wieclaw Opublikowano 16 Września 2011 Zgłoś Udostępnij Opublikowano 16 Września 2011 Witam Mam następujący problem. Nie mogę uruchomić Menadżera zadań. Przy próbie uruchomienia wyskakuje okienko z komunikatem - "Menadżer zadań został wyłączony przez administratora. Nie mogę włączyć w opcjach folderów pokazywania ukrytych plików. Zatwierdzam ale dalej zaznaczone jest Nie pokazuj ukrytych plików. Nie mogę wejść na dyski z Mojego komputera za pomocą kliknięcia LPM. Muszę z menu kontekstowego wybierać Eksploruj, żeby wejść na dysk. Proszę o pomoc. OTL.Txt Extras.Txt gmer_log.txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 16 Września 2011 Zgłoś Udostępnij Opublikowano 16 Września 2011 Niestety, wirus Sality tu grasuje, nabyty ewidentnie via zarażone urządzenie USB. Wirus ten niszczy wszystkie pliki wykonywalne na wszystkich dostępnych dlań dyskach. Wyliczane przez Ciebie szkody to nie całość, jeszcze nie masz Trybu awaryjnego (wirus kasuje z rejestru całkowicie klucz SafeBoot).... Sality widoczny w GMER (jego sterownik oraz zainfekowany podróbkowy explorer.exe) ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\huqflk.sys Nie można odnaleźć określonego pliku. ! ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\explorer.exe[2260] C:\WINDOWS\system32\explorer.exe section is writeable [0x00401000, 0x55B0, 0xE0000020].rdata C:\WINDOWS\system32\explorer.exe[2260] C:\WINDOWS\system32\explorer.exe unknown last code section [0x00409000, 0x13000, 0xE0000020] ... oraz w OTL (a w Extras w autoryzacjach zapory widać aktywność): DRV - File not found [Kernel | On_Demand | Running] -- -- (asc3360pr) W pierwszej kolejności będzie próba usuwania najcięższych objawów. Adware (RevelantKnowledge + paski narzędziowe) zostawiam na potem. 1. Wstępny skrypt usuwający do OTL (to nie będzie skuteczne na wirusa, jest tylko rodzajem "przeczyszczenia pola", plus wprowadzę blokadę na wykonywanie autorun.inf). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives wqesvxa.exe /alldrives [override] C:\WINDOWS\System32\EXPLORER.EXE [stopoverride] C:\WINDOWS\System32\cvnmhg0.dll C:\WINDOWS\System32\cvnmhg1.dll C:\WINDOWS\System32\amvo.exe C:\WINDOWS\System32\drivers\anzrgyrw.dat netsh firewall reset /C :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RelevantKnowledge] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "amva"=- "EXPLORER.EXE"=- "wsctf.exe"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=- "DisableRegistryTools"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=- "DisableRegistryTools"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=- "DisableRegistryTools"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany, otworzy się log z wynikami, log zachowa, bo będziesz potem pokazywał. 2. Pobierz SalityKiller. Skanowanie musi się odbywać do skutku, tyle razy ile potrzebne, by uzyskać wynik "zero zainfekowanych". 3. Pobierz Sality_RegKeys.zip, rozpakuj i ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 4. Wygeneruj do oceny nowe logi z OTL, GMER i USBFix. Dołącz log pozyskany z wstępnego usuwania w punkcie 1. Podsumuj pracę SalityKiller. . Odnośnik do komentarza
