Apollons
(bednarzxsg)
22 Styczeń 2009 12:26
#1
Witam wszystkich, mam mały problem. Chciałem odpalić Menedżer zadań Windows ale pokazuje mi, że ta opcja jest wyłączona przez Administratora. A kiedy próbuje włączyć rejestr to pokazuje mi to samo. Ok skorzystałem z porad zamieszczonych na internecie. Ściągnąłem program RegAlyzer i normalnie przeglądam sobie rejestr. W poradniku było napisane, że mam wejść gdzieś tam żeby zamienić wartości. Zamieniłem ale po 2 sekundach na moich oczach z powrotem się zamieniają na 1. Jak to zrobić. Ściągnąłem program Ad-Aware i pokazał mi 1 trojan i 7 błędów cookies.
Dziękuje za pomoc.
masz trojany, skorzystaj z aplikacji spywaredoctor :
www.spywaredoctor.pl
Apollons
(bednarzxsg)
22 Styczeń 2009 19:40
#3
Zadne trojany, robilem formata 2 razy i ciągle to samo.
Jak to możliwe
Leon1
(Leon$)
22 Styczeń 2009 19:57
#6
O4 - HKUS\S-1-5-19…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘Default user’) O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
usuń HijackThisem >> Fix checked
a to dla kogo napisałem??
[-X
Apollons
(bednarzxsg)
22 Styczeń 2009 20:10
#7
To z ComboFix
ComboFix 09-01-21.04 - Bednarz 2009-01-22 21:04:51.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.510.347 [GMT 1:00] Uruchomiony z: c:\documents and settings\Bednarz\Pulpit\ComboFix.exe * Utworzono nowy punkt przywracania . ((((((((((((((((((((((((( Pliki utworzone od 2008-12-22 do 2009-01-22 ))))))))))))))))))))))))))))))) . 2009-01-22 20:56 . 2009-01-22 20:56 2009-01-22 20:23 . 2009-01-22 20:23 2009-01-22 20:21 . 2006-09-06 17:43 22,752 --a------ c:\windows\system32\spupdsvc.exe 2009-01-22 20:20 . 2009-01-22 20:20 2009-01-22 20:20 . 2009-01-22 20:21 1,374 --a------ c:\windows\imsins.BAK 2009-01-22 18:53 . 2009-01-22 18:53 2009-01-22 18:53 . 2009-01-22 18:53 2009-01-22 18:53 . 2009-01-22 18:53 2009-01-22 18:53 . 2007-01-16 13:52 20,608 --a------ c:\windows\system32\drivers\BRGSp50.sys 2009-01-22 18:53 . 2007-01-16 13:52 17,664 --a------ c:\windows\system32\drivers\ZDPSp50.sys 2009-01-22 18:52 . 2007-01-10 10:14 450,560 --a------ c:\windows\system32\drivers\WlanBZXP.sys 2009-01-22 18:51 . 2005-06-17 10:26 114,688 --a------ c:\windows\system32\WLANUTL.dll 2009-01-22 18:51 . 2005-06-17 10:26 61,440 --a------ c:\windows\system32\W32N50.dll 2009-01-22 18:49 . 2009-01-22 18:49 2009-01-22 18:48 . 2009-01-22 18:58 2009-01-22 18:48 . 2009-01-22 18:49 2009-01-22 18:45 . 2004-08-04 00:44 21,504 --a------ c:\windows\system32\hidserv.dll 2009-01-22 18:45 . 2004-08-04 00:44 21,504 --a–c— c:\windows\system32\dllcache\hidserv.dll 2009-01-22 18:45 . 2004-08-04 00:38 14,848 --a------ c:\windows\system32\drivers\kbdhid.sys 2009-01-22 18:45 . 2004-08-04 00:38 14,848 --a–c— c:\windows\system32\dllcache\kbdhid.sys 2009-01-22 18:45 . 2001-08-17 22:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys 2009-01-22 18:45 . 2001-08-17 22:02 9,600 --a–c— c:\windows\system32\dllcache\hidusb.sys 2009-01-22 18:44 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys 2009-01-22 18:44 . 2004-08-03 23:08 31,616 --a–c— c:\windows\system32\dllcache\usbccgp.sys 2009-01-22 18:41 . 2009-01-22 21:06 2009-01-22 18:41 . 2009-01-22 20:25 2009-01-22 18:41 . 2009-01-22 17:01 2009-01-22 18:41 . 2009-01-22 21:00 2009-01-22 18:41 . 2009-01-22 20:25 2009-01-22 18:41 . 2009-01-22 18:48 2009-01-22 18:41 . 2009-01-22 20:02 2009-01-22 18:41 . 2009-01-22 19:03 2009-01-22 18:24 . 2002-09-09 00:19 159,744 --a------ c:\windows\system32\igfxres.dll . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-22 17:53 --------- d–h--w c:\program files\InstallShield Installation Information 2009-01-22 16:17 --------- d-----w c:\program files\C-Media 3D Audio 2009-01-22 16:16 --------- d-----w c:\program files\Intel 2009-01-22 16:16 --------- d-----w c:\program files\Common Files\InstallShield 2009-01-22 16:07 --------- d-----w c:\program files\microsoft frontpage 2009-01-22 16:04 --------- d-----w c:\program files\Usługi online 2001-11-23 04:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2004-08-03 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “IgfxTray”=“c:\windows\system32\igfxtray.exe” [2002-09-09 155648] “HotKeysCmds”=“c:\windows\system32\hkcmd.exe” [2002-09-09 114688] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2004-08-03 15360] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] “nltide_3”=“advpack.dll” [2007-08-13 c:\windows\system32\advpack.dll] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2009-01-22 950272] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] “ForceClassicControlPanel”= 1 (0x1) [HKEY_USERS.default\software\microsoft\windows\currentversion\policies\explorer] “ForceClassicControlPanel”= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusOverride”=dword:00000001 “AntiVirusDisableNotify”=dword:00000001 “FirewallOverride”=dword:00000001 “UpdatesDisableNotify”=dword:00000001 “UacDisableNotify”=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] “AntiVirusOverride”=dword:00000001 “AntiVirusDisableNotify”=dword:00000001 “FirewallDisableNotify”=dword:00000001 “FirewallOverride”=dword:00000001 “UpdatesDisableNotify”=dword:00000001 “UacDisableNotify”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile] “EnableFirewall”= 0 (0x0) [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “d:\Programy\Flash Player.exe”= R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [2009-01-22 450560] S3 abp470n5;abp470n5;??\c:\windows\system32\drivers\irdfkn.sys --> c:\windows\system32\drivers\irdfkn.sys [?] S3 ZDCndis5;ZDCndis5 Protocol Driver;??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?] . - - - - USUNIĘTO PUSTE WPISY - - - - HKLM-Run-Cmaudio - cmicnfg.cpl . ------- Skan uzupełniający ------- . uInternet Connection Wizard,ShellNext = hxxp://192.168.1.1/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-22 21:06:19 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów … skanowanie ukrytych wpisów autostartu … skanowanie ukrytych plików … skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . Czas ukończenia: 2009-01-22 21:07:55 ComboFix-quarantined-files.txt 2009-01-22 20:07:52 Przed: 7 409 831 936 bajtów wolnych Po: 7,408,328,704 bajtów wolnych WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Professional” /noexecute=optin /fastdetect 122
To z HiJackThis
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:09:38, on 2009-01-22 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\imapi.exe C:\WINDOWS\explorer.exe C:\Program Files\internet explorer\iexplore.exe C:\Documents and Settings\Bednarz\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM…\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM…\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS\S-1-5-18…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - HKUS.DEFAULT…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘Default user’) O4 - Global Startup: Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk = ? O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe – End of file - 2511 bytes
Prosze napisac wszystko od poczatku co mam usunąć
Leon1
(Leon$)
22 Styczeń 2009 21:22
#8
Otwórz notatnik i wklej
zapisz jako plik.reg >> wszystkie pliki
powstanie plik o takiej ikonie
w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport
Apollons
(bednarzxsg)
23 Styczeń 2009 09:08
#9
No to kur** straciles reputacje na forum. Dziekuje za to ze mi tak pomogles ze dysk twardy jest do wymianybo nawet po 3 formatach systemu nic nie chce dzialac a moje waznepliki zostaly usuniete. Czlowieku ^^ jak chcesz komus pomoc to wez sie najpierw dobrze zastanow. Wyskakuje mi blad ze mam zaladowacpliki debugeraJadra DLL i jak zaladowalem to tez lipa.!
system
(system)
23 Styczeń 2009 09:59
#10
Jeżeli te Twoje ważne pliki, to były jakieś instalki programów, to całe szczęście, że zostały usunięte!
System nie chce Ci działać po 3 formatach, ponieważ popełniasz stale ten sam błąd.
W logu ComboFix możemy zobaczyć, taki wpis:
a to jednoznacznie wskazuje obecność wirusa Sality na komputerze. Sality infekuje wszystkie pliki exe i dll.
Wracając do błędu:
Formatujesz tylko partycję systemową
Ciągle instalujesz zainfekowany program, sterownik itd.
Zrób format wszystkich partycji, a o plikach instalacyjnych programów, które miałeś na komputerze - zapomnij.