Microsoft telnet ! Wlamanie an kompa chyba

hiszpaan · 23 Sierpień 2009 13:40

Witam. Mam problem otoz dzisiaj gralem sobie spokojnie w Age of Empires 3 i nagle wyskoczylo mi takie okienko konsolowe microsoft telnet i pisalo ze laczenie z jakism tam IP prawdopodobnie bylo to moje IP zamykalem to ale ciagle sie wlaczalo wreszcie niby wylaczylem wszedlem do gry a tam na chat tak jakbym ja pisal : admin 1234 jakies polecenia typu quit itd. chyba zadno z nich nie wyszlo bo ja tez zaczalem spamowac wiec przy tym co on pisal (jesli to bylo wlamanie) pojawialy sie moje literki. Potem wyszeldme z gry a tu znowu to okienko tylko pisze ze polaczenie z danym IP sie nie powiodlo i moje haslo to nie 1234 tak jak pisalo w grze , zamknalem to zrobilem reconnecta sprawdzilem noda czy nic nie ma i sciagnalem wlasnie Spy Bot ktory jak na razie nic nie wykrywa. Czy to moglo byc wlamanie ? Moze te admin itd. mialy byc napisane gdzie indziej ale ze gra byla wlaczona to wpisaly sie tam ? No nie wiem nie mam pojecia co to bylo i licze na wasza pomoc. Z gory dziex

Umpfh · 23 Sierpień 2009 13:47

Daj loga z OTL.

hiszpaan · 23 Sierpień 2009 14:12

http://www.wklejto.pl/41145

Umpfh · 23 Sierpień 2009 14:14

prosiłam o loga z OTL

instrukcja: http://www.forumpc.pl/index.php?showtopic=104338

deFco247 · 23 Sierpień 2009 14:15

To jest log OTL.

Tyle że ucięty i jest to log Extras.txt.

hiszpaan · 23 Sierpień 2009 14:17

Prosze :

http://wklejto.pl/41146

Umpfh · 23 Sierpień 2009 14:24

Wklejasz poniższy tekst w okienko OTL i dajesz Run Fix. po restarcie daj nowego loga z OTL.

:Processes

explorer.exe


:OTL

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.

O4 - HKLM..\Run: [KernelFaultCheck] File not found

O33 - MountPoints2\{22211328-866d-11de-be56-001a4d7fb517}\Shell - "" = AutoRun

O33 - MountPoints2\{22211328-866d-11de-be56-001a4d7fb517}\Shell\AutoRun\command - "" = H:\autorun.exe -- [2006-08-26 01:24:33 | 01,003,520 | R--- | M] (Microsoft Corporation)

O33 - MountPoints2\{22211328-866d-11de-be56-001a4d7fb517}\Shell\setup\command - "" = H:\setup.exe -- [2006-11-20 14:12:53 | 00,294,912 | R--- | M] ()

O33 - MountPoints2\{6626c4dc-8111-11de-b163-806d6172696f}\Shell - "" = AutoRun


:Files

C:\WINDOWS\inout1.dll


:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\

mountpoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\

Advanced]

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\

Advanced]

"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\

Advanced]

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""


:Commands

[emptytemp]

[start explorer]

[Reboot]

C:\WINDOWS\_detmp.1

hiszpaan · 23 Sierpień 2009 14:42

http://wklejto.pl/41149

to to ale chyba cos sie zepsulo an koncu bo program sie zawiesil i msuaem czylwaczyc przez menagera zadana ale w kompie sie pozmeinialo wiec chyba zadzialalo

Umpfh · 23 Sierpień 2009 14:52

tak, usunął infekcję

wykonaj pełne skanowanie tym: http://www.programosy.pl/program,malwar … lware.html usuń wszystko co wykryje i daj logi po usuwaniu z Malware

hiszpaan · 23 Sierpień 2009 15:22

uruchomilem skanowanie i pod koniec zowu zaczal wyskakiwac ten telnet i wygladalo to tak:

Pisalo tez ze zarazony byl jakis tam plik admin a tutaj jest log :

Malwarebytes' Anti-Malware 1.40

Wersja bazy definicji: 2682

Windows 5.1.2600 Dodatek Service Pack 2


2009-08-23 17:14:35

mbam-log-2009-08-23 (17-14-35).txt


Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|)

Przeskanowane obiekty: 135317

Upłynęło: 12 minute(s), 3 second(s)


Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 2

Zainfekowane foldery: 0

Zainfekowane pliki: 1


Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)


Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)


Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)


Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)


Zainfekowane pliki rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) - Bad: (1) Good: (0) - Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) - Bad: (1) Good: (0) - Quarantined and deleted successfully.


Zainfekowane foldery:admin

1234

sys reboot


exit

 quit


(Nie wykryto groźnych plików)


Zainfekowane pliki:

C:\WINDOWS\system32\syssetub.dll (Trojan.Agent) - Quarantined and deleted successfully.

– Dodane 23.08.2009 (N) 17:25 –

quit

i dalej sie wlacza open 192.168.2.1

1234

i sys reboot

i widac exit

co w ypisquit

uje nie moge napisac nawet normalnie

Umpfh · 23 Sierpień 2009 15:30

Daj loga z Combofixa.

hiszpaan · 23 Sierpień 2009 16:10

http://wklejto.pl/41151

Umpfh · 23 Sierpień 2009 16:42

Czysto.

Pobierz: http://oldtimer.geekstogo.com/OTC.exe uruchom i klik na CleanUp!, komputer się zrestartuje, oczyści niepotrzebne pliki po OTL, Combofixie.

jak zachowuje się komputer?