Trojany etc. - wyłączony menedzer zadan i regedit


(ancek) #1

Witam, w ostatnim czasie mam problem z uruchomieniem menadżera zadań i edytora rejestru. Przy próbie uruchomienia pokazuje się komunikat ,,Menadżer zadań został wyłączony przez administratora" Przywrócenie systemu pomaga na pewien czas ale potem problem pojawia się od nowa. Dodatkowo własnie zauwyazyłem, że nie działa mi Winrar. Prosiłbym o zidentyfikowanie co to za paskudztwo i jak sie go całkowicie pozbyć.

Kiedy skanuje kompa Malwarebytes anti malware to na samym początku skanowania wyskakuje taki komunikat

komunikat.jpg

Kiedy dam kontynuuj skanuje dalej i znajduje pare zainfekowanych rzeczy (dodam, że po usunięciu ich pojawiają się potem znowu). Oto log i wyniki.

58416417.jpg

http://wklej.org/id/151882/

Załączam logi z HJthis, OTL i GMERa.

Hjthis

http://wklej.org/id/151884/

OTL

http://wklej.org/id/151885/

OTL Extras

http://wklej.org/id/151886/

GMER

http://wklej.org/id/151993/


(deFco247) #2

To jest Sality - wirus infekujący wszystkie pliki na dysku (konkretniej .exe, .dll, .php, .html, .scr)

Na niezainfekowanym komputerze pobierz i nagraj na płytkę Kaspersky Rescue Disk, możesz też użyć Dr.Web LiveCD

Włóż płytkę do napędu na zainfekowanym komputerze. Zakładam że w biosie jest ustawione bootowanie z CD/DVD to po restarcie powinien uruchomić się skaner z płytki. Wykonujesz pełny skan usuwamy wszystko co znajdzie skaner do skutku, tzn skanujemy tyle razy aż skaner nic nie znajdzie

Ponieważ mogą zostać usunięte także pliki systemowe to, jak już skaner nic nie znajdzie, a pojawi się problem z uruchomieniem systemu wtedy wkładamy do napędu płytkę instalacyjną windowsa i robimy instalację nakładkową windows bez utraty danych

Proszę się najpierw upewnić czy ta opcja jest możliwa i to zanim rozpoczniemy skanować Kasperskim lub innym skanerem. Nie muszę dodawać że wszystkie programy które nie będą działać należy po tym przeinstalować.

Po wykonaniu instalacji nakładkowej należy:

  • Wyłączyć przywracanie systemu na wszystkich dyskach. Instrukcja

  • Pobrać i wykonać pełne skanowanie Dr. Web CureIt! Jak skaner nic nie znajdzie to proszę

  • Pobrać Combofix przeskanować system i dać loga do sprawdzenia na forum. Po skanowaniu Combofixem proszę ponownie wyłączyć przywracanie systemu na wszystkich dyskach, które włączył Combofix.


(ancek) #3

skaner z KRD co jakis czas ni stad ni zowąd wylacza sie bez jakiegokolwiek komunikatu i musze zaczynac skanowanie do nowa. Co to znaczy?

-- Dodane 19.09.2009 (So) 1:12 --

Jeszcze takie pytanie.Czy dobrze zrobilem ze na domyslna akcje dalem "disinfect"


(deFco247) #4

No to zamiast Kaspersky'ego spróbuj Dr.Web LiveCD.

Możliwe, że na dysku masz dużo danych i dlatego skan trwa tak długo (teoretycznie może trwać ponad 6 godzin).

Tak.


(ancek) #5

To znaczy ze on sie wyłącza jesli skanowanie trwa za długo (jeszli znajdzie konkretną ilosci infekcji?)?


(deFco247) #6

Nie powinien się wyłączać... :shock:

Jak nie idzie skanowanie Kaspreskim, to użyj Dr.Web LiveCD.

Jeśli nie chcesz się cackać, to zrób pełny format wszystkich partycji nie backupując przy ty żadnych programów, instalek, sterowników i plików HTML.


(ancek) #7

Skanowanie jako tako idzie bo on sie wyłacza tylko jesli wyleczy pod rzad duzo plikow. Potem juz idzie mu gladko dopoki znow nie natrafi na zainfkowane pliki :slight_smile: Ale za kazdym razem dochodzi troche dalej.

