Wirus blokujący rejestr i menedżera zadań

nothing94 · 12 Wrzesień 2012 15:51

Tak jak w temacie, ostatnio złapałem jakiegoś syfka co blokuje mi regedit i taskmgr. Skanowalem MBAM’em i trojan remover - wykryły to samo (2 jakieś zagrożenia co dezaktywowały właśnie rejestr i menedżera) i niby usuneły, lecz po wskazanym restarcie nadal to samo, więc daje tutaj logi z OTL’a i proszę o dalszą pomoc

http://wklej.to/pg3iv

http://wklej.to/TRgvg

Atis · 12 Wrzesień 2012 16:08

Wirus Sality który infekuje wszystkie pliki wykonywalne.

Wyłącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Skanuj wszystkie partycje i lecz zainfekowane pliki.

SalityKiller lub Klik
Dr.WEB CureIt wykonaj Pełne skanowanie.

Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.

nothing94 · 13 Wrzesień 2012 13:30

Sality killer już nic nie wykrywa, za pierwszym razem wszystko wyleczył i do tego sprawdzałem drugi raz i czysto, a co do dr web cure it to nie mogłem go jak nigdy odpalić, komputer się mulił i jakoś się nie dało, ale przeskanowałem OTL :

http://wklej.to/Kmg7R

http://wklej.to/g8y4g

Leon1 · 13 Wrzesień 2012 13:43

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL IE - HKU\S-1-5-21-1844237615-602609370-1177238915-1003…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found IE - HKU\S-1-5-21-1844237615-602609370-1177238915-1003…\SearchScopes,DefaultScope = {571E5BB4-4200-400C-8C9E-435C43AFCA0E} IE - HKU\S-1-5-21-1844237615-602609370-1177238915-1003…\SearchScopes{7EC8E4DB-3C72-4C7B-9701-48E205DCDAA8}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_PL&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=1964e0ee-38d6-442c-9441-aa153fd2d86d&apn_sauid=917A83F4-26C5-44A9-91AA-10C43597EED5 FF - prefs.js…browser.search.order.1: “Ask.com” FF - HKLM\Software\MozillaPlugins@mcafee.com/SAFFPlugin: File not found FF - HKLM\Software\MozillaPlugins@ngm.nexoneu.com/NxGame: File not found FF - HKLM\Software\MozillaPlugins@tools.google.com/Google Update;version=3: File not found FF - HKLM\Software\MozillaPlugins@tools.google.com/Google Update;version=9: File not found [2012-07-23 12:48:29 | 000,002,413 | ---- | M] () – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\triecisb.default\searchplugins\askcom.xml O3 - HKLM…\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-1844237615-602609370-1177238915-1003…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinsta … s-i586.cab (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta … s-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta … s-i586.cab (Reg Error: Key error.) [2012-09-13 16:22:02 | 000,001,028 | ---- | M] () – C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2012-09-13 16:22:02 | 000,000,276 | ---- | M] () – C:\WINDOWS\tasks\Game_Booster_AutoUpdate.job [2012-09-13 16:12:00 | 000,000,930 | ---- | M] () – C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2012-09-13 15:53:00 | 000,001,032 | ---- | M] () – C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Program Files\Steam\Steam.exe” = C:\Program Files\Steam\Steam.exe:*:Enabled:ipsec – (Valve Corporation) “C:\Dzony-Loker\mirc.exe” = C:\Dzony-Loker\mirc.exe:*:Enabled:mIRC “E:\Camerion\Camerion.exe” = E:\Camerion\Camerion.exe:*:Enabled:Camerion “C:\Documents and Settings\All Users\Dane aplikacji\NexonEU\NGM\NGM.exe” = C:\Documents and Settings\All Users\Dane aplikacji\NexonEU\NGM\NGM.exe:*:Enabled:Nexon Game Manager “E:\Combat Arms EU\CombatArms.exe” = E:\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe “E:\Combat Arms EU\NMService.exe” = E:\Combat Arms EU\NMService.exe:*:Enabled:Nexon Messenger Core “E:\Combat Arms EU\Engine.exe” = E:\Combat Arms EU\Engine.exe:*:Enabled:Combat Arms “E:\Różne\Camerion\Camerion.exe” = E:\Różne\Camerion\Camerion.exe:*:Enabled:Camerion “C:\Documents and Settings\user\Moje dokumenty\Pobieranie\Draenor2 Klient\metin2client.bin” = C:\Documents and Settings\user\Moje dokumenty\Pobieranie\Draenor2 Klient\metin2client.bin:*:Enabled:metin2client “E:\Różne\Metin2-Balmora\metin2client.dll” = E:\Różne\Metin2-Balmora\metin2client.dll:*:Enabled:metin2client – () “E:\Metin2\metin2mod_2011sf.exe” = E:\Metin2\metin2mod_2011sf.exe:*:Enabled:metin2mod_2011sf “C:\Program Files\Winamp\winamp.exe” = C:\Program Files\Winamp\winamp.exe:*:Enabled:Winamp – (Nullsoft, Inc.) “C:\Program Files\uTorrent\uTorrent.exe” = C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent – (BitTorrent, Inc.) “E:\Różne\Overspeed\dedicated server.exe” = E:\Różne\Overspeed\dedicated server.exe:*:Enabled:Overspeed Dedicated Server “E:\Różne\Overspeed\LASR.exe” = E:\Różne\Overspeed\LASR.exe:*:Enabled:Overspeed “E:\Różne\Metin2\metin2mod_2011sf.exe” = E:\Różne\Metin2\metin2mod_2011sf.exe:*:Enabled:metin2mod_2011sf “C:\Documents and Settings\user\Pulpit[PC] Pro Evolution Soccer 2008 [ENG] [dopeman]\Pro Evolution Soccer 2008\PES2008.exe” = C:\Documents and Settings\user\Pulpit[PC] Pro Evolution Soccer 2008 [ENG] [dopeman]\Pro Evolution Soccer 2008\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008 “C:\WINDOWS\explorer.exe” = C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec – (Microsoft Corporation) “E:\Różne\Metin2\metin2client.bin” = E:\Różne\Metin2\metin2client.bin:*:Enabled:Metin2Client “C:\WINDOWS\system32\dpvsetup.exe” = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test – (Microsoft Corporation) “C:\Documents and Settings\user\Moje dokumenty\Downloads\Steam Hack v16\hax.exe” = C:\Documents and Settings\user\Moje dokumenty\Downloads\Steam Hack v16\hax.exe:*:Enabled:ipsec “C:\Program Files\Malwarebytes’ Anti-Malware\mbam.exe” = C:\Program Files\Malwarebytes’ Anti-Malware\mbam.exe:*:Enabled:ipsec – (Malwarebytes Corporation) “C:\Program Files\eBoostr\eBoostrCP.exe” = C:\Program Files\eBoostr\eBoostrCP.exe:*:Enabled:ipsec – (eBoostr.com) “C:\Program Files\Mozilla Firefox\firefox.exe” = C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:ipsec – (Mozilla Corporation) “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” = C:\Program Files\ATI Technologies\ATI.ACE\cli.exe:*:Enabled:ipsec – (ATI Technologies Inc.) “C:\Program Files\TeamSpeak 3 Client\ts3client_win32.exe” = C:\Program Files\TeamSpeak 3 Client\ts3client_win32.exe:*:Enabled:ipsec – (TeamSpeak Systems GmbH) “C:\Program Files\CPUCooL\CPUCooL.exe” = C:\Program Files\CPUCooL\CPUCooL.exe:*:Enabled:ipsec “C:\Program Files\Steam\GameOverlayUI.exe” = C:\Program Files\Steam\GameOverlayUI.exe:*:Enabled:ipsec – (Valve Corporation) “C:\Program Files\Steam\steamapps\n0fear94\counter-strike\hl.exe” = C:\Program Files\Steam\steamapps\n0fear94\counter-strike\hl.exe:*:Enabled:Counter-Strike – (Valve) :Commands [RESETHOSTS] [emptytemp]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

