Menadżer zadań oraz regedit zablokowane

[negativepl]

Witam.

Problem wystąpił u mojego kolegi. Menadżer zadań oraz regedit nie otwierają się. Wyskakuję błąd "Menadżer zadań został wyłączony przez administratora" tak samo w przypadku z regedit. Próbowaliśmy kilkoma sposobami jakie były podane w sieci ale nic to nie dało.

Jednym z nich było użycie takiego skryptu:

 

; Aby odblokować edytor Rejestru - Regedit należy zaznaczyć
; plik inf w eksploratorze, otworzyć menu kontekstowe pliku
; (prawy klawisz myszy lub Shift+F10)
; i wybrać opcję "Zainstaluj"
[version]
signature="$CHICAGO$"
[DefaultInstall]
DelReg = Del_DisableRegistryTools.Reg
[Del_DisableRegistryTools.Reg]
HKCU,%Location%,DisableRegistryTools
HKCU,%Location%,DisableRegedit
HKLM,%Location%,DisableRegistryTools
HKLM,%Location%,DisableRegedit
[strings]
Location="SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

 

Sprawdzaliśmy logi z OTL i znaleźliśmy prawdopodobnie Sality. Nie wiedziałem co zrobić więc zgłosiłem się tutaj.

Logi z OTL załączam w pliku.

OTL.Txt

[picasso]

Log z OTL niekompletny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Brak też obowiązkowego raportu z GMER. Był tu też uruchamiany jakiś skrypt do OTL = jaki / skąd?

 

 

Sprawdzaliśmy logi z OTL i znaleźliśmy prawdopodobnie Sality. Nie wiedziałem co zrobić więc zgłosiłem się tutaj.

 

Niestety to fakt:

 

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\konjmk.sys -- (abp470n5)

 

Ciężka infekcja w plikach wykonywalnych. Tu może być format na widoku. Wstępnie:

 

1. Pobierz SalityKiller. Wykonaj nim skan do skutku. Skan należy powtórzyć tyle razy, aż zwróci zero zainfekowanych plików. Dopiero po tym:

 

2. Pobierz Sality_RegKeys. Z paczki uruchom plik SafeBootWinXP.reg i potwierdź import do rejestru,

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=prs&from=prs&uid=6QF4XAZD_MAXTORSTM3320620AS&ts=1352821764"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=prs&from=prs&uid=6QF4XAZD_MAXTORSTM3320620AS&ts=1352821764"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4612_3&babsrc=SP_ss&mntrId=cc8e3067000000000000005345000000"
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=748667E4-1B14-4FB7-8ECE-D02054D259D2&apn_sauid=855AC630-C4C7-4E11-A352-366189F961A3"
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={AA07766B-FB5C-440C-8D27-AF72B8B227DF}&mid=ca4a9faa6af847d087f4d1544951a318-283af06ccdd5329018bec0cdbe984c38c9c8a466&lang=pl&ds=ax011&pr=&d=2012-12-03 17:45:11&v=13.2.0.4&sap=dsp&q={searchTerms}"
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension [2012-11-13 15:45:08 | 000,000,000 | ---D | M]
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [MSConfig] C:\Documents and Settings\Właściciel\yliszsgl.exe (TODO: )
O9 - Extra Button: Zaznaczanie HP Smart - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - Reg Error: Key error. File not found
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\23796~1.11\{16cdf~1\browse~1.dll) - c:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll ()
SRV - [2012-10-11 12:17:59 | 002,312,216 | ---- | M] () [Auto | Running] -- C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe -- (Browser Manager)
DRV - File not found [Kernel | On_Demand | Stopped] -- G:\sterowniki\everest\kerneld.wnt -- (EverestDriver)
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\Właściciel\Dane aplikacji\Babylon
C:\Documents and Settings\Właściciel\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Babylon
C:\Documents and Settings\Właściciel\Pulpit\SoftonicDownloader_dla_tibia.exe
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\WINDOWS\System32\crash
C:\WINDOWS\System32\custmon32i.dll
C:\WINDOWS\System32\Rundel.exe
C:\WINDOWS\System32\Rundelhk.dll
C:\WINDOWS\System32\Rundelr.exe
C:\WINDOWS\System32\inst.dat
C:\WINDOWS\System32\mc.dat
C:\WINDOWS\System32\bpk.dat
C:\WINDOWS\System32\pk.bin
@C:\WINDOWS\Temp:temp
netsh firewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Przez Dodaj/Usuń programy odinstaluj adware Ask Toolbar, Ask Toolbar Updater, AVG Security Toolbar, Browser Manager, Claro LTD Toolbar, DefaultTab. O ile zdołasz, bo uszkodzenia Sality mogą to uniemożliwić.

 

5. Google Chrome: W Rozszerzeniach odinstaluj Ask Toolbar, Babylon Toolbar, Settings Protector. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym Claro Search usuń z listy. Usuń też strony startowe i Historię.

 

6. Firefox: wyczyść poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

7. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

8. Zrób nowe logi: OTL z opcji Skanuj (przypominam o Extras i zaległy GMER. Dołącz log utworzony przez AdwCleaner. Wypowiedz się też wyraźnie jakie statystyki były w SalityKiller.

 

 

 

.

[negativepl]

Kolega przed chwilką zrobił przywracanie systemu. I podobno już go nie ma w logach. Więc nie wiem . Dziękuję za pomoc

Pozdrawiam Dawid.

[picasso]

Przywracanie systemu to za mało.

- Po pierwsze: ocenianie likwidacji Sality po logu z OTL to żadna weryfikacja, sterownik to jedynie część mechanizmu.

- Po drugie: tu jest system XP i bardzo mierny system Przywracania systemu, nie to co w Windows Vista i Windows 7 (cień woluminu), tylko limitowane przywracanie.

- Po trzecie: aż dwa dyski (C+D), Sality infekuje wszystkie wykonywalne na wszystkich dyskach, Przywracanie musiałoby być zrobione na wszystkie dyski.

- Po czwarte: w raportach był taki brud, że bardzo wątpliwe byście dali radę "Przywracaniem" wszystko skorygować.

 

Skan SalityKiller nadal aktualny, i trzeba nowe raporty podać (OTL + GMER), by było wiadome jakie są zmiany.

 

 

.

Edytowane 7 Marca 2013 przez picasso
7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso