Menadżer zadań i edycja rejestru zostały zablokowane przez administratora

[Nurdurion]

Witam.

 

Jestem świeżo po walce z infekcją. Zaczęło się od tego, że Kaspersky Internet Security nie chciał się uruchomić. Próba wejścia do menadżera zadań kończyła się komunikatem "Menadżer zadań został zablokowany przez administratora". Analogiczny problem był z edycją rejestru. Śćiągnąłem Kaspersky Rescue Disk i przeskanowałem nim system. Wykrył ponad setkę infekcji, głównie plików programów (np. Aimp.exe). Jedno zagrożenie usunął, resztę infekcji wyleczył. Po restarcie skan normalnym Kasperskym nic już nie wykrył. Przy pomocy Googla rozwiązałem problem z menadżerem i edycją rejestru, jednak bardzo prosił bym o sprawdzenie logów, czy coś jeszcze nie siedzi w systemie (Gmer coś wykrył).

Extras.Txt

OTL.Txt

Gmer.txt

[picasso]

Opis świadczy, że nadziałeś się na infekcję Sality. Infekcja ta także kasuje cały Tryb awaryjny z rejestru, a nie widzę byś tu wspominał o naprawie tego. Są również pozostawione autoryzacje w zaporze po tym wirusie (procesy przechodzące z oznakowaniem "ipsec"):

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\Explorer.EXE" = C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation)
"C:\DOCUME~1\dom\USTAWI~1\Temp\gcdjm.exe" = C:\DOCUME~1\dom\USTAWI~1\Temp\gcdjm.exe:*:Enabled:ipsec
"C:\DOCUME~1\dom\USTAWI~1\Temp\winudgne.exe" = C:\DOCUME~1\dom\USTAWI~1\Temp\winudgne.exe:*:Enabled:ipsec
"C:\DOCUME~1\dom\USTAWI~1\Temp\wincohjwn.exe" = C:\DOCUME~1\dom\USTAWI~1\Temp\wincohjwn.exe:*:Enabled:ipsec
"C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" = C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe:*:Enabled:ipsec -- (Advanced Micro Devices, Inc.)
"C:\DOCUME~1\dom\USTAWI~1\Temp\vihn.exe" = C:\DOCUME~1\dom\USTAWI~1\Temp\vihn.exe:*:Enabled:ipsec
"C:\DOCUME~1\dom\USTAWI~1\Temp\winrmdgbc.exe" = C:\DOCUME~1\dom\USTAWI~1\Temp\winrmdgbc.exe:*:Enabled:ipsec
"C:\DOCUME~1\dom\USTAWI~1\Temp\winhwwjfj.exe" = C:\DOCUME~1\dom\USTAWI~1\Temp\winhwwjfj.exe:*:Enabled:ipsec
"D:\Program Files\Rainlendar2\Rainlendar2.exe" = D:\Program Files\Rainlendar2\Rainlendar2.exe:*:Enabled:ipsec -- ()

Na dysku D jest ukryty plik autorun.inf (przypuszczalnie to stąd Sality):

 

O32 - AutoRun File - [2011-08-12 17:38:35 | 000,000,171 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]

Nie jestem też pewna co sądzić o GMER .... są bowiem jakieś ukryte procesy oraz ślady, że w MBR był rootkit (aczkolwiek GMER nie oznacza tego jako czynnego).

 

 

1. Pobierz paczkę Sality_RegKeys.zip i z niej uruchom pasujący do systemu plik: KLIK.

 

2. Czyszczenie adresujące usunięcie autoryzacji zapory i drobnych śmieci, czyszczenie plików tymczasowych oraz punktów Przywracania systemu. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
del /q D:\autorun.inf /C
rd /s /q "C:\Documents and Settings\dom\Dane aplikacji\chrtmp" /C
rd /s /q "C:\Kaspersky Rescue Disk 10.0" /C
del /q "C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml" /C
netsh firewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
 
:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
 
:Commands
[clearallrestorepoints]
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

3. Wygeneruj nowy log z OTL na warunku dostosowanym, czyli w polu Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj.

 

C:\*.*

D:\*.*
E:\*.*

Dostarcz również log z wynikami usuwania z punktu 2.

 

 

 

 

.

[Nurdurion]

O Trybie awaryjnym nie wiedziałem, od razu uruchomiłem Kaspersky Rescue Disk.

Wszystkie polecenia wykonałem i zamieszczam logi:

OTL.Txt

08132011_082041.txt

[picasso]

Skrypt wykonany. Najnowszy skan - na dysku E widać dwa uchowane ukryte pliki Sality:

 

[2011-08-12 20:56:11 | 000,033,508 | RHS- | M] () -- E:\miyt.pif
[2011-08-12 20:56:17 | 000,029,412 | RHS- | M] () -- E:\nabd.pif

I drobna poprawka, źle popatrzyłam, z rozpędu jeden obiekt trojana (chrtmp) dostał akcję dla folderu a nie pliku.

 

1. Wklej do OTL poniższą treść i klik w Wykonaj skrypt:

 

:Files
del /q E:\miyt.pif /C
del /q E:\nabd.pif /C
del /q "C:\Documents and Settings\dom\Dane aplikacji\chrtmp" /C

2. Gdy narzędzie ukończy pracę, uruchom w nim Sprzątanie.

 

 

Jeśli jakiś program odmówi posłuszeństwa po leczeniu, należy go przeinstalować. Jak rozumiem aktualnie na pewno nie jest wykrywana infekcja na żadnym dysku? Upewnij się raz jeszcze skanując antywirusem.

 

 

 

.

[Nurdurion]

Wszystkie polecenia wykonane. Zarówno Kaspersky jak i skanery online Panda i ESET nic nie wykryły.

Dziękuję bardzo za pomoc!

[picasso]

Na koniec wykonaj aktualizacje oprogramowania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AQQ" = WapSter AQQ
"Gadu-Gadu" = Gadu-Gadu 7.7
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1220945662-1383384898-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Tlen.pl" = Tlen.pl

- Do aktualizacji Lisek, Java i Flash: INSTRUKCJE.

- (Opcjonalnie): skoro jest tu AQQ, Tlen i (tfu) kompletnie niepełnosprawne GG7, to sprawdź jeszcze WTW (przewyższa wszystkie tu wyliczane obsługą Gadu). Opis znajdziesz w temacie Darmowe komunikatory

 

 

.

Edytowane 28 Października 2011 przez picasso
13.09.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso