Częste BSoDy

Mozolekks · 18 Październik 2010 16:18

Cześć.

Krótka piłka. Ostatnio zaczęły pojawiać się coraz częściej blue screeny, internet zaczął mulić oraz w autostarcie znalazłem svchost… Czyli wiadomo, syf! Tłumaczenie dla laika mile widziane

HiJackThis: http://wklej.org/hash/aa03072d220/

OTL: http://wklej.org/hash/23412346da5/

OTL Extras: http://wklej.org/hash/a36e62346c7/

jessica · 19 Październik 2010 07:26

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL [2010-07-04 20:01:19 | 000,000,000 | —D | M] (Zynga Toolbar) – C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\Profiles\gn5t456k.default\extensions{7b13ec3e-999a-4b70-b9cb-2617b8323822} O2:64bit: - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\hssie\HssIE_64.dll (AnchorFree Inc.) O2 - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\hssie\HssIE.dll (AnchorFree Inc.) O4 - HKLM…\Run: [svchost] C:\Users\Mateusz\AppData\Roaming\Microsoft\svchost.exe () O4 - HKU\S-1-5-21-3048241399-3072757814-650109448-1000…\Run: [Adobe cleanup] File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found F3:64bit: - HKU\S-1-5-21-3048241399-3072757814-650109448-1000 WinNT: Load - (C:\Users\Mateusz\AppData\Local\Temp\dwm.exe) - C:\Users\Mateusz\AppData\Local\Temp\dwm.exe () F3 - HKU\S-1-5-21-3048241399-3072757814-650109448-1000 WinNT: Load - (C:\Users\Mateusz\AppData\Local\Temp\dwm.exe) - C:\Users\Mateusz\AppData\Local\Temp\dwm.exe () O20 - HKU\S-1-5-21-3048241399-3072757814-650109448-1000 Winlogon: Shell - (C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\shell.exe) - C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\shell.exe () O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. MsConfig:64bit - StartUpReg: Surfbar - hkey= - key= - C:\Program Files (x86)\Surfbar\Surfbar.exe File not found MsConfig:64bit - StartUpReg: SYSTEM - hkey= - key= - C:\Windows\system\lcass.exe () MsConfig:64bit - StartUpReg: Vidalia - hkey= - key= - C:\Program Files (x86)\Vidalia Bundle\Vidalia\vidalia.exe File not found MsConfig:64bit - StartUpReg: {A578008C-D130-B08E-D74A-76C29C9D2C1E} - hkey= - key= - C:\Users\Mateusz\AppData\Roaming\Atto\gonui.exe File not found MsConfig:64bit - State: “startup” - Reg Error: Key error. [2010-09-14 21:17:28 | 000,000,786 | ---- | M] () – C:\0000.cfg [2010-08-19 15:18:25 | 000,438,784 | ---- | M] ( ) – C:\0000.exe :Files C:\Program Files (x86)\Hotspot Shield C:\Users\Mateusz\AppData\Local\Temp*.html :Reg [HKEY_USERS\S-1-5-21-3048241399-3072757814-650109448-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- :Commands [emptytemp] [resethosts] [Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Mozolekks · 19 Październik 2010 10:31

Cześć. Dzięki za sprawdzenie logów Jessi

Oto nowe logi:

Usuwanie OTL: http://wklej.org/hash/1148741ca14/

Nowy log OTL: http://wklej.org/hash/64359c5510e/

Nowy Extras: http://wklej.org/hash/c732dd8f6ca/

jessica · 19 Październik 2010 11:00

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL MsConfig:64bit - StartUpReg: Surfbar - hkey= - key= - C:\Program Files (x86)\Surfbar\Surfbar.exe File not found MsConfig:64bit - StartUpReg: SYSTEM - hkey= - key= - C:\Windows\system\lcass.exe () MsConfig:64bit - StartUpReg: uTorrent - hkey= - key= - C:\Program Files (x86)\uTorrent\uTorrent.exe (BitTorrent, Inc.) MsConfig:64bit - StartUpReg: Vidalia - hkey= - key= - C:\Program Files (x86)\Vidalia Bundle\Vidalia\vidalia.exe File not found MsConfig:64bit - StartUpReg: {A578008C-D130-B08E-D74A-76C29C9D2C1E} - hkey= - key= - C:\Users\Mateusz\AppData\Roaming\Atto\gonui.exe File not found [2010-10-13 23:41:15 | 000,040,448 | ---- | C] () – C:\Windows\SysWow64\mcafeemn.dll [2010-10-13 23:41:15 | 000,012,288 | ---- | C] () – C:\Windows\SysWow64\windump.exe SRV:64bit: - File not found [Auto | Running] – C:\Windows\SysNative\windump.exe – (windump) MOD - [2010-10-13 23:41:15 | 000,040,448 | ---- | M] () – C:\Windows\SysWOW64\mcafeemn.dll SRV - [2010-10-13 23:41:15 | 000,012,288 | ---- | M] () [Auto | Running] – C:\Windows\SysWOW64\windump.exe – (windump) :Files C:\Windows\system\lcass.exe :Commands [emptytemp] [Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Mozolekks · 19 Październik 2010 11:16

Kolejne logi:

Usuwanie OTL: http://wklej.org/hash/667482c9429/

Nowy log OTL: http://wklej.org/hash/b550d820bbd/

Nowy Extras: http://wklej.org/hash/ba6d19e760e/

jessica · 19 Październik 2010 11:24

W nowym logu nie ma już nic do usuwania - (poza kluczami, których najwyraźniej OTL nie potrafi usunąć).

Ponieważ były usuwane pliki Keyloggera, to prawdopodobnie jest ich więcej.

Na wszelki wypadek użyj MBAM -> http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html.

Co wykryje - niech usunie.

jessi

Mozolekks · 19 Październik 2010 11:28

Ok skanuję MBAM’em.

Mogłabyś powiedzieć które “linijki” w logu OTL’a odpowiadały temu keyloggerowi? Miał jakąś konkretną nazwę?

jessica · 19 Październik 2010 12:03

Elite Keylogger.

A może sam go sobie zainstalowałeś?

jessi

Mozolekks · 19 Październik 2010 12:10

No właśnie nie.

I teraz próbuję sobie przypomnieć co takiego podejrzanego instalowałem… I którego dnia, bo wypadałoby hasła pozmieniać na stronach z których prawdopodobnie mogły zostać wykradzione moje hasła… ;c

jessica · 19 Październik 2010 12:41

2010-10-13 23:41:15

jessi