Zablokowany dostęp do regedit i taskmgr

Zacek · 16 Kwiecień 2012 13:11

WItam.

Czytałem o tym problemie i zapewne to jest wirus ale nadal nie wiem jak go usunąć.

C:\DOCUME~1\MICHA~1\USTAWI~1\Temp\winhisuj.exe

C:\DOCUME~1\MICHA~1\USTAWI~1\Temp\winyojs.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Hijackthis wskazuje te linijki. Nie da sie usunąc tych plików ponieważ są uruchomione a nie da sie ich zakończyć ponieważ menedżer jest zablokowany. Nie wiem jak to usunąć

ComboFix usuął 1 plik …/system32/autorun.inf.

Ten syf nadal tkwi w procesach i za każdym razem po naprawie w Hijacku uruchamia się od nowa.

Atis · 16 Kwiecień 2012 13:22

Pokaż logi z OTL:

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741

Dysk przeskanuj Dr.WEB CureIt

Jeżeli coś wykryje to zapisz raport: Plik -> Zapisz listę raportu

Zacek · 16 Kwiecień 2012 13:45

Niestety nie zdarzyłem zapisać loga z DR.WEB ale usunął te 2 wczesniejsze zainfekowane pliki.

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Jednak nadal pozostaje ta linijka naprawa w Hijacku nic nie daje ponieważ uruchamia się od nowa. @Edit Wrócił plik…

C:\DOCUME~1\MICHA~1\USTAWI~1\Temp\winnglus.exe

Atis · 16 Kwiecień 2012 13:52

Czy masz jakiś problem z czytaniem?

Pokaż logi z OTL lub przestań zaśmiecać forum.

Zacek · 16 Kwiecień 2012 14:02

http://wklej.to/tWbi7 Extras

http://wklej.to/WxQID OTL

Atis · 16 Kwiecień 2012 14:39

To jest wirus Sality który infekuje wszystkie pliki wykonywalne.

Dziwne jest to, że Dr.WEB CureIt wykrył tylko dwa zainfekowane pliki, bo akurat ten skaner dobrze wykrywa tego wirusa.

Skanuj wszystkie partycje i lecz zainfekowane pliki.

SalityKiller

Kaspersky Virus Removal Tool 2011

usuwanie-znanych-wirusow-sality-itp-t370365.html

Podłączyłeś zainfekowany pendrive H

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\kqornr.sys -- (amsint32)

O32 - AutoRun File - [2004-08-04 00:44:26 | 000,000,306 | RHS- | M] () - H:\autorun.inf -- [FAT32]

O7 - HKU\S-1-5-21-789336058-1993962763-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O7 - HKU\S-1-5-21-789336058-1993962763-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1


:Files

autorun.inf /alldrives


:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pendrive zabezpiecz Panda USB Vaccine

Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.