Brak dostępu do menadżera zadań i rejestru

[Dissendium]

Witam,

 

Zacznę od tego, że wiem, czym problem jest spowodowany. Mianowicie pendrive, który podpiąłem do komputera okazał się mordercą, grr... No cóż. Następnym razem pomyślę, zanim pożyczę pendriva.

 

Zaraz po podłączeniu, oczywiście włączył się autorun (tak, kolejna rzecz, za którą powinienem dostać po dupsku) i zaczęły się problemy. Został wyłączony dostęp do menadżera zadań, rejestru i wiele innych. AVG sobie nie poradził.

 

 

Załączam skany z OTL i GMER-a.

 

Dziękuję za jakąkolwiek pomoc.

 

 

#edit

Tak sobie pomyślałem. Wiem, że mam zainfekowanego pendriva. Aktualnie nie mam dostępu do gpedit.msc - uruchomienie tej aplikacji nie powiodło się, ponieważ nie znaleziono MSIMG32.dl. Coś czytałem, że to skutki SALITY. Oby dało się usunąć wszystko.

 

Założmy, że tak będzie. Po wyłączeniu autoruna będę mógł włączyć pendriva, by go sformatować?

GMER - skan.txt

OTL.Txt

Extras.Txt

[picasso]

Niestety, to wirus Sality, który infekuje wszystkie pliki wykonywalne na wszystkich dyskach. Obecność jego potwierdza sterownik abp470n5, autoryzacje w zaporze z dopiskiem "ipsec" oraz blokady narzędzi systemowych:

 

========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nhlqkn.sys -- (abp470n5)
 
 
========== Standard Registry (SafeList) ==========
 
O7 - HKU\S-1-5-21-1757981266-484763869-1801674531-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-21-1757981266-484763869-1801674531-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"G:\Music\Music.exe" = G:\Music\Music.exe:*:Enabled:ipsec
"C:\WINDOWS\Explorer.EXE" = C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation)
 s.r.o.)
"C:\WINDOWS\system32\taskmgr.exe" = C:\WINDOWS\system32\taskmgr.exe:*:Enabled:ipsec -- (Microsoft Corporation)

 

Prócz blokady menedżera zadań i regedit powinieneś mieć jeszcze uszkodzony Tryb awaryjny (Sality kasuje go z rejestru).

 

Infekcja jest tej skali, że może być wymagane przeformatowanie całego dysku (wszystkich partycji) i wszystkich przenośnych. To zależy od tego jak obszerna ta infekcja jest i jak wiele uszkodziła. Wstępna próba leczenia:

 

1. Pobierz SalityKiller. Wykonaj nim skan do skutku (powtarzany wielokrotnie, dopóki nie uzyskasz zwrotu zero zainfekowanych).

 

2. Pobierz Sality_RegKeys. Rozpakuj i ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
netsh firewall reset /C
 
:OTL
O3 - HKLM\..\Toolbar: (no name) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - No CLSID value found.
O3 - HKU\S-1-5-21-1757981266-484763869-1801674531-1002\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1757981266-484763869-1801674531-1002\..\Toolbar\ShellBrowser: (no name) - {63AB4C54-3310-44c9-85D8-AA92C2263D58} - No CLSID value found.
O3 - HKU\S-1-5-21-1757981266-484763869-1801674531-1002\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
O3 - HKU\S-1-5-21-1757981266-484763869-1801674531-1002\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1757981266-484763869-1801674531-1002\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
O3 - HKU\S-1-5-21-1757981266-484763869-1801674531-1002\..\Toolbar\WebBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
DRV - File not found [File_System | On_Demand | Stopped] --  -- (StarOpen)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Przez Panel sterowania odinstaluj adware V9 Homepage Uninstaller.

 

5. Zabezpiecz system przed wykonaniem infekcji typu autorun.inf: w Panda USB Vaccine zastosuj opcję Computer Vaccination.

 

6. Zrób nowe logi: OTL z opcji Skanuj, włącznie z Extras (by powstał ponownie, opcja "Rejestr - skan dodatkowy" musi być ustawiona na "Użyj filtrowania"), GMER oraz USBFix z opcji Listing. Podsumuj co robił SalityKiller.

 

 

.

[Dissendium]

Okey. Wykonałem wszystko.

 

1. Z pierwszego skanu wynikało, że Sality Killer naprawił/wyleczył (cured) zainfekowane pliki. Wykonałem restart systemu i ponownie uruchomiłem SK.

 

 

Na załączonym obrazku (w miniaturce), widać 0 zainfekowanych plików. Już po tym kroku odzyskałem dostęp do mendażera zadań i rejestru.

 

Nie posiadam natomiast dalej dostępu do gpedit.msc. Brakuje pliku MSIMG32.dl.

 

2. Pobrałem Sality_RegKeys, dodalem do rejestru SafeBootWinXP.reg.

 

3. Skrypt wykonany - dołączyć log po restarcie?

 

4. Adware V9 Homepage Uninstaller odinstalowane.

 

5. Zabezpieczyłem system za pomocą Panda USB Vaccine.

 

6. Wykonałem logi OTL, włącznie z Extras oraz GMER. Nie byłem pewny co do użycia USBFix. Nie wiem czy mogę podłączyć pendriva.

 

Jeśli dobrze myślę, to mam włożyć pendriva i wykonać Listing za pomocą USBFix, ale poczekam na odpowiedź.

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Wygląda na to, że akcja poszła sprawnie. Brak oznak czynnego Sality, brak regeneracji jego obiektów. Niemniej tu jest jeszcze jedna infekcja z mediów przenośnych, opis: KLIK / KLIK. Co pasuje do tego:

 

Nie posiadam natomiast dalej dostępu do gpedit.msc. Brakuje pliku MSIMG32.dl.

 

W logu masz kolekcję, w której widać, że plik przystawki mmc.exe został zmodyfikowany:

 

[2012-10-25 22:27:34 | 000,000,241 | ---- | M] () -- C:\WINDOWS\system.ini
[2012-10-25 22:19:47 | 000,910,336 | ---- | M] () -- C:\WINDOWS\System32\WinSit.exe
[2012-10-25 22:19:37 | 000,053,248 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\reg.exe
[2012-10-25 22:19:37 | 000,012,288 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\regsvr32.exe
[2012-10-25 22:19:33 | 000,456,704 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mspaint.exe
[2012-10-25 22:19:32 | 000,193,024 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\msconfig.exe
[2012-10-25 22:19:31 | 001,414,656 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mmc.exe
[2012-10-25 22:19:14 | 000,400,384 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\cmd.exe
[2012-10-25 12:23:44 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\Penx.dat
[2012-10-25 12:14:05 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\Xpen.dat

 

Do wykonania następujące czynności:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\WinSit.exe
C:\WINDOWS\System32\Penx.dat
C:\WINDOWS\System32\Xpen.dat
C:\Program Files\v9Soft
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. W trakcie wykonywania akcji zaginął plik HOSTS, log notuje:

 

Hosts file not found

 

Włącz pokazywanie rozszerzeń: Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Wstaw go do folderu C:\WINDOWS\system32\drivers\etc.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Uruchom SystemLook i do skanu wklej:

 

:filefind

C:\WINDOWS\System32\reg.exe
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\System32\mspaint.exe
C:\WINDOWS\System32\msconfig.exe
C:\WINDOWS\System32\mmc.exe
C:\WINDOWS\System32\cmd.exe
 
:contents
C:\WINDOWS\system.ini
C:\WINDOWS\wininit.ini
C:\WINDOWS\win.ini

 

Podaj też skan na USB:

 

 

Jeśli dobrze myślę, to mam włożyć pendriva i wykonać Listing za pomocą USBFix, ale poczekam na odpowiedź.

 

Tak. Zabezpieczenie w Panda USB Vaccine powinno zapobiec wykonaniu infekcji z nośników. Czy po użyciu Pandy zresetowałeś system? Na wszelki wypadek to zrób, by edycja rejestru zrobiona przez Pandę na 100% została zatwierdzona.

 

 

 

.

[Dissendium]

Jak obiecałem tak zrobiłem.

 

 

1. Skrypt wykonany.

 

2. Plik hosts powrócił na swoje miejsce.

 

3. Logi z OTL, SystemLook i USBFix w załączniku.

 

 

Na razie nic nie ruszałem w pendrivie - nie usuwałem. Poczekam na odpowiedź.

OTL.Txt

SystemLook.txt

UsbFix.txt

[picasso]

Aj, szukanie w SystemLook ze zmęczenie ze ścieżkami podałam, powtórz:

 

:filefind
reg.exe
regsvr32.exe
mspaint.exe
msconfig.exe
mmc.exe
cmd.exe

 

 

[Dissendium]

Zrobione.

SystemLook.txt

[picasso]

Wg SystemLook brak poprawnych kopii wymienionych plików.

 

1. Paczka plików: KLIK. Umieść je w katalogu C:\Pliki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
C:\WINDOWS\system32\reg.exe|C:\Pliki\reg.exe /replace
C:\WINDOWS\system32\regsvr32.exe|C:\Pliki\regsvr32.exe /replace
C:\WINDOWS\system32\mspaint.exe|C:\Pliki\mspaint.exe /replace
C:\WINDOWS\system32\msconfig.exe|C:\Pliki\msconfig.exe /replace
C:\WINDOWS\system32\mmc.exe|C:\Pliki\mmc.exe /replace
C:\WINDOWS\system32\cmd.exe|C:\Pliki\cmd.exe /replace
C:\WINDOWS\wininit.ini
G:\rxmidi.pif
G:\autorun.inf
G:\kkaal.cmd
G:\AUTORUN_.INF

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Przedstaw: log z przetwarzania skryptu (nie rób nowego skanu OTL), SystemLook na te same warunki co w moim poprzednim poście oraz USBFix z opcji Listing.

 

 

.

[Dissendium]

Wykonałem.

 

Logi w załączniku.

SystemLook.txt

UsbFix.txt

10262012_112048.txt

[picasso]

Pliki zostały pomyślnie podstawione, czyli pytam: czy błąd przy uruchamianiu gpedit.msc ustąpił? Natomiast jeden plik z pendrive odmówił usunięcia:

 

[19/11/2009 - 12:44:44 | H | 313] 	G:\autorun.inf

 

Wejdź na pendrive, otwórz ten plik w Notatniku i przeklej co w nim jest.

 

 

.

 

 

[Dissendium]

Mogę już uruchomić gpedit.msc.

 

 

Pliku nie widać na pendrivie, mimo iż mam zaznaczoną opcję pokazywania ukrytych plików.

[picasso]

Pliku nie widać na pendrivie, mimo iż mam zaznaczoną opcję pokazywania ukrytych plików.

 

Wg USBFix plik jest na pendrive, no chyba że po zrobieniu loga coś się dodatkowego wydarzyło. Start > Uruchom > cmd i wpisz komendę type G:\autorun.inf. Błąd braku ścieżki? Jeśli nie, przeklej co się wyświetli.

 

 

.

[Dissendium]

Wyskakuje "Odmowa dostępu".

[picasso]

To może to jest ... plik zabezpieczający zrobiony przez Panda USB Vaccine (choć rozmiar mi się nie zgadzał)? Czy prowadziłeś na urządzeniu ręcznie tę operację USB Vaccination? Czy w konfiguracji programu zaznaczałeś automatyczną immunizację każdego podpinanego USB?

 

 

 

[Dissendium]

Podczas instalacji zaznaczyłem tylko opcję "NTFS Support". Później po włożeniu pendriva, przeprowadziłem ręcznie operację USB Vaccination.

 

 

Przeczytałem teraz w opisie progamu - ". Na NTFS obiekt autorun.inf jest zupełnie niewidzialny, ale znakiem działania ochrony jest niemożność utworzenia obiektu o takiej nazwie, oznajmiana komunikatem "taka nazwa już istnieje"."

 

To by wyjaśniało, ale pewien nie jestem.

[picasso]

Skoro prowadziłeś USB Vaccination, to ten autorun.inf zwracający "Odmowę dostępu" to jest plik zabezpieczający Pandy. W związku z tym przejdź już do kolejnych czynności:

 

1. Porządki po narzędziach: odinstaluj USBFix, w OTL uruchom Sprzątanie.

 

2. Dla pewności wykonaj pełny skan wszystkich dysków za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera musisz ręcznie ustawić skan całości. Skan potrwa.

 

3. Dodatkowa uwaga: po leczeniu Sality może się zdarzyć, że coś będzie szwankować (błędy aplikacji), wtedy należy przeinstalować dany program ze świeżo pobranego instalatora.

 

 

 

.

[Dissendium]

1. USBFix odinstalowany, OTL się sprzątnął.

 

2. KVRT done. Załączam log(?) ze skanu.

 

3. Zauważyłem, kilka programów wysypało.

 

Tak na marginesie. Mogę usunąć już folder Pliki z dysku C? Drugie pytanie: Pendrive mogę już sformatować?

 

 

Za pomoc w usunięciu tego cholerstwa naprawdę dziękuję. Jestem wdzięczny.

KVRT.txt

[picasso]

To nie jest log właściwy z Kasperskiego. Skoro tylko to podajesz, rozumiem, że nic nie wykrył? I na koniec zaktualizuj soft (KLIK), w Twoim logu widać następujące wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 17
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) ----> już jest najnowsza
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 5.4.4

 

Te stare Adobe i Java odinstaluj przed wprowadzeniem nowej wersji.

 

 

Tak na marginesie. Mogę usunąć już folder Pliki z dysku C? Drugie pytanie: Pendrive mogę już sformatować?

 

Dwa razy: Tak. Po formacie urządzenia należy z powrotem go zabezpieczyć za pomocą Pandy opcją USB Vaccination, bo format rzecz jasna uziemi zabezpieczenie.

 

 

 

.

[Dissendium]

Wszystko jest w porządku. Zaktualizowałem wersję. Sformatowałem pendrive, usunąłem Pliki z dysku C.

 

 

Dziękuję bardzo za pomoc .