Menadżer zadań wyłączony przez administratora

Post26 lip 2010, 23:47

Witam, Chciałbym przedstawić Wam mój problem, mam nadzieję że mi pomożecie

Windows: Xp Proffesional 2002.

Problem jest oczywisty menadżer zadań i edytor rejestru nie działa a dokładnie wyskakuje mi coś takiego 'Menadżer zadań został wyłączony przez administatora.' Oczywiście jestem administratorem i nic.. Próbowałem w gpedit.msc > Konfiguracja użytkownika > szablony administracyjne > System > Opcje klawiszy Ctrl+Alt+Del > Usuń Menadżer zadań i zmieniłem na wyłączone i nie działa. Skany proszę :

OTL:

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

DDS:

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

Post26 lip 2010, 23:55

Restrykcje możesz znieść przy pomocy narzędzia Remove Restrictions Tool (RRT) => Dostępne tylko dla zarejestrowanych użytkowników

PS. Logów nie sprawdzałem.

EDIT:
Aha program odpal w trybie awaryjnym

Strona WWW · Post26 lip 2010, 23:57

wklej w OTL i naciśnij wykonaj skrypt, potem dajesz log z usuwania i nowy log:

:OTL
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\otslp.sys -- (asc3360pr)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\otslp.sys -- (amsint32)
PRC - [2010-07-26 22:34:28 | 000,008,192 | ---- | M] () -- C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\rsgj.exe
PRC - [2010-07-26 22:34:22 | 000,029,696 | ---- | M] () -- C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\uxhts.exe
PRC - [2010-07-26 22:34:18 | 000,012,288 | ---- | M] () -- C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\hkhad.exe
PRC - [2010-07-26 22:30:51 | 000,072,192 | ---- | M] () -- C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\kiptuf.exe
O33 - MountPoints2\{37d8b67d-98d3-11df-a5fd-cdf0c283089b}\Shell\AutoplAy\cOmmanD - "" = F:\xteo.exe -- File not found
O33 - MountPoints2\{37d8b67d-98d3-11df-a5fd-cdf0c283089b}\Shell\AutoRun\command - "" = F:\xteo.exe -- File not found
O33 - MountPoints2\{37d8b67d-98d3-11df-a5fd-cdf0c283089b}\Shell\ExplorE\COMMand - "" = F:\xteo.exe -- File not found
O33 - MountPoints2\{37d8b67d-98d3-11df-a5fd-cdf0c283089b}\Shell\opeN\comMaNd - "" = F:\xteo.exe -- File not found

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winrdfun.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winqotxl.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winccpvs.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winptpg.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\vcolq.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winjeit.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\windjxlqt.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winxnkxvq.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winobxs.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\wingiiqy.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winsfbct.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\jmbri.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\mvdt.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winloikq.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winquhey.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\lgkwi.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winqhhm.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\ronih.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\windvpyfi.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\mfxwfn.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\jlgqg.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\kiptuf.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\hkhad.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\uxhts.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\gfhxhu.exe"=-

:Commands
[emptytemp]
[start explorer]
[Reboot]

Przeskanuj komputer progranmem drweb

Post27 lip 2010, 00:50

Skrypt mi się zacina, nie da się zrobić go:/ A dr.web'a nie mogę ściągnąć bo jak wchodzę w link to mi się internet wyłącza :/ Dokładnie mówiąc czytałem o tych wirusach co mam je, i one mają takie coś że nie da się ściągnąć anty wirusa ;/

Strona WWW · Post27 lip 2010, 09:13

Daj log z programu combofix. Instrukcja http://www.hotfix.pl/uzytkowanie-progra ... ix-a41.htm

Post27 lip 2010, 10:20

Skrypt mi się zacina, nie da się zrobić go

Daj log z programu combofix

OTL zawiesił się dlatego że blokowały go te procesy :

========== Processes ==========

PRC - [2010-07-26 22:34:28 | 000,008,192 | ---- | M] () -- C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\rsgj.exe
PRC - [2010-07-26 22:34:22 | 000,029,696 | ---- | M] () -- C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\uxhts.exe
PRC - [2010-07-26 22:34:18 | 000,012,288 | ---- | M] () -- C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\hkhad.exe
PRC - [2010-07-26 22:30:51 | 000,072,192 | ---- | M] () -- C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\kiptuf.exe

djkamil09061991

Podczas pisania skryptu powinieneś użyć tej komendy :

Kod: Zaznacz cały

:Processes
killallprocesses

Wtedy w/w procesy zostały by zakończone i OTL mógł by wykonać zadanie.

Dodatkowo skrypt który podałeś nie usuwa Adware który zaatakował przeglądarkę i jeszcze kilku innych świństw.

Kevanek

Infekcja przylazła od tego świństwa : ElfBotNG.4.5.9.Final i zanim wykonasz poniższy skrypt najpierw to usuń !, dodatkowo jest infekcja pendrivowa i pełno innych infekcji.

Na razie Combofixa nie pobieraj ani nie uruchamiaj !

W OTL w dolne okienko ,, Własne opcje skanowania / skrypt " wklej:

:Processes
killallprocesses

:OTL
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\otslp.sys -- (asc3360pr)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\otslp.sys -- (amsint32)
IE - HKU\S-1-5-21-515967899-1935655697-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-515967899-1935655697-839522115-1003\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
[2010-07-26 22:11:32 | 000,000,000 | ---D | M] (Softonic-Polska Toolbar) -- C:\Documents and Settings\Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\urw4cete.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}
[2010-06-08 11:30:50 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\urw4cete.default\searchplugins\conduit.xml
O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
O32 - AutoRun File - [2010-07-26 18:28:06 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010-07-26 20:53:44 | 000,000,262 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-07-26 20:53:44 | 000,000,247 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{37d8b67d-98d3-11df-a5fd-cdf0c283089b}\Shell\AutoplAy\cOmmanD - "" = F:\xteo.exe -- File not found
O33 - MountPoints2\{37d8b67d-98d3-11df-a5fd-cdf0c283089b}\Shell\AutoRun\command - "" = F:\xteo.exe -- File not found
O33 - MountPoints2\{37d8b67d-98d3-11df-a5fd-cdf0c283089b}\Shell\ExplorE\COMMand - "" = F:\xteo.exe -- File not found
O33 - MountPoints2\{37d8b67d-98d3-11df-a5fd-cdf0c283089b}\Shell\opeN\comMaNd - "" = F:\xteo.exe -- File not found

:Files
C:\Documents and Settings\Krystian\Pulpit\ElfBotNG.4.5.9.Final.Crack.by.EvOlUtIoN
C:\Program Files\Softonic-Polska
C:\Documents and Settings\Krystian\Ustawienia lokalne\Dane aplikacji\Softonic-Polska
C:\Program Files\Conduit
C:\Documents and Settings\Krystian\Ustawienia lokalne\Dane aplikacji\Conduit
C:\Documents and Settings\Krystian\Pulpit\ElfBot NG

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winrdfun.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winqotxl.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winccpvs.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winptpg.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\vcolq.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winjeit.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\windjxlqt.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winxnkxvq.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winobxs.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\wingiiqy.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winsfbct.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\jmbri.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\mvdt.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winloikq.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winquhey.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\lgkwi.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\winqhhm.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\ronih.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\windvpyfi.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\mfxwfn.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\jlgqg.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\kiptuf.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\hkhad.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\uxhts.exe"=-
"C:\DOCUME~1\Krystian\USTAWI~1\Temp\gfhxhu.exe"=-

:Commands
[emptytemp]
[clearallrestorepoints]

Kliknij : Wykonaj Skrypt, Zrestartuj komputer
Potem daj raport który wyskoczy po usuwaniu, oraz wykonaj nowy log OTLem

Strona WWW · Post27 lip 2010, 10:38

te tempy w logu extras są niepokojące. Dlatego chyba lepiej będzie pierw zastosowaćcombofixa a dopiero póżniej OTL

Post27 lip 2010, 10:40

Albo może SDFix'a? Bardzo dobrze radzi sobie z infekcją w ,,Tempach".
Dobrym wyjściem jest też przeskanowanie ,,Doktorkiem".

