Wyłącza rejestr i menadżer zadań

karaczan · 1 Maj 2010 15:41

Witam, mój braciszek ściągnął jakiegoś wirusa.

Wirus blokuje dostęp do rejestru i menadżera zadań.

Kilkukrotnie usunął go Malwarebyte Anti-Malware, jednak po restarcie trojany znów się pojawiają.

Oto logo:

Malwarebytes’ Anti-Malware 1.45

http://www.malwarebytes.org

Wersja bazy: 3930

Windows 5.1.2600 Dodatek Service Pack 3

Internet Explorer 8.0.6001.18702

2010-05-01 16:31:21

mbam-log-2010-05-01 (16-31-21).txt

Typ skanowania: Szybkie skanowanie

Przeskanowano obiektów: 106369

Upłynęło: 2 minut(y), 53 sekund(y)

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 0

Zainfekowanych wartości rejestru: 1

Zainfekowane informacje rejestru systemowego: 3

Zainfekowanych folderów: 0

Zainfekowanych plików: 1

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:

(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows update (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Zainfekowane informacje rejestru systemowego:

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System\DisableCMD (Hijack.CMDPrompt) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Zainfekowanych folderów:

(Nie znaleziono zagrożeń)

Zainfekowanych plików:

C:\WINDOWS\system32\73260.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.

deFco247 · 1 Maj 2010 15:43

Nie podawaj tutaj w żadnym wypadku adresów do niebezpiecznych elementów itd., dyż to może stanowić wielkie zagrożenie. Wstawiaj linki w postaci hxxp://adres.com/adres.html

Pokaż log z RSIT.

Zawartość logów wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

karaczan · 1 Maj 2010 15:50

Oto log http://wklej.org/id/326398/

deFco247 · 1 Maj 2010 15:54

Tutaj jednak jest inna infekcja od oczekiwanej i będzie konieczne zastosowanie Combofix.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Pokaż log.

karaczan · 1 Maj 2010 16:15

[GMT 2:00]

Uruchomiony z: C:\Documents and Settings\Jakub\Pulpit\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA

.

o to chodziło ? Zrobił sie combofix po czym komputer sie uruchomil od nowa.

Menadżer działa, nie ma dziwnego procesu 73260.exe, który sie sam uruchamiał.

I jak klikałem alt+tab to byl widoczny teraz go nie ma, to koniec moich komputerowych problemow ?

Rejestr takze działa.

deFco247 · 1 Maj 2010 16:18

To w ogóle nie jest log, praktycznie wszystko uciąłeś.

No i tak jak napisałem wcześniej nie wklejaj logów na forum, tylko na specjalnie do tego przeznaczone strony, a tutaj wstawiaj link.

karaczan · 1 Maj 2010 16:20

W folderze z Combofixem na dysku C mialem tylko taki zapis w notatniku u gory byly tylko dane prywatne ktore usunolem. Poki co dziła czy mozliwe, że już po wszystkim ? Czy raczej nie ma sie co łudzić ?

deFco247 · 1 Maj 2010 16:21

Log z Combofixa się znajduje w pliku C:\Combofix.txt

karaczan · 1 Maj 2010 16:24

Nie mam takiej ścieżki, będę za jakiś czas. Przeskanowalem znow Malwerbytes’em Anti-Malware nie wykazalo bledu http://wklej.org/id/326428/

Wracam za 2h.

Czy to mozliwe, ze usunelo juz zagrozenie ?

Pozdrawiam

– Dodane 01.05.2010 (So) 21:00 –

Jeszcze tylko pozostaje problem z zaporą windows ten trojan jakoś ją zablokował i nie mogę jej włączyć nawet przez panel sterowania tam gdzie jest “włącz” jest na szaro i nie da sie.

Da się coś z tym zrobić ?

deFco247 · 1 Maj 2010 19:09

Najlepiej pokaż logi z OTL.

OTL ustawiasz jak na tym obrazku.

Klikasz Run Scan.

Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt

karaczan · 1 Maj 2010 19:16

http://wklej.org/id/326520/

http://wklej.org/id/326522/

deFco247 · 1 Maj 2010 19:26

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:OTL SRV - File not found [Auto | Stopped] – -- (PEVSystemStart) SRV - File not found [Auto | Stopped] – -- (HDD & SSD access service) O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O4 - HKLM…\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-1085031214-1364589140-839522115-1003…\Run: [Firefox] C:\Documents and Settings\Jakub\Ustawienia lokalne\Temp\73260.exe File not found O7 - HKU\S-1-5-21-1085031214-1364589140-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 01 00 00 00 [binary data] O7 - HKU\S-1-5-21-1085031214-1364589140-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 01 00 00 00 [binary data] O7 - HKU\S-1-5-21-1085031214-1364589140-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 03 00 00 00 [binary data] O7 - HKU\S-1-5-21-1085031214-1364589140-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoComputersNearMe = 01 00 00 00 [binary data] O7 - HKU\S-1-5-21-1085031214-1364589140-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 01 00 00 00 [binary data] O7 - HKU\S-1-5-21-1085031214-1364589140-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 01 00 00 00 [binary data] O7 - HKU\S-1-5-21-1085031214-1364589140-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoNetworkConnections = 01 00 00 00 [binary data] O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O9 - Extra ‘Tools’ menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found [2010-05-01 18:06:52 | 000,000,000 | —D | C] – C:\Qoobox [2010-05-01 20:58:39 | 000,054,016 | ---- | M] () – C:\WINDOWS\System32\drivers\sdwo.sys :Commands [emptytemp] [start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.

karaczan · 1 Maj 2010 19:33

http://wklej.org/id/326527/

mam tak jak na tym obrazku: http://pl.tinypic.com/r/vipel2/5

wcześniej raczej nie mialem na pasku zadań obok godziny tej tarczy.

Może potraktować spybotem bo znalazlem podobny temat z zapora i pomoglo.

– Dodane 01.05.2010 (So) 22:42 –

Powtórzyłem OTL, bo po wykonaniu spybota chyba cos usunelo z rejestru i jak sie komputer wlaczal wyskoczylo sporo okienek biosowskich ale windows ruszyl.

Sprawdzilem rejestr w poszukiwaniu błedów ccleaner’em i naprawiło wszystko, po uruchomieniu komputer sie juz właczyl normalnie bez komunikatow biosu.

Jednak na wszelki wypadej logi z OTL:

http://wklej.org/id/326562/

http://wklej.org/id/326563/

Problem z zaporą dalej występuje.

– Dodane 02.05.2010 (N) 2:28 –

Udało mi się zaporę włączyć chyba już wszystko ok.

Czym zeskanować na koniec by mieć pewność, że wszystko gra ?

– Dodane 02.05.2010 (N) 9:22 –

Czy mam uruchomiony jakiś niepotrzebny proces ? :http://img718.imageshack.us/img718/8184/beztytuufx.jpg