Prośba o sprawdzenie logów z OTL

Post22 paź 2012, 01:53

Witam.

W Windows 7, wersja 32Bit, w czasie korzystania z Internetu nagle na całym ekranie wyskoczył komunikat:
Dostępne tylko dla zarejestrowanych użytkowników

Nie dało się uruchomić menedżera zadań (uruchamia się i po sekundzie wyłącza) aby go wyłączyć. Po ponownym uruchomieniu komputera ekran już się nie pojawił ale dalej tak samo nie można uruchomić menedżera zadań.

Po drugie chyba jest też jakiś program szpiegujący bo jak tylko w programie do FTP - FileZilla zapiszę hasło do serwera to po chwili na serwer jest włamane i pliki strony internetowej są infekowane.

Proszę o sprawdzenie logów:

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Post22 paź 2012, 20:44

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- D:\Program Files\Blaze Media Pro\NMSAccess32.exe -- (NMSAccess)
SRV - [2012-10-16 20:15:02 | 000,059,776 | ---- | M] () [Unknown (-1) | Unknown] -- C:\Windows\System32\drivers\5db7381bb8180de3.sys -- (5db7381bb8180de3)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\Drivers\ute5otcy.sys -- (ute5otcy)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\FTD2XX.sys -- (FTD2XX)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Admin\Desktop\pc-wizard_2012.2.0\pcwiz_x32.sys -- (cpuz135)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Admin\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - [2012-10-16 20:15:02 | 000,059,776 | ---- | M] () [Unknown (-1) | Unknown (-1) | Unknown] -- C:\Windows\System32\drivers\5db7381bb8180de3.sys -- (5db7381bb8180de3)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = Dostępne tylko dla zarejestrowanych użytkowników{SUB_RFC1766}/srchasst/srchasst.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{SUB_RFC1766}/srchasst/srchasst.htm
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-19\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\System32\ieframe.dll (Microsoft Corporation)
IE - HKU\S-1-5-20\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\System32\ieframe.dll (Microsoft Corporation)
IE - HKU\S-1-5-21-233145827-3767336113-3075624834-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-233145827-3767336113-3075624834-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-233145827-3767336113-3075624834-1000\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\System32\ieframe.dll (Microsoft Corporation)
IE - HKU\S-1-5-21-233145827-3767336113-3075624834-1000\..\SearchScopes,DefaultScope = {F25E43C2-EA79-4933-AC42-82578F594993}
IE - HKU\S-1-5-21-233145827-3767336113-3075624834-1000\..\SearchScopes\{1AAE85F0-8E25-48CC-B1B6-C6FC48A8887C}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-233145827-3767336113-3075624834-1000\..\SearchScopes\{AEAAF6EE-7CB6-416B-892D-00C64AA1E5D1}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-233145827-3767336113-3075624834-1000\..\SearchScopes\{F25E43C2-EA79-4933-AC42-82578F594993}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-233145827-3767336113-3075624834-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 195.114.161.53:8080
[2012-08-07 13:57:35 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\0yan2hna.Domyślny użytkownik\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012-01-06 21:50:24 | 000,000,000 | ---D | M] (Aviary) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\0yan2hna.Domyślny użytkownik\extensions\{d5eeb813-935a-435d-b01e-b3a02f2cb408}
[2012-08-07 13:57:37 | 001,621,801 | ---- | M] () (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\firefox\profiles\0yan2hna.Domyślny użytkownik\extensions\firebug@software.joehewitt.com.xpi
[2012-08-07 14:01:13 | 000,246,495 | ---- | M] () (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\firefox\profiles\0yan2hna.Domyślny użytkownik\extensions\jid1-MhKZ5y7SnGjy0w@jetpack.xpi
[2012-08-07 13:57:34 | 000,741,958 | ---- | M] () (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\firefox\profiles\0yan2hna.Domyślny użytkownik\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012-08-07 13:57:13 | 000,000,000 | ---D | M] (Default) -- C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
[2012-10-22 00:14:12 | 000,000,429 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O3 - HKU\S-1-5-21-233145827-3767336113-3075624834-1000\..\Toolbar\WebBrowser: (no name) - {742E70CF-7770-412D-86CB-230B322E807C} - No CLSID value found.
O4 - HKLM..\Run: [Find and Replace In Multiple Text Files Software.exe] File not found
O4 - HKLM..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found
O4 - HKU\S-1-5-21-233145827-3767336113-3075624834-1000..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found
O4 - HKU\S-1-5-21-233145827-3767336113-3075624834-1000..\Run: [sudbyzquxqus] C:\Users\Admin\sudbyzquxqus.exe File not found
O4 - HKU\S-1-5-21-233145827-3767336113-3075624834-1000..\Run: [Uxonyfh] C:\Users\Admin\AppData\Roaming\Tygoyp\owed.exe File not found
O4 - Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)
O7 - HKU\S-1-5-21-233145827-3767336113-3075624834-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disableregistrytools = 0
[2012-10-22 00:17:12 | 000,000,000 | ---D | C] -- C:\ProgramData\ESET
[2012-10-22 00:17:12 | 000,000,000 | ---D | C] -- C:\Program Files\ESET
[2012-10-22 00:01:09 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\lsass.exe
[2012-10-16 23:21:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab
[2012-10-16 23:15:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab Setup Files
[2012-08-08 12:38:59 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\ESET
[2012-08-08 12:38:59 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\ESET
[2012-06-11 23:21:55 | 000,000,000 | ---D | C] -- C:\tmp
[2012-05-18 00:56:25 | 000,000,000 | ---D | C] -- C:\Program Files\v9Soft
[2012-03-14 08:40:02 | 000,033,656 | ---- | C] (ESET) -- C:\Windows\System32\drivers\EpfwLWF.sys
[2011-10-01 19:32:38 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2011-10-01 19:20:46 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2011-10-01 19:20:44 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011-03-27 14:13:03 | 025,800,701 | ---- | C] (Infonetax ) -- C:\Users\Admin\Desktop\PitySetup.exe
[2011-07-03 01:52:54 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\18A89E0C-098F-4C8D-AF1B-F9029F4842C5
[2012-08-08 12:38:59 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\ESET
[2012-08-08 12:54:21 | 000,000,000 | RHSD | M] -- C:\Users\Admin\AppData\Roaming\sp
[2012-02-09 01:36:23 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\Viheqyi
@Alternate Data Stream - 192 bytes -> C:\Windows:nlsPreferences
@Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:9E00596C

:Files
$RECYCLE.BIN /alldrives

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Combofix`a -> http://www.hotfix.pl/articles.php?article_id=41 + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL -> http://hotfix.pl/articles.php?article_id=143.