Mozolekks
(Mozolekks)
18 Październik 2010 16:18
#1
Cześć.
Krótka piłka. Ostatnio zaczęły pojawiać się coraz częściej blue screeny, internet zaczął mulić oraz w autostarcie znalazłem svchost… Czyli wiadomo, syf! Tłumaczenie dla laika mile widziane
HiJackThis: http://wklej.org/hash/aa03072d220/
OTL: http://wklej.org/hash/23412346da5/
OTL Extras: http://wklej.org/hash/a36e62346c7/
jessica
(jessica)
19 Październik 2010 07:26
#2
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL [2010-07-04 20:01:19 | 000,000,000 | —D | M] (Zynga Toolbar) – C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\Profiles\gn5t456k.default\extensions{7b13ec3e-999a-4b70-b9cb-2617b8323822} O2:64bit: - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\hssie\HssIE_64.dll (AnchorFree Inc.) O2 - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\hssie\HssIE.dll (AnchorFree Inc.) O4 - HKLM…\Run: [svchost] C:\Users\Mateusz\AppData\Roaming\Microsoft\svchost.exe () O4 - HKU\S-1-5-21-3048241399-3072757814-650109448-1000…\Run: [Adobe cleanup] File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found F3:64bit: - HKU\S-1-5-21-3048241399-3072757814-650109448-1000 WinNT: Load - (C:\Users\Mateusz\AppData\Local\Temp\dwm.exe) - C:\Users\Mateusz\AppData\Local\Temp\dwm.exe () F3 - HKU\S-1-5-21-3048241399-3072757814-650109448-1000 WinNT: Load - (C:\Users\Mateusz\AppData\Local\Temp\dwm.exe) - C:\Users\Mateusz\AppData\Local\Temp\dwm.exe () O20 - HKU\S-1-5-21-3048241399-3072757814-650109448-1000 Winlogon: Shell - (C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\shell.exe) - C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\shell.exe () O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. MsConfig:64bit - StartUpReg: Surfbar - hkey= - key= - C:\Program Files (x86)\Surfbar\Surfbar.exe File not found MsConfig:64bit - StartUpReg: SYSTEM - hkey= - key= - C:\Windows\system\lcass.exe () MsConfig:64bit - StartUpReg: Vidalia - hkey= - key= - C:\Program Files (x86)\Vidalia Bundle\Vidalia\vidalia.exe File not found MsConfig:64bit - StartUpReg: {A578008C-D130-B08E-D74A-76C29C9D2C1E} - hkey= - key= - C:\Users\Mateusz\AppData\Roaming\Atto\gonui.exe File not found MsConfig:64bit - State: “startup” - Reg Error: Key error. [2010-09-14 21:17:28 | 000,000,786 | ---- | M] () – C:\0000.cfg [2010-08-19 15:18:25 | 000,438,784 | ---- | M] ( ) – C:\0000.exe :Files C:\Program Files (x86)\Hotspot Shield C:\Users\Mateusz\AppData\Local\Temp*.html :Reg [HKEY_USERS\S-1-5-21-3048241399-3072757814-650109448-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Mozolekks
(Mozolekks)
19 Październik 2010 10:31
#3
jessica
(jessica)
19 Październik 2010 11:00
#4
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL MsConfig:64bit - StartUpReg: Surfbar - hkey= - key= - C:\Program Files (x86)\Surfbar\Surfbar.exe File not found MsConfig:64bit - StartUpReg: SYSTEM - hkey= - key= - C:\Windows\system\lcass.exe () MsConfig:64bit - StartUpReg: uTorrent - hkey= - key= - C:\Program Files (x86)\uTorrent\uTorrent.exe (BitTorrent, Inc.) MsConfig:64bit - StartUpReg: Vidalia - hkey= - key= - C:\Program Files (x86)\Vidalia Bundle\Vidalia\vidalia.exe File not found MsConfig:64bit - StartUpReg: {A578008C-D130-B08E-D74A-76C29C9D2C1E} - hkey= - key= - C:\Users\Mateusz\AppData\Roaming\Atto\gonui.exe File not found [2010-10-13 23:41:15 | 000,040,448 | ---- | C] () – C:\Windows\SysWow64\mcafeemn.dll [2010-10-13 23:41:15 | 000,012,288 | ---- | C] () – C:\Windows\SysWow64\windump.exe SRV:64bit: - File not found [Auto | Running] – C:\Windows\SysNative\windump.exe – (windump) MOD - [2010-10-13 23:41:15 | 000,040,448 | ---- | M] () – C:\Windows\SysWOW64\mcafeemn.dll SRV - [2010-10-13 23:41:15 | 000,012,288 | ---- | M] () [Auto | Running] – C:\Windows\SysWOW64\windump.exe – (windump) :Files C:\Windows\system\lcass.exe :Commands [emptytemp] [Reboot]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Mozolekks
(Mozolekks)
19 Październik 2010 11:16
#5
jessica
(jessica)
19 Październik 2010 11:24
#6
W nowym logu nie ma już nic do usuwania - (poza kluczami, których najwyraźniej OTL nie potrafi usunąć).
Ponieważ były usuwane pliki Keyloggera, to prawdopodobnie jest ich więcej.
Na wszelki wypadek użyj MBAM -> http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html .
Co wykryje - niech usunie.
jessi
Mozolekks
(Mozolekks)
19 Październik 2010 11:28
#7
Ok skanuję MBAM’em.
Mogłabyś powiedzieć które “linijki” w logu OTL’a odpowiadały temu keyloggerowi? Miał jakąś konkretną nazwę?
jessica
(jessica)
19 Październik 2010 12:03
#8
Elite Keylogger.
A może sam go sobie zainstalowałeś?
jessi
Mozolekks
(Mozolekks)
19 Październik 2010 12:10
#9
No właśnie nie.
I teraz próbuję sobie przypomnieć co takiego podejrzanego instalowałem… I którego dnia, bo wypadałoby hasła pozmieniać na stronach z których prawdopodobnie mogły zostać wykradzione moje hasła… ;c