Brak dostępu do niektórych narzędzi systemowych


(Bunia37) #1

Witam, bardzo proszę o sprawdzenie loga. nie mogę dostać się do menadżera zadań ani edytować rejestru. Są zablokowane przez administratora, ale jestem pewna, że nikt nie blokował dostępu. Mój komputer został zainfekowany przeróżnymi świństwami. To co dało się usunąć ad-awarem usunęłam. Miałam problem z zainstalowaniem avasta, więc nie pozostało mi nic innego jak szukanie pomocy na forum. Próbowałam sama poradzić sobie z problemem wspierając się innymi podpowiedziami, ale niestety moje starania nie przyniosły żadnych efektów. Dlatego bardzo proszę o pomoc. Oto log z HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:43:50, on 2009-02-01

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe

C:\Program Files\Gateway\EzTune\DTHtml.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\Common Files\Portrait Displays\Shared\HookManager.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\Program Files\RALINK\Common\RaUI.exe

C:\Program Files\Windows Desktop Search\WindowsSearch.exe

C:\Program Files\Portrait Displays\Pivot Software\floater.exe

C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe

C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\system32\svchost.exe

c:\program files\common files\installshield\updateservice\isuspm.exe

C:\Program Files\Common Files\InstallShield\UpdateService\agent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Documents and Settings\Jurek\Pulpit\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O4 - HKLM..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM..\Run: [bearShare] "C:\Program Files\BearShare\BearShare.exe" /pause

O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM..\Run: [PivotSoftware] "C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe"

O4 - HKLM..\Run: [DT GWY] C:\Program Files\Gateway\EzTune\DTHtml.exe -startup_folder

O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKCU..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - HKCU..\Run: [MsgCenterExe] "C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe" -osboot

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe

O4 - Global Startup: Wyszukiwanie z pulpitu systemu Windows.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--

End of file - 8901 bytes


(huber2t) #2

Podaj log z Combofix

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(JNJN) #3

Proszę zmienić temat na konkretny, opcja EDYTUJ i popraw.JNJN


(Bunia37) #4

log z ComboFix:

http://wklej.eu/index.php?id=51608616e9

mimo, że jakiś czas temu usunęłam z komputera AVG był on aktywny podczas skanowania. Nie mogłam go wyłączyć z braku dostępu do menadżera zadań.


(Spandau) #5

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj system Dr.WEB CureIt! wylecz co się da.


(Bunia37) #6

Oto log po przeskanowaniu:

http://www.wklejto.pl/24693


(Spandau) #7

Nie wiele nam to dało

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Spróbuj przeskanować system Dr.WEB CureIt! wylecz co się da.


(Bunia37) #8

Przeskanowałam system poleconym programem i pojawił się kolejny problem. Wciąż nie mam dostępu do menadżera zadań, dodatkowo nie działają mi żadne pliki z rozszerzeniem .exe.

Niemożliwe jest ponowne przeskanowanie komputera programem ComboFix. Przy takiej próbie pojawiają się komunikaty typu: 'Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest niepoprawna', Nazwa (i tu dziwne znaczki) nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne', 'Program wykonywalny lub plik wsadowy', 'Nie można odnaleźć określonego pliku'...

ratunku! !!

-- Dodane 02.02.2009 (Pn) 16:42 --

A jednak nie jest tak źle. Po kobiecemu po prostu spanikowałam :slight_smile: przesyłam log po przeskanowaniu programem Dr.WEB CureIt!:

http://www.wklej.org/id/47655/


(Leon$) #9

Masz wirusa Sality atakującego wszystkie exe ,dll i inne

najlepszym i najszybszym sposobem leczenia jest format

1.format wszystkich dysków i partycji bez wyjątku

2.postawienie nowego systemu pod żadnym pozorem nie korzystać z instalek i sterowników będących wcześniej na zainfekowanym systemie

3.zaopatrzyć się w konkretny antywirus przez 30 dni można potestować darmo z Kaspersky Anti-Virus http://www.kaspersky.pl/download.html?s=trial

dalsze leczenie to strata czasu i nerwów

:slight_smile:


(Bunia37) #10

Wolałabym zrobić wszystko żeby tego uniknąć. Ale jeśli naprawdę nie ma wyjścia to oczywiście dostosuję się do zalecenia.


(Spandau) #11

Niestety Leon ma racje ale jeśli nie chcesz się poddać to możesz spróbować

Spróbuj pobrać i uruchomić Kaspersky Virus Removal Tool http://dobreprogramy.pl/index.php?dz=2& ... +7.0.0.290 przeskanuj system ( musisz przeskanować wszystkie dyski ) usuń wszystko co znajdzie (możliwe że usunie wiele programów i trzeba będzie je przeinstalować, musisz pobrać wtedy świeże nie zainfekowane wersje instalek z Internetu)

Instrukcja obsługi http://pl.youtube.com/watch?v=i88NkPw8W4o

Po tym skan i nowy log Combofix


(Bunia37) #12

Chwyciłam i tę deskę ratunku. Przeskanowałam komputer programem Kaspersky Virus Removal Tool i to niejednokrotnie. Oto log po wykonaniu skanów:

http://www.wklejto.pl/24808

komputer jakby wrócił do siebie :slight_smile: a przynajmniej jeśli chodzi o menadżera zadań, do którego odzyskałam dostęp :slight_smile:


(Spandau) #13

No widać zmianę. Mam nadzieje że usunęłaś wszystko co znalazł Kasperski

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(Bunia37) #14

Tak, oczywiście usunęłam. Aktualny log:

http://www.wklejto.pl/24810


(Spandau) #15
  1. Jeśli gdzieś masz nagrane wersje instalacyjne jakiś programów to pamiętaj że te pliki mogą być zarażone powinnaś je usunąć. Jeśli będziesz chciała zainstalować jakiś program lub sterownik to pobierz nawą (świeżą) wersję z internetu

  2. Jeśli nie działa Ci program antywirusowy to należy go odinstalować pobrać nową wersję z Internetu i zainstalować ponownie, dotyczy to również innych programów

  3. Przeskanuj ponownie Kasperskim jeśli nic nie znajdzie to odinstaluj go zgodnie z tym co w tej instrukcji http://pl.youtube.com/watch?v=i88NkPw8W4o jeśli będzie z tym problem to pisz na forum

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Pobierz ponownie i przeskanuj system Dr.WEB CureIt!

:slight_smile:


(Bunia37) #16

Zadania wykonane :slight_smile: pięknie dziękuję za pomoc. To była bardzo miła współpraca :slight_smile:

Pozdrawiam serdecznie!