Post27 lip 2010, 10:50

Hm. Dr.Web nie mogę ściągnąć bo mam jakąś blokadę

Hm. dalej nie mogę zrobić tego skryptu :/ Usunąłem wszystko co było związane z tym elfem:/ I dalej to samo a dokładniej 'Processing Registry data Advenced\folder\Hidden\SHOWALL]...' I muszę wtedy dać restarta. To co mam dalej zrobić ? Bo combofix'a Łukasz kazał nie instalować

Proszę o dalsze podpowiedzi

Spróbuje teraz zrobić cośz SDFix'em

Post27 lip 2010, 10:59

Tak SDFix w 99% uruchomi się, ponieważ skanowanie przeprowadza się w Trybie Awaryjnym.

Po skanowaniu SDFixem pokaż też nowy log z OTL'a (i oczywiście log z SDFixa).

***********************************************************************************************************

R3 asc3360pr;asc3360pr;\??\c:\windows\system32\drivers\otslp.sys --> c:\windows\system32\drivers\otslp.sys [?]

To są Twoje WSZYSTKIE problemy.

To usługa jednej z wersji wirusa SALITY/SECTOR, który zaraża wszystkie pliki .exe.

Pobierz i nagraj na płytkę na niezainfekowanym komputerze -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonujesz pełny skan (leczysz wszystko, usuwasz jedynie rzeczy które Doktorek wymienii).

Po Full skanowaniu wracasz z logami z:
- SDFix
- OTL

Post27 lip 2010, 11:16

Hehe

Fajnie jakby to był już koniec =] Tylko problem w tym ze Tryb Awaryjny mi nie działa

Nie wiem czy to ten wirus może mi blokuje, dobrze zaraz będę musiał iść to ściągnąć:P

@EDIT

Może mi ktoś powiedzieć skąd mogłem to mieć (tego wirusa) ? Ściągnąłem go z czymś czy co ?

Post27 lip 2010, 14:04

Wirusa mogłeś pobrać z internetu/nośników.

Post27 lip 2010, 17:17

Proszę bardzo screen'a z full skanem

Dostępne tylko dla zarejestrowanych użytkowników

Większość zainfekowanych plików było zarażona od Win32.Sector.~~

A tutaj logi z OTL na razie.

Dostępne tylko dla zarejestrowanych użytkowników

Post27 lip 2010, 17:23

Miało być LIVE CD, ale już mniejsza z tym.
Teraz to powinno iść bez problemu.
Na razie malutki skrypt:

W OTL w dolne okienko Własne opcje skanowania wklej:

Kod: Zaznacz cały

:Processes
killallprocesses

:OTL
DRV - File not found [File_System | Unknown | Running] --  -- (DwProt)
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\otslp.sys -- (asc3360pr)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\otslp.sys -- (amsint32)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found.
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O32 - AutoRun File - [2010-07-27 10:43:22 | 000,000,294 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-07-27 10:43:22 | 000,000,282 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]

:Files
C:\WINDOWS\System32\drivers\otslp.sys

:Services
asc3360pr
amsint32

:Commands
[clearallrestorepoints]
[Reboot]

Kliknij ,,Wykonaj Skrypt"
Restart komputera, raport z usuwania + nowy log z OTL'a.

Post27 lip 2010, 17:39

Raport z usuwania:

Dostępne tylko dla zarejestrowanych użytkowników

nowy log z OTL'a:

Dostępne tylko dla zarejestrowanych użytkowników