Wykryłem na komputerze oprogramowanie spyware MoRso0n

alapagosbleki1 · 3 Grudzień 2012 18:57

Witam.

Wykryłem na komputerze nowy proces “MoRs0on” ,który całkowicie obciąża procesor i bardzo utrudnia korzystanie z internetu.

Procesu nie da się wyłączyć z menadżera zadań. Proszę o pomoc

OTL:

http://www.wklejto.pl/140593

EXTRAS:

http://www.wklejto.pl/140594

Atis · 3 Grudzień 2012 19:04

Do okna Własne opcje skanowania / skrypt wklej:

:OTL O4 - HKLM…\Run: [driversvc] C:\Documents and Settings\Dom\Dane aplikacji\driversvc.exe ( ) O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM…\Run: [MoRsOoN] C:\Documents and Settings\Dom\Dane aplikacji\MoRsOoN.exe ( ) O4 - HKU\S-1-5-21-1614895754-1177238915-1644491937-1003…\Run: [driversvc] C:\Documents and Settings\Dom\Dane aplikacji\driversvc.exe ( ) O4 - HKU\S-1-5-21-1614895754-1177238915-1644491937-1003…\Run: [MoRsOoN] C:\Documents and Settings\Dom\Dane aplikacji\MoRsOoN.exe ( ) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: MoRsOoN = C:\Documents and Settings\Dom\Dane aplikacji\MoRsOoN.exe ( ) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: driversvc = C:\Documents and Settings\Dom\Dane aplikacji\driversvc.exe ( ) [2012-09-04 14:02:44 | 001,712,128 | -H-- | C] ( ) – C:\WINDOWS\MoRsOoN.exe [2012-08-01 08:35:58 | 000,000,000 | —D | M] – C:\Documents and Settings\Dom\Dane aplikacji\OpenCandy [2002-01-01 23:19:24 | 000,055,765 | ---- | C] () – C:\Documents and Settings\Dom\Dane aplikacji\morsonnio :Files C:\Documents and Settings\Dom\Dane aplikacji*.exe C:\Documents and Settings\Dom\Moje dokumenty\Downloads\driversvc.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Documents and Settings\Dom\Dane aplikacji\MoRsOoN.exe”=- “C:\Documents and Settings\Dom\Dane aplikacji\driversvc.exe”=- “C:\Documents and Settings\Dom\Moje dokumenty\Downloads\driversvc.exe”=- :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

alapagosbleki1 · 3 Grudzień 2012 19:45

Jest już trochę lepiej, wspomnę jeszcze ,że przy restarcie komputer się zawiesił podczas ładowania (na tym latającym od lewej do prawej pasku)

Raport z usuwania:

http://www.wklejto.pl/140601

nowy log OTL:

http://www.wklejto.pl/140608

nowe EXTRAS:

http://www.wklejto.pl/140609

Atis · 3 Grudzień 2012 20:04

Do okna Własne opcje skanowania / skrypt wklej:

:OTL O4 - HKLM…\Run: [MoRsOoN] C:\Documents and Settings\Dom\Dane aplikacji\MoRsOoN.exe File not found O4 - HKU\S-1-5-21-1614895754-1177238915-1644491937-1003…\Run: [MoRsOoN] C:\Documents and Settings\Dom\Dane aplikacji\MoRsOoN.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: MoRsOoN = C:\Documents and Settings\Dom\Dane aplikacji\MoRsOoN.exe :Files C:\Documents and Settings\Dom\Dane aplikacji\morsonnio C:\Documents and Settings\Dom\Dane aplikacji*.exe C:\Documents and Settings\Dom\Moje dokumenty\Downloads\driversvc.exe :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Documents and Settings\Dom\Dane aplikacji\MoRsOoN.exe”=- “C:\Documents and Settings\Dom\Dane aplikacji\driversvc.exe”=- “C:\Documents and Settings\Dom\Moje dokumenty\Downloads\driversvc.exe”=- :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

alapagosbleki1 · 3 Grudzień 2012 20:24

raport z usuwania:

http://www.wklejto.pl/140615

nowy log OTL:

http://www.wklejto.pl/140621

nowy log EXTRAS:

http://www.wklejto.pl/140622

Atis · 3 Grudzień 2012 20:35

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/08/27/2012-08-27_234556.png

alapagosbleki1 · 3 Grudzień 2012 21:03

Jestem w trakcie wykonywania powyższych zajęć , ale z internetem ciągle coś jest nie tak.

Dręczy mnie jedno pytanie… czy zaznaczając w OTL-u pliki młodsze niż 30 dni , logi pokażą wszystkie z tych najbardziej szkodliwych aplikacji.

Pytam się , ponieważ jestem pewien ,że największe problemy pojawiły się więcej niż 3 miesiące temu tylko nikomu się nie chciało nic z tym zrobić(bo po co jak są w domu jeszcze 2 kompy:D). No więc , czy jest możliwe ,że jeśli ustawię otl-a na dłuższy okres czasu to znajdzie jeszcze jakieś dziadostwo?

Podklejam raport z Security Check:

Oraz wyniki szybkiego skanowania Malwarebytes’a:

http://wklejto.pl/140635

i jeszcze z OTL ze 180 dni a wcale nie długi,nie wiem czy potrzebny, ale strzyżonego pan Bóg strzyże:

OTL:http://www.wklejto.pl/140641, EXTRAS:http://www.wklejto.pl/140643