Witam. Od kilku dni pojawiły się problemy z którymi nie mogę sobie poradzić. Gdy chce otworzyć Menadżer zadań pojawia się komunikat “Menadżer zadań został wyłączony przez administratora” , z rejestrem jest podobnie gdy chciałem edytować wpis pojawił się komunikat “Edycja rejestru została wyłączona przez administratora sieci”. A jak chcę otworzyć dysk lokalny wyświetla się okienko “Otwórz za pomocą” Podaję wpis z GMERA i prosił bym o poradę co dalej zrobić z tym fantem.

GMER 1.0.15.15530 - http://www.gmer.net

Rootkit scan 2011-01-07 10:52:07

Windows 5.1.2600 Dodatek Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST380011A rev.3.04

Running: xcwnmmdc.exe; Driver: C:\DOCUME~1\Admin\USTAWI~1\Temp\pwkdifoc.sys

---- System - GMER 1.0.15 ----

Code ??\C:\WINDOWS\system32\drivers\EagleNT.sys ZwClose [0xB92D98EC]

Code ??\C:\WINDOWS\system32\drivers\EagleNT.sys NtClose

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!PsGetThreadTeb + 27E 804EA02F 4 Bytes CALL B92D9371 ??\C:\WINDOWS\system32\drivers\EagleNT.sys

PAGE ntoskrnl.exe!NtClose 805675D9 5 Bytes JMP B92D98F0 ??\C:\WINDOWS\system32\drivers\EagleNT.sys

PAGE ntoskrnl.exe!NtOpenProcess + B 805745A9 4 Bytes CALL B92D99A1 ??\C:\WINDOWS\system32\drivers\EagleNT.sys

PAGE ntoskrnl.exe!ZwReadVirtualMemory + 8 8057BFD9 4 Bytes CALL B92D9C01 ??\C:\WINDOWS\system32\drivers\EagleNT.sys

PAGE ntoskrnl.exe!ZwWriteVirtualMemory + 8 8057C12B 4 Bytes CALL B92D9D51 ??\C:\WINDOWS\system32\drivers\EagleNT.sys

PAGE ntoskrnl.exe!RtlUnicodeStringToAnsiString + 2A8 8057D9F8 4 Bytes CALL B92D9951 ??\C:\WINDOWS\system32\drivers\EagleNT.sys

PAGE ntoskrnl.exe!NtDeviceIoControlFile + 26 8057FBF6 4 Bytes CALL B92D9751 ??\C:\WINDOWS\system32\drivers\EagleNT.sys

PAGE ntoskrnl.exe!ZwSuspendThread + A0 805DC6BB 4 Bytes CALL B92D9EA1 ??\C:\WINDOWS\system32\drivers\EagleNT.sys

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF723C360, 0x24BB1D, 0xE8000020]

? C:\WINDOWS\system32\drivers\ugogin.sys Nie można odnaleźć określonego pliku. !

? C:\WINDOWS\system32\drivers\EagleNT.sys Nie można odnaleźć określonego pliku. !

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Mozilla Firefox\firefox.exe[3768] ntdll.dll!LdrLoadDll 7C9161CA 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

.text C:\Program Files\Mozilla Firefox\plugin-container.exe[4012] USER32.dll!TrackPopupMenu 77D84F16 5 Bytes JMP 103FDDE0 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

---- Devices - GMER 1.0.15 ----

Device \Driver\Kbdclass \Device\KeyboardClass0 EagleNT.sys

Device \Driver\Kbdclass \Device\KeyboardClass1 EagleNT.sys

Device \Driver\Mouclass \Device\PointerClass0 EagleNT.sys

Pobierz OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTL.txt oraz Extras.txt.

Ok zrobiłem skan w OTL i wklejam to o co prosiliście.

Extras.Txt --> http://www.wklej.eu/index.php?id=709e19a002

OTL.Txt–> http://www.wklej.eu/index.php?id=2d9282fe21

Mam nadzieje ze uda się wam mi pomóc. Dziękuje i Pozdrawiam

niestety masz Sality

Usuwanie Sality

usuwanie-znanych-wirusow-sality-itp-t370365.html

Nie jest dobrze ;/ Wyłączyłem przywracanie systemu na wszystkich dyskach, sciagnołem program do usówania Sality lecz gdy chciałem go włączyć nie odpowiadał, po ponownej próbie po prostu zniknoł ;/ Innych programów tez nie mogę zainstalować ;/ Co poradzicie zrobić z tym fantem?

A spróbuj go zainstalować w trybie awaryjnym i tam go uruchomić.

Format wszystkich partycj i instalacja systemu od nowa. Tylko nie kopiuj żadnych instalek programów, bo moga być zainfekowane i jak taką instalkę uruchomisz, wirus wróci.

Szybko się poddajesz. Niech najpierw alternatywne metody zawiodą, a na końcu format.

No bo prawda jest taka, że usunięcie tego wirusa graniczy z cudem i prościej oraz szybciej jest sformatować wszystkie partycje i zainstalować system od nowa.

Póki co czekamy co autor wątku powie.

Jeszcze jest sposób z Live CD. Pobierz i nagraj na INNYM, NIEZAINFEKOWANYM komputerze Dr. Web Live CD. Włóż płytkę do zainfekowanego komputera i uruchom z niej komputer. Wykonaj update baz skanera i przeskanuj wszystkie dyski. Wszystko co zainfekowane wylecz, co nie będzie się dało wyleczyć - usuń.

No puki co to jest gorzej niż myslałem ;/ Gdy chciałem uruchomić system w trybie awaryjnym włączał się lecz po chwili komputer się wyłączał i włączał od nowa ;/ próbowałem kilka razy lecz za każdym razem tak samo się zachowywał ;/ Wiec chyba niema innej opcji jak format wszystkich partycji ;/

No niestety, tak jak pisałem, usunięcie sality graniczy z cudem i moim zdaniem próba wywalenia go to strata czasu. No chyba, ze się rozpocznie usuwanie natychmiast po uruchomieniu się wirusa, to wtedy próbowac nie zaszkodzi, bo są większe szanse. Pamiętaj, żeby nie kopiować instalek programów, bo jak po formacie uruchomisz jakąs skopiowaną i trafisz na zainfekowaną, to z powrotem sobie zainstalujesz wirusa.

Instalek programów nie będę a co np z zdjęciami,muzyka?

To możesz.

Kurde zrobiłem format całego systemu. Nie zostawiłem najmniejszego pliku a mimo to wciąż występują te same błędy. Wprawdzie antyvir (Eset) wykrywa mi tylko 1 wirusa.

Podaje skan z OTL http://wklej.org/id/453595/

– Dodane 10.01.2011 (Pn) 15:53 –

Sćiągnołem ten program do usówania Sality. On nic nie wykrył, podobnie jak mój antyvir Eset. Problem z otwieraniem dysków lokalnych znikł lecz wćiąż rejestr oraz menadżer mam zablokowany ;/ Co z tym zrobić. Na wypadek zamieszczam skan z OTL.

OTL.Txt http://wklej.org/id/454167/

Nie wiem czego ale nie mam dokumentu Extras.txt ;/

nadal Sality

Należy zrobić format wszystkich partycji i dysków