda czy nic nie ma i sciagnalem wlasnie Spy Bot ktory jak na razie nic nie wykrywa. Czy to moglo byc wlamanie ? Moze te admin itd. mialy byc napisane gdzie indziej ale ze gra byla wlaczona to wpisaly sie tam ? No nie wiem nie mam pojecia co to bylo i licze na wasza pomoc. Z gory dziex

[Umpfh]

Daj loga z OTL.

[hiszpaan]

Kod: Zaznacz cały

http://www.wklejto.pl/41145

[Umpfh]

prosiłam o loga z OTL
instrukcja: http://www.forumpc.pl/index.php?showtopic=104338

[deFco247]

prosiłam o loga z OTL

To jest log OTL.
Tyle że ucięty i jest to log Extras.txt.

[hiszpaan]

Prosze :

Kod: Zaznacz cały

http://wklejto.pl/41146

[Umpfh]

Wklejasz poniższy tekst w okienko OTL i dajesz Run Fix. po restarcie daj nowego loga z OTL.

Kod: Zaznacz cały

:Processes
explorer.exe

:OTL
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O33 - MountPoints2\{22211328-866d-11de-be56-001a4d7fb517}\Shell - "" = AutoRun
O33 - MountPoints2\{22211328-866d-11de-be56-001a4d7fb517}\Shell\AutoRun\command - "" = H:\autorun.exe -- [2006-08-26 01:24:33 | 01,003,520 | R--- | M] (Microsoft Corporation)
O33 - MountPoints2\{22211328-866d-11de-be56-001a4d7fb517}\Shell\setup\command - "" = H:\setup.exe -- [2006-11-20 14:12:53 | 00,294,912 | R--- | M] ()
O33 - MountPoints2\{6626c4dc-8111-11de-b163-806d6172696f}\Shell - "" = AutoRun

:Files
C:\WINDOWS\inout1.dll

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[start explorer]
[Reboot]
C:\WINDOWS\_detmp.1

[hiszpaan]

http://wklejto.pl/41149

to to ale chyba cos sie zepsulo an koncu bo program sie zawiesil i msuaem czylwaczyc przez menagera zadana ale w kompie sie pozmeinialo wiec chyba zadzialalo

[Umpfh]

tak, usunął infekcję
wykonaj pełne skanowanie tym: http://www.programosy.pl/program,malwar ... lware.html usuń wszystko co wykryje i daj logi po usuwaniu z Malware

[hiszpaan]

uruchomilem skanowanie i pod koniec zowu zaczal wyskakiwac ten telnet i wygladalo to tak:



Pisalo tez ze zarazony byl jakis tam plik admin a tutaj jest log :

Kod: Zaznacz cały

Malwarebytes' Anti-Malware 1.40
Wersja bazy definicji: 2682
Windows 5.1.2600 Dodatek Service Pack 2

2009-08-23 17:14:35
mbam-log-2009-08-23 (17-14-35).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|)
Przeskanowane obiekty: 135317
Upłynęło: 12 minute(s), 3 second(s)

Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 0
Zainfekowane pliki rejestru: 2
Zainfekowane foldery: 0
Zainfekowane pliki: 1

Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:
(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Zainfekowane foldery:admin
1234
sys reboot
 
exit
 quit

(Nie wykryto groźnych plików)

Zainfekowane pliki:
C:\WINDOWS\system32\syssetub.dll (Trojan.Agent) -> Quarantined and deleted successfully.


-- Dodane 23.08.2009 (N) 17:25 --

quit
i dalej sie wlacza :/ open 192.168.2.1
1234
i sys reboot

i widac exit
co w ypisquit
uje nie moge napisac nawet normalnie

[Umpfh]

Daj loga z Combofixa.

[hiszpaan]

http://wklejto.pl/41151

[Umpfh]

Czysto.
Pobierz: http://oldtimer.geekstogo.com/OTC.exe uruchom i klik na CleanUp!, komputer się zrestartuje, oczyści niepotrzebne pliki po OTL, Combofixie.
jak zachowuje się komputer?