Sprawdzenie logow OTL

Wersja do druku

17-03-2013, 23:58
maselkolubie

Sprawdzenie logow OTL

Zlapalem jakiegos wiruska chytruska, ktory resetuje kompa podczas sciagania plikow przegladarką. Prosze o sprawdzenie logow.

Log
http://wklej.org/id/985082/

Extras
http://wklej.org/id/985083/

Sprawdze po 15, bo spiesze sie na uczelnie ;d - Vadim
18-03-2013, 10:01
dadag90

Ja mam zajęcia od 15 - 21 :-)

w białe okno w OTL wklej

Kod:

:OTL PRC - [2013-03-06 14:57:02 | 003,415,064 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\[email protected] PRC - [2013-01-19 13:23:33 | 001,383,092 | ---- | M] () -- C:\Documents and Settings\bidzj\Dane aplikacji\nservice32.exe PRC - [2008-07-20 12:51:20 | 000,042,667 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\winlogon.exe PRC - [2008-07-20 12:51:20 | 000,042,667 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\services.exe PRC - [2008-07-20 12:51:20 | 000,042,667 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\lsass.exe MOD - [2013-03-06 14:57:02 | 003,415,064 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\[email protected] MOD - [2013-02-25 17:31:55 | 002,305,600 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\bigup2.dll MOD - [2013-02-15 21:30:09 | 000,242,920 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\lightupdate.dll MOD - [2013-02-15 21:30:09 | 000,115,712 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\zlib1.dll MOD - [2013-02-15 21:30:09 | 000,062,464 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\pxd.dll MOD - [2013-01-21 08:19:02 | 022,220,288 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\Chrome\1.1180.832\libcef.dll MOD - [2013-01-21 08:19:02 | 000,628,224 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\Chrome\1.1180.832\libGLESv2.dll MOD - [2013-01-21 08:19:02 | 000,110,592 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\Chrome\1.1180.832\libEGL.dll MOD - [2013-01-19 13:23:33 | 001,383,092 | ---- | M] () -- C:\Documents and Settings\bidzj\Dane aplikacji\nservice32.exe MOD - [2013-01-17 10:35:19 | 014,586,888 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\Chrome\1.1180.832\npswf32.dll MOD - [2013-03-17 23:51:25 | 000,116,736 | RHS- | M] () -- C:\WINDOWS\system32\mgking0.dll MOD - [2008-07-20 12:51:20 | 000,042,667 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\winlogon.exe MOD - [2008-07-20 12:51:20 | 000,042,667 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\services.exe MOD - [2008-07-20 12:51:20 | 000,042,667 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\lsass.exe O2 - BHO: (IE MANAGER) - {DE274C2C-2133-4B4B-93B3-8F21486DABC0} - C:\Documents and Settings\bidzj\Dane aplikacji\IE\bho.dll () O4 - HKLM..\Run: [Bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe () O4 - HKCU..\Run: [GameCenterMailRu] "C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\[email protected]" -autostart File not found O4 - HKCU..\Run: [king_mg] C:\WINDOWS\System32\mgking.exe () O4 - HKCU..\Run: [nservice32] C:\Documents and Settings\bidzj\Dane aplikacji\nservice32.exe () O4 - HKCU..\Run: [Tok-Cirrhatus] C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\smss.exe () O4 - Startup: C:\Documents and Settings\bidzj\Menu Start\Programy\Autostart\Empty.pif () O32 - AutoRun File - [2013-03-17 23:51:25 | 000,000,007 | -HS- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2013-03-17 23:55:11 | 000,000,051 | RHS- | M] () - C:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2013-03-17 23:55:11 | 000,000,051 | RHS- | M] () - D:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2013-03-17 23:55:11 | 000,000,051 | RHS- | M] () - E:\autorun.inf -- [ NTFS ] O33 - MountPoints2\{19ed8116-722e-11e2-bec1-001d7db76149}\Shell\AutoRun\command - "" = H:\w9.exe O33 - MountPoints2\{19ed8116-722e-11e2-bec1-001d7db76149}\Shell\open\Command - "" = H:\w9.exe O33 - MountPoints2\{a3de999a-82a1-11e2-bef4-001d7db76149}\Shell\AutoRun\command - "" = H:\w9.exe O33 - MountPoints2\{a3de999a-82a1-11e2-bef4-001d7db76149}\Shell\open\Command - "" = H:\w9.exe [2013-03-17 07:37:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok [2013-03-17 07:36:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok [2013-03-17 07:31:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-17 [2013-03-17 23:56:01 | 000,000,051 | RHS- | M] () -- C:\autorun.inf [2013-03-17 23:51:49 | 000,012,393 | ---- | M] () -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin [2013-03-17 23:51:25 | 000,116,736 | RHS- | M] () -- C:\WINDOWS\System32\mgking0.dll [2012-12-29 14:52:18 | 000,181,760 | RHS- | C] () -- C:\WINDOWS\System32\mgking.exe [2012-12-29 14:52:18 | 000,116,736 | RHS- | C] () -- C:\WINDOWS\System32\mgking0.dll :Files C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Bron.* C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\*.exe :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [resethosts] [emptytemp]

i naciśnij Wykonaj Skrypt. Podaj log z usuwania ( pojawi się po restarcie ) i nowy z OTL z opcji skanuj.
18-03-2013, 10:28
maselkolubie