A jeszcze jedno. Zakazone sa jak dotad jedynie pliki exe. dokladna nazwa znajdowanego wirusa to Virus.win32.Sality.ae. Nie wykryto zakazenia w zadnych plikach html dll itp. Czy mozliwe ze ta wersja wirusa zaraza tylko pliki exe?


(deFco247) #8

Ten akurat infekuje pliki .exe

No i nie zadawaj mi pytań przez kanały prywatne, tylko na forum...


(ancek) #9

Ok czyli spokojnie moge pliki html zbackupowac a wywalic niepotrzebne instalki i programy? Sorry za zawracanie glowy.


(deFco247) #10

Wywalasz pliki .exe i .scr (czyli wszelakie programy, instalki oraz dodatkowo wygaszacze akranu).

Wszystko pobierasz na nowo z internetu.


(ancek) #11

Trochę to trwało ale udało mi się w końcu przeskanować kasperskim wszytkie dyski - znalazł tysiące zakażonych execów. Przeskanowalem teraz CureIt - oto wyniki

drweb.jpg

z tego co czytalem to ten win32.sector.19 to to samo co sality. Czemu kaspersky akurat w tych dwóch plikach go nie wykrył?

Poniżej log z combofixa:

http://wklej.org/id/154780/

Jeszcze jedno pytanie - ComboFix ściągnął i zainstalował mi coś co nazywa się "konsola odzyskiwania systemu". Można to jakoś odinstalować? I czy przywracanie systemu mam zostawić wyłączone na stałe?

Wspominałeś też wczesniej o plikach .scr. Ani kaspersky ani CureIt nie wykrył w żadnym pliku .scr wirusa. Można je zostawić w spokoju czy usuwać?


(deFco247) #12

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

Te dwa pliki same w sobie są infekcjami. :stuck_out_tongue:

Mam nadzieję, ze skanowałeś najpierw Dr.Web'em , a potem Kasperskim.


(ancek) #13

No niestety nie. Najpierw zrobilem skan kaspersky rescue disk, a potem juz w windowsie dr web cureit (tak jak napisales w swoim pierwszym poscie). Zrobic jeszcze raz KRD lub dr web live cd?


(deFco247) #14

No to moja pomyłka. Myślałem, że chodzi o Kaspersky Virus Removal Tool.

Zrobiłeś dobrze. :slight_smile:

Wykonałeś skrypt Combofixa?


(ancek) #15

Zrobie to wieczorem bo w tej chwili nie jestem u siebie :slight_smile:

-- Dodane 24.09.2009 (Cz) 20:18 --

Ok. Wykonałem skrypt. tym razem combofix zachował się nieco inaczej bo zrestetował kompa. Zapomniałem jeszcze wspomnieć wcześniej, że menedżer i regedit odblokował sie juz po pierwszym puszczeniu combofixa. Poniżej log z CF po wykonaniu skryptu. Mam nadzieje, że już jest ok :slight_smile:

http://wklej.org/id/155479/

A co zrobic z przywracaniem systemu i tą konsolą odzyskiwania?


(deFco247) #16

Log wygląda na czysty.

Zastosuj OTC.

Wyczyść rejestr i dysk CCleaner.

Usuń zbędniki z autostartu.

Przywracanie systemu już możesz włączyć. Konsolę Odzyskiwania możesz usunąć tak jak tutaj podano: http://technet.microsoft.com/pl-pl/libr ... 10%29.aspx

Wykonaj punkty 8-12


(ancek) #17

Ok zrobiłem to. Dziwna rzecz bo po przeczyszczeniu rejestru CCleaner usunął mi np OTL, HJT, Gmera i inne te programy diagnostyczne. Tak miało być? I jeszcze po CCcleanerze przez pomyłkę pusciłem drugi raz OTC, mam nadzieje ze to niczego nie schrzani:P?

Co do tych zbędników.. to sie robi HJthisem? I mam sam zdecydować co wywalić?


(deFco247) #18

Zbędniki najlepiej usuwać w CCleanerze: zakładka Narzędzia -> Autostart