wieclaw Opublikowano 16 Września 2011 Autor Zgłoś Udostępnij Opublikowano 16 Września 2011 1. Skrypt wykonał się bez problemu. 2. Musiałem przeprowadzić 3 razy skanowanie. Za pierwszym razem było 898 plikow, 4 procesy, 48 watkow zainfekowanych. Za 2 razem było 4 zainfekowanych plikow, procesow i watkow 0. Za 3 razem już pusto. Puściłem jeszcze raz po restarcie dla upewnienia i rezultat taki sam. 3. Klucz zaimportowany pomyślnie. 4. dołączam nowe logi. ps. Mam takie pytanie. Posiadam zewnętrzny dysk, ale nie jest to dysk na którym została przyniesiona infekcja bo został kupiony po tym jak problemy zaczęły występować. Jednak nie wiem czemu ale nie pomyślałem, żeby skanować kompa z tym dyskiem podłączonym. Jak go podłączyć, żeby nie zainfekować ponownie kompa jeśli infekcja przeniosła się na niego? OTL.Txt Extras.Txt gmer_log.txt UsbFix.txt 09162011_171209.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2011 Zgłoś Udostępnij Opublikowano 17 Września 2011 Zniknęły wszystkie odczyty relatywne do czynnego Sality, a skoro SalityKiller siedzi już cicho, to wygląda na koniec zmagań trudnych. Została korekta pozostałości po Sality i czyszczenie systemu ze śmieci adware: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 [2011-09-16 14:03:28 | 000,000,000 | ---D | M] O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 [2011-09-16 14:03:28 | 000,000,000 | ---D | M] O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 [2011-09-16 14:03:28 | 000,000,000 | ---D | M] O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 [2011-09-16 14:03:28 | 000,000,000 | ---D | M] O32 - AutoRun File - [2011-03-19 13:35:11 | 000,000,358 | RHS- | M] () - D:\AUTORUN.FCB -- [ NTFS ] :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\SOUNDMAN.EXE"=- :Files C:\FOUND.* Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Przejdź do Dodaj / Usuń programy i odinstaluj: Conduit Engine, DAEMON Tools Toolbar, RelevantKnowledge, Softonic-Polska Toolbar, uTorrentBar Toolbar. Po tym uruchom menedżer rozszerzeń Firefox i zweryfikuj czy są korespondujące obiekty do demontażu. 3. Zrób nowy log z OTL z opcji Skanuj (Extras już nie potrzebuję) oraz log z AD-Remover z opcji Scan. ps. Mam takie pytanie. Posiadam zewnętrzny dysk, ale nie jest to dysk na którym została przyniesiona infekcja bo został kupiony po tym jak problemy zaczęły występować. Jednak nie wiem czemu ale nie pomyślałem, żeby skanować kompa z tym dyskiem podłączonym. Jak go podłączyć, żeby nie zainfekować ponownie kompa jeśli infekcja przeniosła się na niego? Skoro ten dysk był podpięty pod zainfekowany system, to prawdopodobnie posiada skopiowane przez Sality pliki autorun.inf wywołujące pliki wirusa, a jeśli na tym dysku były jakiekolwiek pliki wykonywalne (instalki / sterowniki), jest duże prawdopodobieństwo, że są zainfekowane. Dysk musi być sprawdzony. Na temat bezpieczeństwa jego podpięcia = w skrypcie OTL importowałam taki oto wpis do rejestru: :Reg[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]""="@SYS:DoesNotExist" Ten wpis odpowiada za ślepotę systemu na temat automatycznego parsowania pliku autorun.inf i jest równoważny z użyciem opcji Computer Vaccination w Panda USB Vaccine. Przy obecności tego wpisu można podpiąć dysk zewnętrzny pod komputer, bez szczególnej obawy, że automatycznie zainicjuje się infekcja, ale dla własnego bezpieczeństwa nie należy wchodzić na ten dysk z poziomu Mój komputer i nic z niego uruchamiać, dopóki nie zostanie sprawdzony. By go sprawdzić: - przy podpiętym dysku zrób log z USBFix z opcji Listing - przeskanuj cały dysk za pomocą Kaspersky Virus Removal Tool . Odnośnik do komentarza