Po wykonaniu skryptu, resetuje sie komputer, lecz nie pokazuje mi sie zaden log z usuwania. W autostarcie nadal siedzi mi cos o nazwie 'empty'.
Podaje log z opcji skanuj. http://wklej.org/id/985226/
18-03-2013, 10:54
dadag90

Pobierz aplikację The Avenger i zapisz ją na pulpicie.
Rozpakuj avenger.exe na pulpit.
Kliknij dwukrotnie na ikonę, aby uruchomić program (użytkownicy systemów Vista oraz Se7en => prawoklik oraz wybrać opcję Uruchom jako Administrator).
Wyskoczy informacja, kliknij OK.
W okienku na środku Input script here wklej to, co poniżej w ramce:

Kod:

Files to delete: C:\Documents and Settings\bidzj\Dane aplikacji\nservice32.exe C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\[email protected] C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\winlogon.exe C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\services.exe C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\lsass.exe C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\winlogon.exe C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\smss.exe C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\services.exe C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\lsass.exe C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\inetinfo.exe C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\csrss.exe C:\WINDOWS\ShellNew\sempalong.exe C:\Documents and Settings\bidzj\Dane aplikacji\nservice32.exe C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\[email protected] C:\WINDOWS\system32\mgking.exe C:\WINDOWS\System32\mgking0.dll C:\Documents and Settings\bidzj\Dane aplikacji\nservice32.exe C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\smss.exe C:\Documents and Settings\bidzj\Menu Start\Programy\Autostart\Empty.pif C:\WINDOWS\eksplorasi.exe C:\autorun.inf D:\autorun.inf E:\autorun.inf H:\w9.exe C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\FLT C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-18 C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-17 C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin

Upewnij się, że wszystkie pozostałe okna są zamknięte - inaczej Avenger je zamknie.
Kliknij Execute.
Pojawi sie pytanie, kliknij Tak.
Avenger poprosi o zgode na restart, kliknij Tak.
Podaj log z OTL.
18-03-2013, 11:44
maselkolubie

Nie moge pobrac nic z internetu, wiec jest problem ;s

Dobra przeslalem sobie tabletem pliczek, zabieram sie za robote.

log z avengera
http://wklej.org/id/985291/
log z otl
http://wklej.org/id/985293/

podejrzany plik z autostartu zniknal
18-03-2013, 13:56
dadag90

Wklej to w białe pole w OTL i naciśnij Wykonaj skrytp

Kod:

:OTL O2 - BHO: (IE MANAGER) - {DE274C2C-2133-4B4B-93B3-8F21486DABC0} - C:\Documents and Settings\bidzj\Dane aplikacji\IE\bho.dll () O4 - HKLM..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\sempalong.exe" File not found O4 - HKCU..\Run: [GameCenterMailRu] "C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Mail.Ru\GameCenter\[email protected]" -autostart File not found O4 - HKCU..\Run: [king_mg] C:\WINDOWS\system32\mgking.exe File not found O4 - HKCU..\Run: [nservice32] C:\Documents and Settings\bidzj\Dane aplikacji\nservice32.exe File not found O4 - HKCU..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\smss.exe" File not found O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\eksplorasi.exe") - File not found O33 - MountPoints2\{19ed8116-722e-11e2-bec1-001d7db76149}\Shell\AutoRun\command - "" = H:\w9.exe O33 - MountPoints2\{19ed8116-722e-11e2-bec1-001d7db76149}\Shell\open\Command - "" = H:\w9.exe O33 - MountPoints2\{a3de999a-82a1-11e2-bef4-001d7db76149}\Shell\AutoRun\command - "" = H:\w9.exe O33 - MountPoints2\{a3de999a-82a1-11e2-bef4-001d7db76149}\Shell\open\Command - "" = H:\w9.exe [2013-03-18 00:33:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\FLT [2013-03-18 00:00:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-18 [2013-03-17 07:37:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok [2013-03-17 07:36:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok [2013-03-17 07:31:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-17 :Files C:\Documents and Settings\bidzj\Ustawienia lokalne\Dane aplikacji\*Bron* :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] [resethosts]

Podaj log z usuwania oraz nowy z opcji skanuj.
18-03-2013, 14:35
maselkolubie

log z usuwania
http://wklej.org/id/985423/
log z otl
http://wklej.org/id/985418/

juz widze poprawe, moge pobierac wszystko ;)
18-03-2013, 15:51
dadag90

w OTL naciśnij sprzątanie.
Wykonaj pełny skan http://www.dobreprogramy.pl/Malwareb...ows,13117.html usuń co znajdzie.
Pobierz Panda USB Vaccine i użyj w nim Vaccinate computer. Po tym sformatuj ( nie otwieraj ) wszystkie dyski przenośne. są zainfekowane.