Witam. Mam problem otoz dzisiaj gralem sobie spokojnie w Age of Empires 3 i nagle wyskoczylo mi takie okienko konsolowe microsoft telnet i pisalo ze laczenie z jakism tam IP prawdopodobnie bylo to moje IP zamykalem to ale ciagle sie wlaczalo wreszcie niby wylaczylem wszedlem do gry a tam na chat tak jakbym ja pisal : admin 1234 jakies polecenia typu quit itd. chyba zadno z nich nie wyszlo bo ja tez zaczalem spamowac wiec przy tym co on pisal (jesli to bylo wlamanie) pojawialy sie moje literki. Potem wyszeldme z gry a tu znowu to okienko tylko pisze ze polaczenie z danym IP sie nie powiodlo i moje haslo to nie 1234 tak jak pisalo w grze , zamknalem to zrobilem reconnecta sprawdzilem noda czy nic nie ma i sciagnalem wlasnie Spy Bot ktory jak na razie nic nie wykrywa. Czy to moglo byc wlamanie ? Moze te admin itd. mialy byc napisane gdzie indziej ale ze gra byla wlaczona to wpisaly sie tam ? No nie wiem nie mam pojecia co to bylo i licze na wasza pomoc. Z gory dziex
Daj loga z OTL.
http://www.wklejto.pl/41145
To jest log OTL.
Tyle że ucięty i jest to log Extras.txt.
Prosze :
http://wklejto.pl/41146
Wklejasz poniższy tekst w okienko OTL i dajesz Run Fix. po restarcie daj nowego loga z OTL.
:Processes
explorer.exe
:OTL
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O33 - MountPoints2\{22211328-866d-11de-be56-001a4d7fb517}\Shell - "" = AutoRun
O33 - MountPoints2\{22211328-866d-11de-be56-001a4d7fb517}\Shell\AutoRun\command - "" = H:\autorun.exe -- [2006-08-26 01:24:33 | 01,003,520 | R--- | M] (Microsoft Corporation)
O33 - MountPoints2\{22211328-866d-11de-be56-001a4d7fb517}\Shell\setup\command - "" = H:\setup.exe -- [2006-11-20 14:12:53 | 00,294,912 | R--- | M] ()
O33 - MountPoints2\{6626c4dc-8111-11de-b163-806d6172696f}\Shell - "" = AutoRun
:Files
C:\WINDOWS\inout1.dll
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
:Commands
[emptytemp]
[start explorer]
[Reboot]
C:\WINDOWS\_detmp.1
to to ale chyba cos sie zepsulo an koncu bo program sie zawiesil i msuaem czylwaczyc przez menagera zadana ale w kompie sie pozmeinialo wiec chyba zadzialalo
tak, usunął infekcję
wykonaj pełne skanowanie tym: http://www.programosy.pl/program,malwar … lware.html usuń wszystko co wykryje i daj logi po usuwaniu z Malware
uruchomilem skanowanie i pod koniec zowu zaczal wyskakiwac ten telnet i wygladalo to tak:
Pisalo tez ze zarazony byl jakis tam plik admin a tutaj jest log :
Malwarebytes' Anti-Malware 1.40
Wersja bazy definicji: 2682
Windows 5.1.2600 Dodatek Service Pack 2
2009-08-23 17:14:35
mbam-log-2009-08-23 (17-14-35).txt
Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|)
Przeskanowane obiekty: 135317
Upłynęło: 12 minute(s), 3 second(s)
Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 0
Zainfekowane pliki rejestru: 2
Zainfekowane foldery: 0
Zainfekowane pliki: 1
Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)
Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)
Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)
Zainfekowane wartości rejestru:
(Nie wykryto groźnych plików)
Zainfekowane pliki rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) - Bad: (1) Good: (0) - Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) - Bad: (1) Good: (0) - Quarantined and deleted successfully.
Zainfekowane foldery:admin
1234
sys reboot
exit
quit
(Nie wykryto groźnych plików)
Zainfekowane pliki:
C:\WINDOWS\system32\syssetub.dll (Trojan.Agent) - Quarantined and deleted successfully.
– Dodane 23.08.2009 (N) 17:25 –
quit
i dalej sie wlacza open 192.168.2.1
1234
i sys reboot
i widac exit
co w ypisquit
uje nie moge napisac nawet normalnie
Daj loga z Combofixa.
Czysto.
Pobierz: http://oldtimer.geekstogo.com/OTC.exe uruchom i klik na CleanUp!, komputer się zrestartuje, oczyści niepotrzebne pliki po OTL, Combofixie.
jak zachowuje się komputer?