Wirus blokujący Menedżer zadań i rejestr

[Ranym]

Witam. Na moim komputerze kilka dni temu pojawił się dziwny wirus, objawiał się on tym, że blokował mi dostęp do Menedżera zadań, rejestru, oraz po kilku minutach od włączenia pojawiał się komunikat, że mam 60 sekund na zapisanie danych, a po tym czasie wyłączy się komputer. Ten ostatni problem zlikwidowałem poprzez ustawienia w panelu sterowania, jednakże wirus wciąż blokuje mi dostęp do menedżera zadań oraz rejestru (zawsze gry je odblokuje, po ponownym włączeniu komputera problem wraca). Przeskanowałem komputer programem Dr. Web CureIt i rzeczywiście wykrył kilka zainfekowanych plików (zainfekowane wirusem win32.sector.5 i innymi, niestety nie pamietam jakimi, coś w stylu TrojanDownloader lub coś takiego). Przeniósł je do folderu kwarantanna, który następnie usunąłem. Używałem również tego pliku do usuwania Sality, a mianowicie rmslt.exe. Po ponownym uruchomieniu PC wciąż nie mam dostępu do menedżera i rejestru, więc nie pozbyłem się wirusa. Czy ten wirus to Sality? Wszystko na to wskazuje i w logu z OTL jest coś z abp470n5. Co mogę zrobić?

 

Log z GMERa, reszta w załącznikach:

 

 

GMER 1.0.15.15641 - http://www.gmer.net

Rootkit scan 2011-07-17 21:38:16

Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD4000AAJB-00YRA0 rev.12.01C02

Running: ij417o3z.exe; Driver: C:\DOCUME~1\Mynar\USTAWI~1\Temp\kgxirkob.sys

 

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF6A83000, 0x2A12DC, 0xE8000020]

? C:\WINDOWS\system32\drivers\jitlql.sys Nie można odnaleźć określonego pliku. !

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtCreateFile + 6 7C90D0B4 4 Bytes [28, 00, 16, 00]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtCreateFile + B 7C90D0B9 1 Byte [E2]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtMapViewOfSection + 6 7C90D524 1 Byte [28]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtMapViewOfSection + 6 7C90D524 4 Bytes [28, 03, 16, 00]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtMapViewOfSection + B 7C90D529 1 Byte [E2]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenFile + 6 7C90D5A4 4 Bytes [68, 00, 16, 00]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenFile + B 7C90D5A9 1 Byte [E2]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenProcess + 6 7C90D604 4 Bytes [A8, 01, 16, 00]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenProcess + B 7C90D609 1 Byte [E2]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenProcessToken + 6 7C90D614 4 Bytes CALL 7B90EC1A

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenProcessToken + B 7C90D619 1 Byte [E2]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenProcessTokenEx + 6 7C90D624 4 Bytes [A8, 02, 16, 00]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenProcessTokenEx + B 7C90D629 1 Byte [E2]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenThread + 6 7C90D664 4 Bytes [68, 01, 16, 00]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenThread + B 7C90D669 1 Byte [E2]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenThreadToken + 6 7C90D674 4 Bytes [68, 02, 16, 00]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenThreadToken + B 7C90D679 1 Byte [E2]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenThreadTokenEx + 6 7C90D684 4 Bytes CALL 7B90EC8B

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenThreadTokenEx + B 7C90D689 1 Byte [E2]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtQueryAttributesFile + 6 7C90D714 4 Bytes [A8, 00, 16, 00]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtQueryAttributesFile + B 7C90D719 1 Byte [E2]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtQueryFullAttributesFile + 6 7C90D7B4 4 Bytes CALL 7B90EDB9

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtQueryFullAttributesFile + B 7C90D7B9 1 Byte [E2]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtSetInformationFile + 6 7C90DC64 4 Bytes [28, 01, 16, 00]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtSetInformationFile + B 7C90DC69 1 Byte [E2]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtSetInformationThread + 6 7C90DCB4 4 Bytes [28, 02, 16, 00]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtSetInformationThread + B 7C90DCB9 1 Byte [E2]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtUnmapViewOfSection + 6 7C90DF14 1 Byte [68]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtUnmapViewOfSection + 6 7C90DF14 4 Bytes [68, 03, 16, 00]

.text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtUnmapViewOfSection + B 7C90DF19 1 Byte [E2]

 

---- User IAT/EAT - GMER 1.0.15 ----

 

IAT C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!CreateNamedPipeW] 002C0010

 

---- EOF - GMER 1.0.15 ----

Extras.Txt

OTL.Txt

[Landuss]

Rzeczywiście jest tu infekcja wirusem Sality i wygląda, że ciągle jest aktywna. Może być ciężko ale spróbujemy to usuwać.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Running] --  -- (abp470n5)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
 
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Po restarcie powinien się otworzyć raport z wynikami usuwania. Zachowaj go.

 

2. Przeskanuj system przez SalityKiller. Skan do skutku, dopóki nie zostanie uzyskany czysty wynik.

 

3. Napraw skasowany Tryb awaryjny. Pobierz paczkę Sality_RegKeys

 

4. Pokazujesz nowe logi z OTL oraz raport z SalityKiller.

 

 

[Ranym]

Nie wiem czy o to chodziło z tym raportem z Sality Killer, skopiowalem to co pisało w okienku po ukończeniu skanu

 

Virus.Win32.Sality.aa,ae,ag,bh removing tool, Kaspersky Lab 2010

version 1.3.6.0 Nov 12 2010 10:13:11

scanning threads ...

 

scanning processes ...

 

fixing registry ...

 

Monitoring thread started

SalityRegCure: Restoring general registry keys

SalityRegCure: Fixing system.ini

 

scanning drives ...

scanning C:\ ...

C:\Program Files\Messenger\msmsgs.exe infected Virus.Win32.Sality.aa ...not cu

red

scanning D:\ ...

scanning E:\ ...

 

 

Monitoring thread stopped

 

completed

Infected files: 1

Infected processes: 0

Infected threads: 0

Cured files: 0

Will be cured on reboot: 0

Executed registry scripts: 1

Aby kontynuować, naciśnij dowolny klawisz . . .

 

Nie wyleczyło pliku msmsgs.exe nawet po kilku próbach

 

Dodałem ten wpis do rejestru o trybie awaryjnym.

 

Logi z OTL w załącznikach.

 

EDIT: Po poprzednim skanie SalityKillerem menedżer zadań i rejestr działał, aż do restartu komputera. Po nim znowu były one zablokowane i w skanie SalityKillerem pojawił się nowy wpis na samym początku: Infected thread was killed in process msmsgs.exe with PID 2028. Usunąłem ten plik msmsgs.exe i wszystko jest OK, chociaż nie wiem czy pozbyłem się wirusa dobrze.

OTL.Txt

[Landuss]

Wykonaj jeszcze jeden skrypt o takiej zawartości:

 

:OTL
DRV - File not found [Kernel | Unknown | Running] --  -- (abp470n5)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
 
:Commands
[emptytemp]

 

Nowy log z OTL do oceny.

 

 

[Ranym]

========== OTL ==========

Error: No service named abp470n5 was found to stop!

Service\Driver key abp470n5 not found.

Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.

Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr not found.

Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools not found.

========== COMMANDS ==========

 

OTL by OldTimer - Version 3.2.26.1 log created on 07182011_202135

[Landuss]

Dla pewności daj jeszcze nowe logi ze skanu.

[Ranym]

Logi

OTL.Txt

[Landuss]

Wszystko pomyslnie usunięte i blokady nie wróciły więc prawdopodobnie wygraliśmy. Możesz przejść do czynności końcowych:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Koniecznie zaktualizuj IE do najnowszej wersji Internet Explorer 8. To ważny element systemu nawet jeśli z niego nie korzystasz.

 

3. Opróżnij folder przywracania systemu: KLIK

[Ranym]

Nie było tak ciężko :>

 

Dzięki wielkie za pomoc, wszystko jest już OK