Zablokowany manager zadań


(Wektork) #1

gdy probuje go wlaczyc alt ctrl delete wyskakuje komunikat ze "manager zadan zostal wylaczony przez administratora" jest to windows xp ... brat wlazl na kompa i już na mieszał... pomocy


(Cosik Ktosik) #2
Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=-


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

"DisableTaskMgr"=-

wklej to do notatnika i zapisz jako fix_task.reg

kliknij dwa razy na tym pliku, dodaj do rejestru, uruchom ponownie kompa.

Może podłapałeś jakiegoś syfa. Daj logi z HijackThis


(Wektork) #3
Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:05:01, on 2008-05-24

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

C:\WINDOWS\System32\RunDLL32.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Program Files\WinFast\WFTVFM\WFTV.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:\Program Files\ivo\Expressivo\IH_iexplore.dll

O3 - Toolbar: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:\Program Files\ivo\Expressivo\IH_iexplore.dll

O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O21 - SSODL: gnowmebk - {5B38768F-09BE-441F-883D-560E10ACAA32} - C:\WINDOWS\gnowmebk.dll

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe


--

End of file - 2702 bytes

(Cosik Ktosik) #4

To mi wygląda na syf: O21 - SSODL: gnowmebk - {5B38768F-09BE-441F-883D-560E10ACAA32} - C:\WINDOWS\gnowmebk.dll

do zafixowania, ale poczekaj, aż ktoś lepszy w te klocki ode mnie się na ten temat wypowie.


(Wektork) #5

daje fix checked ale po chwili znow sie pojawia

[i]W dniu [b]24.05.2008[/b], o godzinie [b]0:33[/b] został dopisany post przez wektork[/i]


znalazlem w necie program anti-malware 

Malwarebytes' Anti-Malware 1.12

Database version: 782


Scan type: Quick Scan

Objects scanned: 34317

Time elapsed: 4 minute(s), 20 second(s)


Memory Processes Infected: 0

Memory Modules Infected: 1

Registry Keys Infected: 4

Registry Values Infected: 2

Registry Data Items Infected: 0

Folders Infected: 2

Files Infected: 7


Memory Processes Infected:

(No malicious items detected)


Memory Modules Infected:

C:\WINDOWS\gnowmebk.dll (Trojan.FakeAlert) -> Unloaded module successfully.


Registry Keys Infected:

HKEY_CURRENT_USER\Software\Adsl Software Limited (Rogue.MalWarrior) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{5840b02d-a8cb-4830-9da0-c2fd1639490d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\gktxaspm.bmbr (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\gktxaspm.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.


Registry Values Infected:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{c95fe080-8f5d-11d2-a20b-00aa003c157a} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\gnowmebk (Trojan.FakeAlert) -> Delete on reboot.


Registry Data Items Infected:

(No malicious items detected)


Folders Infected:

C:\Documents and Settings\All Users\Dane aplikacji\Adsl Software Limited (Rogue.MalWarrior) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Dane aplikacji\Adsl Software Limited\WinSpywareProtect (Rogue.MalWarrior) -> Quarantined and deleted successfully.


Files Infected:

C:\Documents and Settings\pppp\Ustawienia lokalne\Temp\setup_526_1_.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Dane aplikacji\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe (Rogue.MalWarrior) -> Quarantined and deleted successfully.

C:\WINDOWS\pxgdslro.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\mdtgkswr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\gnowmebk.dll (Trojan.FakeAlert) -> Delete on reboot.

C:\WINDOWS\gktxaspm.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\pppp\Ustawienia lokalne\Temp\msprint.exe (Trojan.Agent) -> Quarantined and deleted successfully.

W dniu 24.05.2008 , o godzinie 0:36 został dopisany post przez wektork

nie wiem który zabieg pomógł ale manager po restarcie dziala...

W dniu 24.05.2008 , o godzinie 0:49 został dopisany post przez wektork

i tego syfu juz hijack nie wykrywa


(huber2t) #6

Daj nowego loga z hijackthis i combofix


(Agatonster) #7

wektork ,

Poczytaj - Konkretne tematy... ze zwróceniem szczególnej uwagi na pierwszy post.

Proszę poprawić tytuł tematu na konkretny, mówiący o problemie.

Proszę poprawić pisownię w opisie problemu.

W celu dokonania korekty proszę użyć przycisku ac7a4cd89050aa6e.gifprzy poście otwierającym ten temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

Ważne

wklejając logi na farum - przeczytaj i zastosuj się do Tematu


(Wektork) #8
Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:25:32, on 2008-05-24

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

C:\WINDOWS\System32\RunDLL32.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:\Program Files\ivo\Expressivo\IH_iexplore.dll

O3 - Toolbar: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:\Program Files\ivo\Expressivo\IH_iexplore.dll

O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O17 - HKLM\System\CCS\Services\Tcpip\..\{84138A26-AA08-4844-AABF-71C40D7A112C}: NameServer = 194.204.152.34,194.204.159.1

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe


--

End of file - 2383 bytes

(huber2t) #9

czysto

Pokaz jeszcze log z combofix