wieclaw Opublikowano 17 Września 2011 Autor Zgłoś Udostępnij Opublikowano 17 Września 2011 1. Skrypt wykonany. Foldery FOUND usunąłem wcześniej. A czy one mogły powstać od tego wirusa? Bo dysk nie ma błędnych sektorów bo sprawdziłem MHDD i wszystko ok. 09172011_100308.txt 2. Nie mogę odinstalować Deamon Tools Toolbar. Wyskakuje taki błąd. Reszta się odinstalowała i z przeglądarki też usunąłem z Dodatków. 3. OTL.Txt Ad-Report-SCAN1.txt Dysk przeskanowałem. Był zawirusowany. Kaspersky na dwa razy usuwał. Log z USBFix zrobiłem po skanowaniu i usunięciu, więc pewnie nie użyteczny ale załączam. kaspersky.txt kaspersky2.txt UsbFix.txt Czy ten wirus uszkadza pliki czy wyleczone pliki powinny być w pełni sprawne? Pytam bo np ten instalator Deamon Toolbar się tak zachowuje i wyskoczył mi kilka razy jakiś błąd związany chyba z Visual C++ (nie zapisałem) podczas uruchamiania różnych programów. Odnośnik do komentarza
picasso Opublikowano 17 Września 2011 Zgłoś Udostępnij Opublikowano 17 Września 2011 Nie mogę odinstalować Deamon Tools Toolbar. Wyskakuje taki błąd. Usunę go siłowo. Finisz likwidacji odpadków adware: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Wieclaw\Dane aplikacji\Mozilla\Firefox\Profiles\yc7xzxa2.default\searchplugins\daemon-search.xml C:\Documents and Settings\All Users\Menu Start\Programy\RelevantKnowledge C:\Documents and Settings\Wieclaw\Dane aplikacji\PriceGong C:\Documents and Settings\Wieclaw\Ustawienia lokalne\Dane aplikacji\Conduit C:\Program Files\Conduit C:\Program Files\DAEMON Tools Toolbar C:\Program Files\RelevantKnowledge :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar] [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2530240] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Toolbar] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\RelevantKnowledge] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- Klik w Wykonaj skrypt. 2. Zrób nowy log z AD-Remover z opcji Scan. Dysk przeskanowałem. Był zawirusowany. Kaspersky na dwa razy usuwał. Tak. To było spodziewane. Na dysku został wykryty plik autorun.inf oraz wywoływany przez niego plik infekcji. Poza tym, kopie plików stworzone przez mechanizm Przywracania systemu w katalogu System Volume Information. Czy ten wirus uszkadza pliki czy wyleczone pliki powinny być w pełni sprawne? Pytam bo np ten instalator Deamon Toolbar się tak zachowuje i wyskoczył mi kilka razy jakiś błąd związany chyba z Visual C++ (nie zapisałem) podczas uruchamiania różnych programów. Różnie to bywa. Pliki zarażone Sality mają obcy kod, leczenie "edytuje" pliki, a to może oznaczać również uszkodzenie pliku. Te błędy Visual++ są charakterystyczne właśnie dla plików zdefektowanych Sality. Wszystko co zwraca ten błąd należy przeinstalować z nowo pobranych instalatorów. Foldery FOUND usunąłem wcześniej. A czy one mogły powstać od tego wirusa? Bo dysk nie ma błędnych sektorów bo sprawdziłem MHDD i wszystko ok. Wątpię. Błędy systemu plików musiały tu zaistnieć. Te foldery są konsekwencją pracy narzędzie checkdisk, które obcina wadliwe dane lokując je właśnie w folderach schematu FOUND.00X. Zwróć uwagę na daty utworzenia, które były widoczne w logu z USBFix (największe skupienie z lutego): [15/10/2010 - 20:52:02 | SHD ] C:\FOUND.000[20/11/2010 - 20:56:04 | SHD ] C:\FOUND.001[20/12/2010 - 12:59:58 | SHD ] C:\FOUND.002[05/01/2011 - 13:36:52 | SHD ] C:\FOUND.003[21/01/2011 - 16:12:18 | SHD ] C:\FOUND.004[01/02/2011 - 16:18:18 | SHD ] C:\FOUND.005[02/02/2011 - 14:14:00 | SHD ] C:\FOUND.006[04/02/2011 - 16:54:42 | SHD ] C:\FOUND.007[05/02/2011 - 18:08:04 | SHD ] C:\FOUND.008[07/02/2011 - 14:56:06 | SHD ] C:\FOUND.009[08/02/2011 - 13:01:54 | SHD ] C:\FOUND.010[15/02/2011 - 14:29:54 | SHD ] C:\FOUND.011[17/02/2011 - 14:59:46 | SHD ] C:\FOUND.012[17/02/2011 - 16:25:30 | SHD ] C:\FOUND.013[18/02/2011 - 20:22:16 | SHD ] C:\FOUND.014[19/02/2011 - 22:11:40 | SHD ] C:\FOUND.015[23/02/2011 - 18:36:36 | SHD ] C:\FOUND.016[24/02/2011 - 20:25:24 | SHD ] C:\FOUND.017[24/02/2011 - 20:29:58 | SHD ] C:\FOUND.018[25/02/2011 - 12:27:32 | SHD ] C:\FOUND.019[25/02/2011 - 16:19:14 | SHD ] C:\FOUND.020[03/03/2011 - 18:58:42 | SHD ] C:\FOUND.021[04/03/2011 - 17:45:34 | SHD ] C:\FOUND.022[04/03/2011 - 18:02:54 | SHD ] C:\FOUND.023[05/03/2011 - 16:40:16 | SHD ] C:\FOUND.024[05/03/2011 - 16:56:08 | SHD ] C:\FOUND.025[10/03/2011 - 07:15:24 | SHD ] C:\FOUND.026[13/03/2011 - 10:10:30 | SHD ] C:\FOUND.027[04/04/2011 - 16:21:22 | SHD ] C:\FOUND.028[08/04/2011 - 08:47:50 | SHD ] C:\FOUND.029[19/08/2011 - 18:14:22 | SHD ] C:\FOUND.030[16/09/2011 - 12:38:56 | SHD ] C:\FOUND.031 Ponadto chcę zwrócić uwagę, że dysk systemowy jest w archaicznym systemie plików FAT32: Drive C: | 11,98 Gb Total Space | 4,11 Gb Free Space | 34,28% Space Free | Partition Type: FAT32Drive D: | 62,52 Gb Total Space | 43,38 Gb Free Space | 69,38% Space Free | Partition Type: NTFS Zawodny system plików, większa podatność na błędy niż NTFS. Tu należy wymienić na NTFS, a jest to wykonalne bez utraty danych i podam stosowne instrukcje konwersyjne potem. . Odnośnik do komentarza
wieclaw Opublikowano 17 Września 2011 Autor Zgłoś Udostępnij Opublikowano 17 Września 2011 09172011_151910.txt Ad-Report-SCAN2.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2011 Zgłoś Udostępnij Opublikowano 17 Września 2011 (edytowane) Wszystko wykonane. Możemy przejść do czynności końcowych: 1. Posprzątaj po używanych narzędziach: odinstaluj AD-Remover i USBFix oraz uruchom Sprzątanie w OTL. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 3. Obowiązkowa aktualizacja systemu: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) Status krytyczny. Twoje "zabezpieczenia" są datowane na rok 2004, a system jest odcięty od aktualizacji (MS wspiera już tylko XP SP3). Należy uzupełnić Service Pack 3, Internet Explorer 8 i z Windows Update wszystkie nowsze niż SP3 krytyczne łatki. Może być problem z detekcją już zainstalowanego SP3 przez mechanizm WU i wtedy należy zaktualizować Agenta aktualizacji: KLIK. 4. Niemniej ważne są aktualizacje oprogramowania zewnętrznego: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player"Google Chrome" = Google Chrome"Mozilla Firefox (2.0.0.20)" = Mozilla Firefox (2.0.0.20) Linki / szczegóły aktualizacyjne rozpisane tutaj: INSTRUKCJE. 5. Notowalny brak jakiejkolwiek osłony antywirusowej, a skutki tego odczuwalne od posta numer 1. Widzę, że komputer jest ubogi w RAM, toteż propozycją jest darmowy dość lekki antywirus działający w technice chmury: Panda Cloud Antivirus. 6. Wspominałam o polubownym przekształceniu lamusa FAT32 na NTFS. Konwersję bez utraty danych wykonasz w następujący sposób: Start > Uruchom > cmd i w linii komend wpisz polecenie convert C: /fs:ntfs. Na pytanie o dezinstalację woluminu odpowiedz twierdząco. Podsumuj wykonanie akcji, stan systemu i czy coś jeszcze wymaga naprawy. . Edytowane 30 Października 2011 przez picasso 30.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi