Zablokowany dostęp do RegEdit i TaskMgr

[krzychu0808]

Witam...

Wczoraj wieczorem załapałem jakąś infekcję systemu nie mogę Uruchomić Menedżera Zadań oraz Edytora Rejestru. Gdy chcę uruchomić dostaję komunikat że dostęp został zablokowany przed administratora. Odpaliłem ComboFix niby pomogło ale po restarcie problem powraca. Przyznaję się bez bicia że nie zainstalowałem jeszcze Antywirusa po formacie.

 

System: Windows 7 64bit

 

W załączniku dodaję Logi z OTL

 

Przepraszam bardzo ale te skany OTL zostały zrobione po naprawie przez ComboFix, logi z dopiskiem 2 są zrobione po restarcie z występującym problemem.

 

Proszę o pomoc i pozdrawiam

OTL.Txt

Extras.Txt

OTL_2.Txt

Extras_2.Txt

[picasso]

Na temat używania ComboFix: KLIK. Skoro go uruchomiłeś, to należało przedstawić log, który utworzył (C:\ComboFix.txt). Ale zostaw to już, bo:

 

 

Odpaliłem ComboFix niby pomogło ale po restarcie problem powraca. Przyznaję się bez bicia że nie zainstalowałem jeszcze Antywirusa po formacie.

 

ComboFix nie pomoże, a blokady wracają, bo w systemie działa wirus Sality, który infekuje wszystkie wykonywalne na wszystkich dyskach. Masz system 64-bit, czyli o tyle szczęśliwiej, że są infekowane tylko 32-bitowe pliki. Sality rozpoznany po blokadach, które opisujesz, oraz charakterystycznych autoryzacjach w zaporze systemowej, procesy mają oznaczenie "ipsec":

 

========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\ComboFix\NircmdB.exe" = C:\ComboFix\NircmdB.exe:*:Enabled:ipsec
"C:\Users\Krzysiek\Desktop\Adobe Photoshop CS5 PL\Adobe_CS5_Activator.exe" = C:\Users\Krzysiek\Desktop\Adobe Photoshop CS5 PL\Adobe_CS5_Activator.exe:*:Enabled:ipsec
"C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" = C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe:*:Enabled:ipsec -- (Sun Microsystems, Inc.)
"C:\ComboFix\NircmdB.exe" = C:\ComboFix\NircmdB.exe:*:Enabled:ipsec
"C:\Users\Krzysiek\Desktop\Adobe Photoshop CS5 PL\Adobe_CS5_Activator.exe" = C:\Users\Krzysiek\Desktop\Adobe Photoshop CS5 PL\Adobe_CS5_Activator.exe:*:Enabled:ipsec
"C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" = C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe:*:Enabled:ipsec -- (Sun Microsystems, Inc.)

 

Na tej podstawie już można stwierdzić, że zarażone wirusem są: ComboFix, Photoshop, Java. Ale z pewnością jest tego o wiele więcej, a cykl zarażania kolejnych programów w toku. Leczenie jest bolesne, infekcja szybko się rozprzestrzenia. Wspominasz, że system jest zaraz po formacie, w związku z tym proponuję się nie męczyć tylko formatować ponownie, bo po leczeniu i tak brak 100% sprawności i może się okazać, że i tak będzie wymagana reinstalacja uszkodzonych programów i podmiana określonych plików Windows. Ale uwaga: wirus skądś się wziął, tu jest podejrzenie, że masz gdzieś zachomikowane pliki, które są zarażone wirusem, a ich uruchomienie po formacie znów zainicjuje infekcję. Dysków masz sporo:

 

Drive C: | 60,00 Gb Total Space | 24,53 Gb Free Space | 40,88% Space Free | Partition Type: NTFS
Drive D: | 164,00 Gb Total Space | 30,50 Gb Free Space | 18,60% Space Free | Partition Type: NTFS
Drive E: | 8,71 Gb Total Space | 0,58 Gb Free Space | 6,60% Space Free | Partition Type: NTFS

 

Zalążek wirusa może być na każdym z nich. Po formacie dysku i instalacji Windows nic nie instaluj, nie uruchamiaj żadnych plików z dysków D i E, zainstaluj antywirusa i zrób pełny skan tych partycji.

 

 

 

.

[krzychu0808]

Norton Internet Security wykryje pliki zarażone ? Jeżeli tak to zrobić Format i od razu zainstalować Nortona i full skan ?

[picasso]

Sality jest wykrywany chyba przez wszystkie główne popularne antywirusy. Tak więc Norton Internet Security może być. Skan pełny, wszystkie dyski. Przypominam: po formacie nie uruchamiaj żadnych plików z innych dysków.