Wirus: 60 sekund i restart -> nieaktywny menadżer zadań

AM23 · 23 Listopad 2013 17:05

Jakiś czas temu nie mogłem zalogować się na swoje konto z powodu wirusa, który odliczał 60 sekund i uruchamiał komputer ponownie. Dziś, z nieznanej mi przyczyny, problem już nie występuje, zauważyłem jednak, iż menadżer zadań jest nieaktywny. Zakładam, że oba zdarzenia są ze sobą w jakiś sposób powiązane. Poniżej załączam logi z OTL:

OTL - http://www.wklej.org/id/1186160/

Extras - http://www.wklej.org/id/1186164/

Byłbym wdzięczny za sprawdzenie, czy wszystko jest w porządku.

Atis · 23 Listopad 2013 19:25

Wirus Sality który infekuje wszystkie pliki wykonywalne.

Skanuj wszystkie partycje i lecz zainfekowane pliki.

SalityKiller lub KLIK
Dr.Web CureIt lub KLIK Przeskanuj wszystkie dyski: KLIK
Kaspersky Virus Removal Tool 2011 lub KLIK

W zakładce Scan scope zaznacz wszystkie dyski:

Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.

AM23 · 26 Listopad 2013 18:55

Trochę to trwało, niemniej jednak w końcu się udało - skanery już nic nie wykrywają, zaś menadżer zadań jest aktywny. Poniżej załączam nowy log:

OTL - http://www.wklej.org/id/1189272/

Atis · 26 Listopad 2013 19:06

Pobierz i rozpakuj archiwum:

http://support.kaspersky.com/downloads/ … egkeys.zip

Uruchom plik SafeBootWin XP

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ZTEusbser6k.sys – (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ZTEusbnmea.sys – (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ZTEusbmdm6k.sys – (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\massfilter.sys – (massfilter) [2013-01-05 16:46:00 | 000,002,669 | ---- | M] () – C:\Documents and Settings\AdaM\Dane aplikacji\Mozilla\Firefox\Profiles\5uurnvqb.default\searchplugins\BitGuard.xml O3 - HKLM…\Toolbar: (no name) - !{07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - !{46897C77-E7A6-4c33-BFFB-E9C2E2718942} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - !{EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-842925246-1844237615-1417001333-1004…\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKU.DEFAULT…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found :Files netsh firewall reset /c :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

AM23 · 26 Listopad 2013 19:31

Raport z usuwania - http://www.wklej.org/id/1189324/

OTL - http://www.wklej.org/id/1189337/

Atis · 27 Listopad 2013 07:47

Użyj kavremover i usuń AVP Tool:

http://support.kaspersky.com/pl/common/service

Wklej i kliknij Wykonaj skrypt:

:OTL DRV - File not found [File_System | On_Demand | Stopped] – c:\documents and settings\adam\ustawienia lokalne\temp\E3506D856.sys – (E3506D856) DRV - File not found [File_System | On_Demand | Stopped] – c:\documents and settings\adam\ustawienia lokalne\temp\E34E222A4.sys – (E34E222A4) IE - HKU.DEFAULT…\SearchScopes{33524C00-63FB-43DB-A6BF-0A4E14B24649}: “URL” = http://www.basicscan.com/?prt=BASICSCAN115&keywords={searchTerms} IE - HKU\S-1-5-18…\SearchScopes{33524C00-63FB-43DB-A6BF-0A4E14B24649}: “URL” = http://www.basicscan.com/?prt=BASICSCAN115&keywords={searchTerms} O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found [2013-11-25 10:04:39 | 000,000,000 | —D | C] – C:\AdwCleaner [2013-11-23 21:08:47 | 000,000,000 | —D | C] – C:\Documents and Settings\AdaM\Doctor Web [2013-11-26 20:22:10 | 000,000,354 | ---- | M] () – C:\WINDOWS\tasks\Lyrmix Update.job [2012-06-26 19:44:27 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\529C50D800006BAF006D22E80CDF108C [2012-04-25 15:22:57 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\log

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Zabezpiecz się przed infekcją z USB: Panda USB Vaccine

AM23 · 29 Listopad 2013 21:18

Dzięki wielkie za pomoc i poświęcony czas. Pzdr.