Wyłączony task manager. Infekcja?


(Gniewomir85) #1

Zauważyłem, że od pewnego czasu nie mogę uruchomić menadżera zadań. Próba włączenia go przez programik TaskManagerFix również się nie powiodła. Podejrzewam, że w systemie buszuje jakiś trojan, mimo że AdAware i SpyBot nie znalazły żadnej infekcji.

Byłbym wdzięczny za pomoc w analizie loga. Chciałbym się dowiedzieć, czy to moja paranoja, czy też infekcja. Moja praca niestety wymaga pewności w tej kwestii.

Log z * Trend Micro HijackThis v2.0.2 * :

http://wklej.org/id/699ff4f1f8

Pozdrawiam i z góry dziękuję za pomoc.

UPDATE:

Ciekawa sprawa, używam Process Explorera 10.21 - plik znajduje się na miejscu, ale uruchomienie go ręcznie kliknięciem w ikonkę jest niemożliwe, ponieważ dostaję komunikat że system nie może odnaleźć pliku. Jednak, jeśli zmienić jego nazwę uruchamia się bez problemu. Przeglądam właśnie listę procesów.


(Gutek) #2

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Wklej do notatnika:

REGEDIT4


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000000


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000000

"**del.DisableTaskMgr"=" "


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

"DisableTaskMgr"=dword:00000000

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą TASKMG.REG

Plik podwójnie klikasz i potwierdzasz.

Daj log z ComboFix


(Gniewomir85) #3

1 Po scaleniu modyfikacji rejestru menadżer zadań wciąż nie działał.

2 Po próbie odpalenia go przez alt+ctrl+del, nagle przycięło komputer kursor zaczął skakać i nastąpił restart.

3 Po restarcie sytuacja bez zmian. Menadżera nie da się odpalić nawet ręcznie, bo informuje o braku takiego pliku.

4 Po zapuszczeniu ComboFix(włącznie z restartem) menadżer zaczął działać (= odpala się po alt+ctrl+del)

Log z ComboFix:

http://wklej.org/id/92ecea087a

Nowy log z HijackThis:

http://wklej.org/id/99dfd3e3bc

Dziękuję bardzo za pomoc, lecz wciąż jestem ciekaw, co mnie dopadło?


(Gutek) #4

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.

Wklej do Notatnika:

File::

C:\WINDOWS\system32\taskmgr2.exe

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.


(Gniewomir85) #5

UPDATE: Dwie pierwsze opcje Worms Doors Cleaner'a OK, trzecia ustawiona na default (jestem w domowym LANie)

Dwie ostatnie opcje są dla Windows Worms Doors Cleaner'a niedostępne -> "Value in registry can't be opened"

Możliwe że gryzie się to z Zone Alert bądź ochroną ustawień systemu SpyBota.


Już z przyzwyczajenia :slight_smile:

Log ComboFix:

http://wklej.org/id/ee13d99f59

Log HijackThis:

http://wklej.org/id/4ae3fbe0b7


Jak sądzę to wszystko, więc zostaje mi podziękować za pomoc. Dobra robota! Wirtualne piwo dla Ciebie Gutek2222. :smiley:

Kłaniam się


(Gutek) #6

Ja już nic nie widzę