Bloow
11 Styczeń 2013 20:36
#1
Witajcie,
Przed chwilą przy włączaniu kompa zamiast pulpitu pojawiło się, że mój komputer został zablokowany, że mam zapłacić jakąś kasę to odblokują wtedy. W trybie awaryjnym wyłączyłem proces runctf.lnk, który za to odpowiadał. Czy moglibyście sprawdzić moje logi i pomóc mi wywalić to coś?
OTL:
http://wklejto.pl/145271
Extras:
http://www.wklejto.pl/145273
Atis
11 Styczeń 2013 20:52
#2
Czy celowo zainstalowałeś KGB Keylogger i Real Spy Monitor?
Odinstaluj:
Ask Toolbar
Internet Explorer Toolbar 4.6 by SweetPacks
Update Manager for SweetPacks 1.1
AVG Security Toolbar
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [Auto | Stopped] – C:\ComboFix\pev.3XE EXEC /i C:\ComboFix\REGT.3XE /S C:\ComboFix\CregB.dat – (PEVSystemStart) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ZTEusbser6k.sys – (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ZTEusbnmea.sys – (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ZTEusbmdm6k.sys – (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\massfilter_hs.sys – (massfilter_hs) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\massfilter.sys – (massfilter) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\Mateusz\USTAWI~1\Temp\catchme.sys – (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=18&barid={96EC1D92-6111-43D3-8314-043C86DEF19C} IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=18&q={searchTerms}&barid={96EC1D92-6111-43D3-8314-043C86DEF19C} :Files C:\Documents and Settings\Mateusz\wgsdgsdgdsgsd.exe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\dsgsdgdsgdsgw.js C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\runctf.lnk :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] “ServiceDll”=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" :Commands [resethosts] [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Bloow
11 Styczeń 2013 20:59
#3
Program służy mi do monitorowania co jest wpisywane na klawiaturze. Tak więc sam je instalowałem.
Raport z usuwania:
http://www.wklejto.pl/145278
Nowy log:
OTL:
http://www.wklejto.pl/145280
Extras:
brak. nie pokazało tego w notatniku nawet.
Atis
11 Styczeń 2013 21:03
#4
Wklej i kliknij wykonaj skrypt:
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
Bloow
11 Styczeń 2013 21:54
#5
Przeskanowano obiektów: 337202
Wykryto obiektów: 3434
yhm… Sporo.
Atis
12 Styczeń 2013 10:27
#6
Pokaż raport Malwarebytes z tego skanowania. Raport znajdziesz w zakładce Logi.
To mogą być pliki związane z wirusem Brontok, bo w pierwszym logu zmodyfikowany Hosts wskazuje, że kiedyś miałeś tego wirusa.
Brontok tworzy dużo szkodliwych plików o nazwach takich jak nazwy folderów.
