Zablokowany edytor rejestru oraz manager zadań i wirus "hi"

Post23 sie 2011, 09:30

Witam wszystkich!
Jestem nowy na forum, a widzę że tutaj są naprawdę ludzie znający się na rzeczy. Proszę Was o pomoc.
Sprawa jest taka,że już dłuższy czas mam zablokowany manager zadań oraz edytor rejestru, teraz doszedł wirus "hi" z facebooka, skanowałem anti-malware ale to nie pomogło. Może ktoś zaradzi, z góry dziękuję za pomoc.
Oto log:

Dostępne tylko dla zarejestrowanych użytkowników

Post23 sie 2011, 10:42

Wirus SALITY >http://forum.hotfix.pl/bezpieczenstwo/instrukcja-usuwania-wirusa-sality-t8005.html

eśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze wg podanego wyżej linku.

Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:
1) Użyj Sality Killer -->Dostępne tylko dla zarejestrowanych użytkowników
Link zapasowy, gdyby wirus zablokował stronę narzędzia: > Dostępne tylko dla zarejestrowanych użytkowników
2) Użyj Sality Remover/rmsality>Dostępne tylko dla zarejestrowanych użytkowników
Link zapasowy >Dostępne tylko dla zarejestrowanych użytkowników
3) Użyj >http://www.hotfix.pl/instrukcja-uzytkowania-dr-web-cureit--a193.htm
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>Dostępne tylko dla zarejestrowanych użytkowników
4) wszystkie skany powtarzaj po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
5) sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)
6) Uruchom OTL i w dolne białe pole wklej to:

Kod: Zaznacz cały

:OTL
MOD - [2011-08-22 19:36:01 | 000,382,464 | ---- | M] () -- D:\WINDOWS\update.7.1\svchostdriver.exe
SRV - [2011-08-22 19:36:01 | 000,382,464 | ---- | M] () [Auto | Running] -- D:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
DRV - File not found [Kernel | On_Demand | Running] --  -- (abp470n5)
O2 - BHO: (no name) - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - No CLSID value found.
O4 - HKLM..\Run: [CleanRegPath]  File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O9 - Extra 'Tools' menuitem : @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -  File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Reg Error: Value error. File not found
[2011-08-22 19:36:02 | 000,000,000 | -H-D | C] -- D:\WINDOWS\update.7.1
[2011-08-22 19:32:26 | 000,000,000 | -H-D | C] -- D:\WINDOWS\update.2
[2011-08-22 19:32:26 | 000,000,000 | ---D | C] -- D:\WINDOWS\ufa
[2011-08-22 19:32:26 | 000,000,000 | ---D | C] -- D:\WINDOWS\phoenix
[2011-08-22 19:29:50 | 000,000,000 | -H-D | C] -- D:\WINDOWS\update.5.0
[2011-08-22 19:24:56 | 000,000,000 | -H-D | C] -- D:\WINDOWS\update.1
[2011-08-22 19:38:27 | 000,000,734 | ---- | M] () -- D:\WINDOWS\System32\drivers\etc\hîsts
[2011-08-22 19:32:25 | 005,589,370 | ---- | C] () -- D:\WINDOWS\phoenix.rar
[2011-08-22 19:32:25 | 000,182,617 | ---- | C] () -- D:\WINDOWS\ufa.rar
[2011-08-22 19:32:24 | 001,075,284 | ---- | C] () -- D:\WINDOWS\rpcminer.rar
[2011-08-22 19:28:47 | 004,636,907 | ---- | C] () -- D:\WINDOWS\geoiplist
[2011-08-22 19:28:46 | 000,904,792 | ---- | C] () -- D:\WINDOWS\geoiplist.rar
[2011-08-22 19:28:46 | 000,246,272 | ---- | C] () -- D:\WINDOWS\unrar.exe
[2011-08-22 19:26:27 | 000,000,199 | ---- | C] () -- D:\WINDOWS\info1
[2011-08-22 19:25:35 | 000,000,000 | ---- | C] () -- D:\WINDOWS\loader2.exe_ok

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.

7) wtedy dasz nowe logi z OTL - OTL.txt i Extras.txt (czyli przed skanem musisz zaznaczyć "Użyj filtrowania" w polu "Rejestr-skan dodatkowy).

F.

