Witam!Od paru dni borykam się z kilkoma problemami na laptopie, który na chwilę obecną zastąpił mi komputer stacjonarny. Ale od początku. No więc najpierw zauważyłem blokadę menedżera zadań. Przy próbie otworzenia go (Ctrl+Alt+Delete bądź taskmgr w okienku Uruchom…) wyskakuje komunikat: “Menedżer zadań został wyłączony przez administratora”. Od razu odpowiadam, że to ja jestem na laptopie administratorem i w żadnym wypadku nie wyłączałem tego menedżera. Poczytałem trochę na innych forach, znalazłem wpis do rejestru, który odblokowuje menedżer zadań. Próbuję dodać ten wpis - nowy problem: pojawia się komunikat obwieszczający, że “Edycja rejestru została wyłączona przez administratora sieci”. Toć samo przy próbie odpalenia go po wpisaniu regedit w okienku Uruchom… Ściągnąłem dwa programy: Trojan Remover oraz Malwarebytes’ Anti-Malware. Pierwszy z nich znalazł coś w dwóch kluczach rejestru, właśnie w tych odpowiadających za menedżer zadań i edycję rejestru. Potwierdzam usunięcie, restartuję laptopa: problem nadal istnieje. Wtedy włączam drugi z wymienionych przeze mnie programów i ten po dłuższym przeskanowaniu komputera znalazł trochę syfu. I tutaj też potwierdzam usunięcie, restartuję ale niestety nic to nie pomaga. Menedżer jak i rejestr są wciąż zablokowane, mało tego wciąz wykrywa mi śmieci, które niby uprzednio usunął. Ostatni już problem to próba instalacji programu antywirusowego. Pobrałem avasta (do innego nie mam dostępu i mieć nie będę, więc proszę żeby darować sobie komentarze: “Spróbuj innego antywirusa.”) ale instalator sam się wyłącza i po prostu nie mogę go zainstalować. Ma ktoś jakieś rady? Bo ja już zupełnie nie mam pomysłu co to może być. Bardzo proszę o pomoc.

EDIT: Proszę wybaczyć, zapomniałem o logu z OTL. Oto on: http://www.wklej.org/id/258100/

Niestety masz Sality.

Do ponownego postawienia systemu może być potrzebna płytka z systemem.

Pobierz i nagraj na płytkę na niezainfekowanym komputerze DR Web LiveCD.

Włóż płytkę do zainfekowanego komputera, zakładając, że wcześniej ustawiłeś w BIOS-ie na startowanie kompa z CD/DVD, więc po restarcie powinien się uruchomić się skaner.

Wykonujesz pełny skan, leczysz co się da, reszta do usunięcia.

Skanujesz tyle razy, aż skaner nic nie znajdzie.

Jeśli po usuwaniu system się nie uruchomi, wkładasz do komputera płytkę z systemem i wykonujesz instalację nakładkową Windows.

Po ewentualnej instalacji nakładkowej wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP lub Vista.

Wykonaj pełny skan DR WEB CureIt.

Jeśli skaner nic nie znajdzie, dla pewności podaj log z Combofix (pobierz go na nowo) i wyłącz ponownie przywracanie systemu włączone przez Combofixa.

Jak nie chcesz się męczyć, a nie masz ważnych danych na dysku, to możesz wykonać format wszystkich dysków i partycji bez wyjątku , nie backupując żadnych plików programów, instalatorów itp.

Niestety, obecnie jestem dość daleko od domu i nie mam dostępu do innego kompa prócz laptopa więc nie miałem jak zastosować się do podanej przez ciebie porady: chodzi o tą z nagraniem na płytkę na niezainfekowanym kompie programu. Zamiast tego spróbowałem sposobu wymienionego w temacie Usuwanie znanych wirusów - Sality itp.. DR WEB CureIt znalazł na laptopie sporo syfu, a dokładnie Win32.Sector.19 , który zainfekował chyba wszystkie pliki *.exe jakie miałem. Na szczęscie DR WEB doskonale wszystko wyleczył, prócz paru innych wirusów, których nie można było ani uleczyć, ani usunąć. Nie wiem czy usunąłem już wszystko ale zawartość folderu Kwarantanna wywaliłem ręcznie. Wtedy odpaliłem Trojan Remover, ten znalazł błędne wartości we wpisach rejestru odpowiedzialnych za blokadę edycji rejestru i menedżera zadań i wreszcie po restarcie było OK - mogę wejść w obie te rzeczy. Na wszelki wypadek załączam jednak zrobionego przed chwilą loga z OTL, oto on: http://www.wklej.org/id/259244/

Wracając jednak do problemów: po włączeniu laptopa, tuż po tym jak załaduje się pulpit pojawia się takie okno (coś nie mogę zrobić Print Screena więc postarałem się oddać jak najwierniejszy wygląd tego okna posługując się Paintem ):

Wyczytałem, że chodzi o jakiś instalator ale o jaki to już nie mam pojęcia. Ponadto nie mogę korzystać z CCleanera: analiza rejestru przebiega bez problemów ale po rozpoczęciu analizy niepotrzebnych plików wyskakuje komunikat:

Runtime Error!

Program: C:\Programy\CCleaner\CCleaner.exe

R6002

-floating point support not loaded

Przy próbie odinstalowania inny komunikat:

Installer integrity check has failed. Common causes include

incomplete download and damaged media. Contact the

installer’s author to obtain a new copy.

More information at:

http://nsis.sf.net/NSIS_Error

Dodam tylko, że wcześniej wszystko chodziło normalnie, korzystałem z CCleanera bez problemów. Ostatni problem a właściwie tylko ciekawość: wreszcie po odblokowaniu menedżera zadań mogłem w niego wejść ale zaniepokoiły mnie niektóre procesy, ale może tylko dla tego, że ich nazwy widzę po raz pierwszy. Dlatego dla upewnienia wypisuję po kolei wszystkie nazwy i proszę o poinformowanie mnie czy coś jest nie tak, bądź czy jest tu coś czego nie powinno być:

gg.exe

jusched.exe

hkcmd.exe

igfxtray.exe

spoolsv.exe

explorer.exe

taskmgr.exe

notepad.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

lsass.exe

services.exe

winlogon.exe

wmiapsrv.exe

csrss.exe

smss.exe

jqs.exe

IEXPLORE.EXE

System

Proces bezczynności

Jeśli potrzebne są logi z innych programów to proszę pisać.

EDIT: Byłbym zapomniał. Na dysku C:\ znajdują się pliki o takich oto nazwach: cmldr, Boot.bak oraz autorun.inf.vir. Ten ostatni to coś mi chyba Trojan Remover wykrył podejrzanego i spytał czy zmienić rozszerzenie albo co, na co przystałem. Dokładnie nie pamiętam. W każdym razie co z tymi plikami? Mogę je bezpiecznie usunąć ręcznie?

EDIT2: Problem z CCleanerem rozwiązany. Pomogło ponowne ściągnięcie instalki.

EDIT3: Zauważyłem malutki błąd na obrazku: “The installer you are traying…”. Oczywiście powinno być trying.

– Dodane 08.01.2010 (Pt) 17:47 –

Odświeżam i dołączam nowe pytanie.

Chcę przeskanować pendrive’a, aby sprawdzić czy tam nie jest nic zainfekowane. Mogę coś zrobić, żebym po podłączeniu mógł go normalnie zeskanować bez obawy, że potencjalny wirus dostanie się do systemu? Jeżeli jest taki sposób, to proszę o podanie go oraz o sprawdzenie poprzedniego posta.

– Dodane 09.01.2010 (So) 16:59 –

Czy mogę prosić o odpowiedź? Jeżeli nikt nie potrafi mi pomóc to chociaż proszę napisać.

Nie wykonałeś instrukcji do końca gdzie logi?

Wrzuć je na http://wklejto.pl/

Bardzo proszę, oto log z ComboFixa: http://wklejto.pl/53315

Niestety masz Sality

zastosuj się do rady - usuwanie-znanych-wirusow-sality-itp-t370365.html