bukimi
4 Listopad 2007 18:42
#1
Niedawno usunąłem z komputera trojana BackDoor (chyba tak się nazywał) - po tym jak zauważyłem, że nie mogę uruchomić menedżera zadań.
W tej chwili komp jest czysty.
Ale nadal przy kombinacji ALT+CTRL+DELETE wyskakuje komunikat "menedżer zadań został wyłączony przez administratora"
Widziałem, że w innych tematach poleciacie wklejenie fix’a do edytora rejestru lub stworzenie takowego za pomocą notanika.
Ale edytor rejestrów równiez nie działa.
"edytor rejestru został wyłączony przez administratora"
Uruchomiłem Windows w trybie awaryjnym i znalazłem tam drugie konto użytkownika o nazwie Administrator zabezpieczone hasłem. (konto jest niewidoczne w trubie normalnym) Hasło udało mi się zdjąć z mojego konta użytkownika. Tylko gdy jestem zalogowany jako Administrator w trybie awaryjnym mam dostęp do menedżera zadań i edytora rejestrów.
Gotowe fix’y polecane w innych tematach uruchomione w trybie awaryjnym nie dają skutku po przełączeniu się z powrotem na normalny tryb. Pradopodobnie dlatego, że odnoszą się do “CURRENT USER” a potrzeba zmian dotyczących wszystkich kont.
Do tego rejestr
LOCAL_MACHINE\Software\Classes\exefile\shell\open\command ma wartość 1 - a dokładnie “%1” %* tak jak było proponowane w innym temacie…
Jeśli ktoś ma jeszcze jakieś pomysły to bardzo proszę o pomoc… Reinstalka Windowsa kosztowałaby mnie wiele zachodu z powodu przenoszenia baz danych i maili z komputera więc staram się jej uniknąć za wszelką cenę…
PS. Właśnie zauważyłem, że komenda cmd (konsola) z menu start->uruchom również jest “zablokowana przez administratora” - "znak zachęty wiersza polecenia został wyłączony przez administratora"
A ja nie mam administratora! To mój komp!
huber2t
4 Listopad 2007 18:53
#2
zapewne wirus ci poprzestawiał coś w rejestrze
Leon1
4 Listopad 2007 18:56
#3
Nie wiem jakie tam fixy próbowałeś na odblokowanie rejestru ale spróbuj ten
Otwórz notatnik i wklej do niego:
[Version]
Signature="$Chicago$"
Provider=Symantec
[DefaultInstall]
AddReg=UnhookRegKey
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0
zapisz jako plik.inf >> wszystkie pliki >> PPM na plik >> zainstaluj >> restart
bukimi
4 Listopad 2007 19:21
#4
Fix zapisany jako .inf i zainstalowany. Po restarcie nadal wszystko zablokowane…
EDIT: Jest postęp! Edytor rejestru już działa! Reszta nie…
Może trzeba to zrobić z poziomu administratora w trybie awaryjnym??
Aha, używam Windows XP Service Pack 2 jakby to robiło róznicę. Bo może rejestry się różnią w róznych wersjach.
Leon1
4 Listopad 2007 19:25
#5
Teraz menadżer
Otwórz notatnik i wklej do niego:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=–
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=–
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=–
Zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart
Jeżeli zadziała to daj logi Combofixa i HijackThisa
bukimi
4 Listopad 2007 19:45
#6
Fix nie zadziałał…
Może ręcznie zmienić któryś wpis rejestru?
Tylko nie wiem który
Jeśli dzięki temu będzie szybciej to moje GG to 5780903…
Leon1
4 Listopad 2007 19:56
#7
Ręcznie
Start >> uruchom >> regedit
odszukaj te ścieżki
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
po prawej w każdej ścieżce odszukaj DisableTaskMgr >> usuń lub zmień 1 na 0
oczywiście po zmianach restart
Na GG nie odpowiadam od tego jest forum
bukimi
4 Listopad 2007 20:08
#8
OK, menedżer działa. Pierwszy wpis z podanych miał 1 i zmieniłem na 0 i działa.
Dzięki wielkie!
Jakby to nie sprawiało problemu to może wiesz jak odblokować konsolę cmd? Przydaje się do sprawdzania czy padła sieć (polecenie ping i inne)
Leon1
4 Listopad 2007 20:14
#9
Wiersz poleceń (cmd)
Start … Uruchom >> regedit
odszukaj
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
w oknie po prawej jak będzie DisableCMD >> usuń lub zmień na 0
bukimi
4 Listopad 2007 22:09
#10
Ok, konsola cmd juz działa.
Wklejam log z HijackThis. Niestety z Combofix nie da rady bo wyskakuje mi bluescreen o błędzie i po zgraniu pamięci na dysk następuje restart. Wolę nie ryzykować, że znowu coś się przez to popsuje
Logfile of HijackThis v1.99.1 Scan saved at 22:49:09, on 2007-11-04 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Eset\nod32kui.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Eset\nod32krn.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Opera\Opera.exe C:\Documents and Settings\Adam\Pulpit\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe” O4 - HKCU…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll ,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [iNTERNATIONAL] International* O15 - Trusted Zone: http://www.polchat.pl O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