nothing94 · 13 Wrzesień 2012 14:26

log z usuwania : http://wklej.to/LzYHP

OTL : http://wklej.to/24Vmh

Extras : http://wklej.to/MhIHQ

Leon1 · 13 Wrzesień 2012 14:38

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp (Sprzątanie)

Wyłącz i włącz przywracanie systemu na wszystkich dyskach http://support.microsoft.com/kb/310405/pl

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

nothing94 · 13 Wrzesień 2012 15:04

zrobione, przywracanie systemu wcześniej wyłączyłem po instrukcji kolegi wyżej, więc wystarczyło tylko włączyć a co do Dr.WEB CureIt! nadal nie mogę zeskanować, nie pojawia się dalsze okno w trybie TRO po zezwoleniu na szybki skan.

Leon1 · 13 Wrzesień 2012 15:29

Dr.WEB CureIt!

pobierz jeszcze raz

skan spróbuj w trybie awaryjnym

nothing94 · 14 Wrzesień 2012 13:01

niestety nie udało się, ściągałem kilka razy i nic, a tryb awaryjny mi nie działa tj. po wybraniu opcji tryb awaryjny i wyświetleniu tych plików komputer resetuje się.

Atis · 14 Wrzesień 2012 13:17

Spróbuj przeskanować bez rozszerzonej ochrony TRO

Napraw tryb awaryjny uszkodzony przez wirusa Sality.

Pobierz i rozpakuj archiwum:

http://support.kaspersky.com/downloads/ … egkeys.zip

Uruchom plik SafeBootWin XP

Dysk przeskanuj ESET Online Scanner

nothing94 · 16 Wrzesień 2012 10:26

Udało się przeskanować Dr.Web CureIt! w TRO w trybie normalnym i nic nie wykrył, tryb awaryjny już działa także, ESET Online Scanner też nic nie wykrył, lecz mi się wydaję że coś pozostało po tym wirusie ponieważ od wczoraj nie mogę odpalić jednego programu, a mianowicie “Steam”, wpisuje passy do niego i po 3-4 sekundach od pokazania się okna logowania, całkowicie on się wyłącza. Czytałem na forum właśnie steama, że być może to jakiś wirus. Dodam, że w trybie awaryjnym normalnie działa Steam. Więc jak byś mógł mi z tym pomóc jeszcze to z góry dzięki