miras1309
(Mirek Makulik)
28 Październik 2010 14:13
#1
Witam!
Jak wyżej wymieniłem muli wszystko na komputerze od internetu do gier.
Przy starcie systemu wyskakuje kilka okien wierszu polecenia w którym automatycznie wpisywane są komendy.
Proszę o pomoc
LOGI:
OTL.txt
http://wklej.to/43Vu
Extras.txt
https://wklej.to/A0gc
Z góry dzięki za pomoc
No pięknie na początek to
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - [2010-10-26 22:30:18 | 000,253,952 | ---- | M] (CJSC Computing Forces) – C:\Users\Admin\AppData\Local\Temp\Mmd.exe PRC - [2010-10-26 22:30:05 | 000,270,336 | ---- | M] (CJSC Computing Forces) – C:\Windows\Mgulea.exe PRC - [2010-10-26 21:26:19 | 000,574,184 | -H-- | M] (Microsoft Corporation) – C:\Users\Admin\AppData\Roaming\winlogoner.exe PRC - [2010-10-25 15:36:38 | 000,017,920 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\phisrvs.exe PRC - [2010-10-22 21:34:35 | 000,010,240 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\tkxservs.exe PRC - [2010-10-19 22:28:42 | 000,352,256 | -H-- | M] (Mozilla Corporation) – C:\Users\Admin\AppData\Roaming\ohhai.exe PRC - [2010-10-16 17:12:11 | 000,100,352 | -H-- | M] () – C:\Users\Admin\AppData\Roaming\bot.exe PRC - [2005-09-03 16:58:56 | 000,425,984 | RHS- | M] ( ) – C:\Users\Admin\AppData\Roaming\WinDiR\server.exe O4 - HKLM…\Run: [audio.driver] C:\Users\Admin\AppData\Roaming\ohhai.exe (Mozilla Corporation) O4 - HKLM…\Run: [■■■■] C:\Users\Admin\AppData\Roaming\winlogoner.exe (Microsoft Corporation) O4 - HKLM…\Run: [HKCU] C:\Users\Admin\AppData\Roaming\insansa.exe (Microsoft Corporation) O4 - HKLM…\Run: [HKLM] C:\Users\Admin\AppData\Roaming\WinDiR\server.exe ( ) O4 - HKLM…\Run: [microsoft updates] C:\Users\Admin\AppData\Roaming\svchosts.exe (Microsoft Corporation) O4 - HKLM…\Run: [MSWUpdate] C:\Users\Admin\AppData\Roaming\lsass.exe (Microsoft Corporation) O4 - HKLM…\Run: [phiservices] C:\Users\Admin\AppData\Local\Temp\phisrvs.exe () O4 - HKLM…\Run: [updater.exe] C:\Users\Admin\AppData\Roaming\bot.exe () O4 - HKCU…\Run: [] File not found O4 - HKCU…\Run: [1Class1] C:\Users\Admin\AppData\Roaming\47277.exe () O4 - HKCU…\Run: [audio.driver] C:\Users\Admin\AppData\Roaming\ohhai.exe (Mozilla Corporation) O4 - HKCU…\Run: [■■■■] C:\Users\Admin\AppData\Roaming\winlogoner.exe (Microsoft Corporation) O4 - HKCU…\Run: [HKCU] C:\Users\Admin\AppData\Roaming\WinDiR\server.exe ( ) O4 - HKCU…\Run: [microsoft updates] C:\Users\Admin\AppData\Roaming\svchosts.exe (Microsoft Corporation) O4 - HKCU…\Run: [phiservices] C:\Users\Admin\AppData\Local\Temp\phisrvs.exe () O4 - HKCU…\Run: [tkxservs] C:\Users\Admin\AppData\Local\Temp\tkxservs.exe () O4 - HKCU…\Run: [u36VRSFLG6] C:\Users\Admin\AppData\Local\Temp\Mmd.exe (CJSC Computing Forces) O4 - HKCU…\Run: [updater.exe] C:\Users\Admin\AppData\Roaming\bot.exe () O4 - HKCU…\Run: [Windows Defender] C:\Users\Admin\AppData\Roaming\WinDefender.exe (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Users\Admin\AppData\Roaming\WinDiR\server.exe ( ) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: audio.driver = C:\Users\Admin\AppData\Roaming\ohhai.exe (Mozilla Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: microsoft updates = C:\Users\Admin\AppData\Roaming\svchosts.exe (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Windows Defender = C:\Users\Admin\AppData\Roaming\WinDefender.exe (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: HKCU = C:\Users\Admin\AppData\Roaming\insansa.exe (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: dllhost.exe = C:\Users\Admin\AppData\Roaming\dllhost.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: ■■■■ = C:\Users\Admin\AppData\Roaming\winlogoner.exe (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: updater.exe = C:\Users\Admin\AppData\Roaming\bot.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Users\Admin\AppData\Roaming\WinDiR\server.exe ( ) O20 - HKLM Winlogon: Shell - (“C:\Users\Admin\AppData\Roaming\lsass.exe”) - C:\Users\Admin\AppData\Roaming\lsass.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\sdra64.exe) - C:\Windows\SysWOW64\sdra64.exe (Microsoft Windows) :Files C:\Windows\Mgulea.exe C:\Windows\SysWow64\sshnas21.dll C:\Users\Admin\AppData\Roaming\winlogoner.exe C:\Users\Admin\AppData\Roaming\insansa.exe C:\Users\Admin\AppData\Roaming\svchost.exe C:\Users\Admin\AppData\Roaming\47277.exe C:\Users\Admin\AppData\Roaming\15970.exe C:\Users\Admin\AppData\Roaming\51564.exe C:\Users\Admin\AppData\Roaming\TJ.exe C:\Users\Admin\AppData\Roaming\94586.exe C:\Users\Admin\AppData\Roaming\ohhai.exe C:\Users\Admin\AppData\Roaming\bots.exe C:\Users\Admin\AppData\Roaming\bot.exe C:\Windows\Tasks{22116563-108C-42c0-A7CE-60161B75E508}.job C:\Windows\Tasks{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job C:\Users\Admin\AppData\Roaming\Winlog\Winlogon.exe :Commands [emptytemp] [clearallrestorepoints]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
deFco247
(deFco247)
28 Październik 2010 16:02
#3
Należy jednak zwrócić uwagę, że jest tutaj infekcja typu keylogger (nawet i kilka plus backdoor), więc jeśli infekcję uda się usunąć, to konieczna będzie wymiana wszystkich haseł.
Tak na marginesie jeszcze nigdy nie widziałem tak zasyfionego 64-bitowego systemu. Coś Ty na nim porobił najlepszego? :shock: