Nie dziala menedzer i rejestr

Multi123 · 13 Listopad 2009 11:48

Witam mam problem z jakims wirusem mam nadzieje ze to nie Sality bo format w ogole nie wchodzi w gre gddyz jest to komputer firmowy na ktorym znajduja sie wazne programy z danymi.

http://wklej.org/id/204095/ - HijackThis

z combofixa nie mam bo nie chce sie nawet odpalic…

Jane_Vicodin · 13 Listopad 2009 12:37

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

<------ to odpowiada za wyłączenie rejestru, sfixuj

C:\DOCUME~1\UZYTKO~1\USTAWI~1\Temp\winhkbsv.exe

<-- znasz to ?

O4 - Startup: smgr32.exe

i to ?

Multi123 · 13 Listopad 2009 12:49

nie wiem co to ale raczej nic potrzebnego

jessica · 13 Listopad 2009 13:11

To nie jest dobry znak!

Nawet jeśli nie ma SALITY, to ten “smgr32.exe” jest najczęściej skojarzony z zainfekowaniem jakiegoś pliku Systemowego.

Co wykrywa Antivirus?

A ComboFix trzeba było od razu przy ściąganiu zapisać pod jakąś inną nazwą, (np. “dddfff.com”) -

Na początek daj logi z >OTL

oraz z >SRENG (Po uruchomieniu klik “SmartScan”, zaznacz “Verify…”, klik “Scan”, czekasz na raport, klik na “Save…”, potem na “Close”).

Multi123 · 16 Listopad 2009 11:11

http://www.wklejto.pl/47437 - OTL

http://www.wklejto.pl/47438 - SRENG

http://wklejto.pl/47439 - COMBOFIX

jessica · 16 Listopad 2009 12:09

No niestety - jest SALITY/SECTOR!

Wklej do Notatnika :

File::

c:\windows\system32\drivers\ptjpiq.sys

c:\documents and settings\uzytkownik\Menu Start\Programy\Autostart\smgr32.exe

C:\Documents and Settings\uzytkownik\Ustawienia lokalne\temp\winhkbsv.exe


Folder::

C:\Documents and Settings\uzytkownik\Ustawienia lokalne\temp


Driver::

abp470n5


Registry::

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"=dword:00000000

"DisableRegistryTools"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GEST"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"amva"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"cbvcs"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3760D689-C63B-4422-9A1D-31CA856CD5C1}]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FB5F1910-F110-11D2-BB9E-00C04F795683}]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie. (i powstanie log).

Użyj Dr. Web CureIt!

Uwaga: Też od razu przy ściąganiu zapisz go pod jakąś nazwą z rozszerzeniem .com (podobnie jak u ComboFixa) !

Napisz, co wykrył.

jessi

Multi123 · 16 Listopad 2009 13:09

OK, po tej akcji z ComboFixem ruszył menedzer i rejestr.

Robie scan tym Dr. Web CureIt jak skonczy to dam znac.

EDIT:

omg nie ma 30% skanowania a juz 1000 zainfekowanych. leczyc to?

jessica · 16 Listopad 2009 13:43

Oczywiście, że leczyć - dlatego właśnie zaleciłam “Dr.WebCureIT”, bo on potrafi leczyć zarażone pliki, a nie tylko usuwać.

jessi

Leon1 · 16 Listopad 2009 13:48

skorzystaj ze sposobu pierwszego

Sality http://helpc.eu/usuwanie-wirusa-sality-t1950.html

Multi123 · 16 Listopad 2009 14:06

Kolego nie załamuj mnie

deFco247 · 16 Listopad 2009 14:16

Tyle że właśnie ten wirus niszczy programy i ich wyleczenie będzie graniczyło z cudem.

Pozostaje sposób drugi z linku powyżej.

Chociaż i tak większość programów po czymś takim nie będzie działać.

Leon1 · 16 Listopad 2009 14:16

I jedziesz bez antywirusa to żart czy totalna beztroska

:?:

Multi123 · 16 Listopad 2009 14:29

tylko ze ten sposob wymaga usuniecia plikow ktorych nie moge usunac.

Hmmmm pare miesiecy temu zostal zmieniony komputer i mam stary dysk na ktorym sa dane z 8 lat działania firmy i co najwazniejsze nie ma na nim Sality.

Pociągne moze jeszcze bez formata do konca roku a potem niektore dane moze uda sie przerzucic na stary dysk.Potem format nowego i znow przerzuce.

co o tym sądzicie?

deFco247 · 16 Listopad 2009 14:36

Nie ma szans.

Ten wirus się przenosi na wszystkie dyski i system padnie w przeciągu paru dni.

Multi123 · 16 Listopad 2009 14:42

to co radzisz? juz zrzucac dane na plytke?

deFco247 · 16 Listopad 2009 14:51

Jak nie chcesz formatu to zastosuj się do powyższego cytatu i użyj metody drugiej z poradnika.