Post24 sie 2011, 18:57

Zrobiłem wszystko ale kurcze jest chyba dalej lipa, tzn facebook ruszył, ale sality chyba dalej jest.
extras: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników

Post25 sie 2011, 00:48

ale sality chyba dalej jest.

Jeśli jest dalej wykrywany, to wszystko zaczynaj od początku.
Zmianie ulega tylko punkt 6 z mojego poprzedniego postu:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
DRV - File not found [Kernel | On_Demand | Running] -- -- (abp470n5)
O34 - HKLM BootExecute: (rmslt.nt) - File not found

:Files
D:\Documents and Settings\Tomek T\Ustawienia lokalne\Temp\windphfw.exe

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[Reboot]

Kliknij w Wykonaj Script

F.

Post28 sie 2011, 01:41

Filutka, dziękuje Ci za pomoc. Edytor rejestru działa i Menadżer zadań tez odpalił. Są jeszcze jakieś wirusy ale po pełnym skanowaniu w Dr Web (wykrył 10 robaków) to nie nie mogę ich usunąć za pomocą tego programu. Po kliknięciu na lecz lub usuń nic się nie dzieje. Ale generalnie jest dobrze. Wkrótce wrzucę logi. Jeszcze raz bardzo dziękuje:)

Post28 sie 2011, 08:01

Są jeszcze jakieś wirusy ale po pełnym skanowaniu w Dr Web (wykrył 10 robaków)

Oby nie SALITY/SECTOR!
Gdzie to wykrywa?

F.

Post12 lis 2011, 13:04

Oto skan z OTLA. Kurcze, nie działają mi takie strony jak galeria zdjęć z albumów użytkowników na google, wyświetla się strona białe tło i napisy w dziwnej czcionce, nie wyświetla połowy zdjęć. I parę innych stron nie działa jak należy. Co robić?

Dostępne tylko dla zarejestrowanych użytkowników

Post12 lis 2011, 14:03

1) Użyj >USBFix (>Download >>Telecharger >> Zapisz plik >> ... )
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.

2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O33 - MountPoints2\{7e4cfafc-f28e-11df-9832-4d6564696130}\Shell\AUtoPLAy\coMmand - "" = H:\yoxsft.exe
O33 - MountPoints2\{7e4cfafc-f28e-11df-9832-4d6564696130}\Shell\AutoRun\command - "" = H:\yoxsft.exe
O33 - MountPoints2\{7e4cfafc-f28e-11df-9832-4d6564696130}\Shell\exPLore\coMmAND - "" = H:\yoxsft.exe
O33 - MountPoints2\{7e4cfafc-f28e-11df-9832-4d6564696130}\Shell\OpEn\commanD - "" = H:\yoxsft.exe
O33 - MountPoints2\{af21ec31-9769-11e0-a2b5-4d6564696130}\Shell\AuTOplaY\CommanD - "" = H:\juxutf.exe
O33 - MountPoints2\{af21ec31-9769-11e0-a2b5-4d6564696130}\Shell\AutoRun\command - "" = H:\juxutf.exe
O33 - MountPoints2\{af21ec31-9769-11e0-a2b5-4d6564696130}\Shell\explore\ComMand - "" = H:\juxutf.exe
O33 - MountPoints2\{af21ec31-9769-11e0-a2b5-4d6564696130}\Shell\OpEN\CoMmAnd - "" = H:\juxutf.exe
O4 - HKLM..\Run: [CleanRegPath] File not found
O4 - HKLM..\Run: [nwiz] File not found

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Post12 lis 2011, 15:31

Skan z UxbFIX:

Dostępne tylko dla zarejestrowanych użytkowników

-- 12 lis 2011, 16:29 --

Jednak dalej widzę, że Picasa Web Albums nie działa poprawnie.

-- 12 lis 2011, 16:31 --

Jednak dalej widzę, że Picasa Web Albums nie działa poprawnie.

Post12 lis 2011, 16:05

Usunięte, co miało być usunięte.

W USBFix kliknij na przycisk UNINSTALL
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Jednak dalej widzę, że Picasa Web Albums nie działa poprawnie.

W takim razie napisz do Moderatora, by przesunął Twój temat do bardziej odpowiedniego działu Forum, skoro to nie jest wina infekcji.

F.