Koń trojański - blokada menadżera zadań

archit · 8 Wrzesień 2008 18:20

Witam,

mam problem, z którym sam sobie nie poradzę (ani mój anti virus), dlatego proszę o pomoc.

Skaner antywirusowy (Kaspersky Anti-Virus 6.0.3) wykrył konia trojańskiego i poinformował mnie, że “problem” ten zostanie rozwiązany (czytaj. “skasowany”) po restarcie komputera. No i za chwilę - nie kończąć skanowania - komputer sam się zrestartował. Od tego czasu skaner nic nie wykrył, ale nie można nijak uruchomić menadżera zadań (ctrl+alt+del) - pojawia się wówczas komunikat, że menadżer został wyłączony przez administratora (czyli mnie … ?!).

W rejestrze wszystko jest ok (Mój Komputer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System - DisableTaskMgr ma wartość 1 czyli za blokowanie menadżera odpowiada najpewniej jakiś brzydki program

Poniżej załączam logi. Bardzo proszę o pomoc.

http://wklejto.pl/9781

http://wklejto.pl/9782

archit · 8 Wrzesień 2008 18:31

Widzę, że coś pomyliłem - wartością domyslną w rejestrze nie jest “1” tylko “0”.

Przestawiłem na “zero” i menadżer się włącza.

Przepraszam za zamieszanie - mam nadzieję, że komputer jest już czysty, jak to pokazuje Kaspersky.

Jeśli coś innego wynika z logów to proszę o informację.

Jeszcze raz sorki.

archit

huber2t · 8 Wrzesień 2008 18:57

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\DOCUME~1\u2\USTAWI~1\Temp\5A.tmp.exe

C:\WINDOWS\system32\msxml71.dll

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

archit · 8 Wrzesień 2008 22:06

Dzięki za zainteresowanie,

W międzyczasie przeskanowałem komputer skanerem online (Kaspersky online) i wykrył konia trojańskiego w C:\System Volume Information i coś tam w kartotece C:\Program Files\SAV

Poza tym dałem fix w Hijacku i zgodnie z poleceniem zapuściłem ComboFix

raport skanera online: http://wklej.eu/index.php?id=8c90364fca

log z ComboFix http://wklej.eu/index.php?id=44a2fa57e7

huber2t · 9 Wrzesień 2008 04:11

Pobierz The Avenger

wklej do niego ten tekst:

Folders to delete:

C:\Program Files\SAV

C:\System Volume Information\_restore{2486BC4B-1001-48B8-ACAB-D9820BBC30EA}\RP93

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

archit · 9 Wrzesień 2008 22:37

Zastosowałem się do wszystkich instrukcji poza ostatnią - przeskanuję skanerem online dopiero jutro wieczorem - będzie to trwało parę godzin, więc raport dam zapewne dzień później.

Dzięki i pozdrawiam

archit

raport z Avengera http://wklej.eu/index.php?id=fd06b8dab0

P.S.

Czy “Dr.WEB CureIt!” mogę zainstalować pomimo, że mam 2 inne skanery [Norton 360 - główny i Kaspersky 6.0 SOS - pomocniczy (ten Kaspersky nie powoduje konfliktu z innymi skanerami)] ?!

huber2t · 10 Wrzesień 2008 04:12

Nie można mieć dwóch antywirusów, oni się gryzą, usuń jednego, a dr web to wersja bezinstalacyjna

Wykonaj resztę poleceń

archit · 11 Wrzesień 2008 13:29

Co do dwóch antywirusów to ten Kaspersky (pełna nazwa to “Kaspersky Anti-Virus 6.0 Second Opinion Solution”) jest stworzony z myślą o “współistnieniu” z innym antywirusem (jako dodatkowa ochrona - w dodatku z darmową licencją na pół roku :). Dostępny był na płytce chipa z tego roku.

A wracając do tematu - przeskanowałem komputer “Dr.WEB CureIt!” i znalazł dość dużo “wątpliwych” programów (więc nawet moje dwa antywirusy to za mało ! - a Kaspersky ONLINE też nic nie wykrył). Loga z Dr.WEB CureIt! nie zamieszczam, bo ten plik tekstowy to ponad 28 MB (3 dyski - łącznie ok. 1 TB).

raport Dr.WEB CureIt! http://wklej.eu/index.php?id=29ec05c39f

raport Kaspersky online http://wklej.eu/index.php?id=b438ee39da

jeszcze dla pewności Hijack This http://wklej.eu/index.php?id=2b7217b373

Optymalizację autostartu (w oparciu o instrukcję) zrobiłem najlepiej jak umiałem, ale moja wiedza jest zbyt mała, żeby zrobić śmiałe posunięcia Jeśli miałbyś sugestie w tej kwestii to również będę wdzięczny.

Póki co to dziękuję za dotychczasową pomoc.