Problem z menagerem zadań

[rafi2024]

Witam.

Mam Problem z Menadzerem zadań.

 

 

 

Po wciśnięciu "crtl+alt+delete" powinien otworzyć mi się menadżer zadań. Niestety wyskakuje okno z informacją: Menadżer zadań został wyłączony przez Administratora".

 

Gdy chcę otworzyć Zaporę systemu wyskakuje okno z komunikatem "Nie można wyświetlić ustawień zapory systemu Windows ponieważ skojarzona usługa nie jest uruchomiona."

 

Więc pytam o co tu chodzi???

Nie rozumiem czemu mi się coś takiego stało. Konto jest głównym kontem jestem Administratorem komputera oraz jestem świeżo po formacie zarówno jak i przed ten sam problem występował lecz nie długo.

Proszę o pomoc Was , w szukałem ale porady nie poskutkowały.

 

Nie wiem w ogóle skąd to się wzięło

Nie mam już siły myśleć nad tym gdy wybieram opcje "uruchom" wpisuję regedit nie mogę się dostać do rejestru. Robiłem format 3 razy oraz usuwałem starą partycję instalowałem na nową surową i nie pomaga nic!!

 

Proszę o pomoć bo już nie wiem co z tym mam zrobić.

[FirstAID]

Trafiłeś w dobre ręce , ale żeby ktoś mógł ci pomóc, to potrzeba szerszych informacji.

Takie dostarcza raport z OTL:

Instrukcja

[rafi2024]

Trafiłeś w dobre ręce

Mam nadzieję że mi pomożecie .

 

oto te dwa raporty.

do pobrania tutaj.

http://www65.zippyshare.com/v/12346644/file.html

 

Co wy tam widzicie?Bo ja nie widze nic nie moge dostac sie do rejestru. Wchodzę w start---uruchom---gpedit.msc tam wylaczylem opcje klawiszy crtl+alt+delete i na chwile dostepnego mialem menadzera , za chwile zrobilem restart komputera i klopot nadal wystepuje.

[picasso]

Proszę raporty wstaw jako Załączniki tekstowe forum. Po pierwsze: po co korowody z pobieraniem. Po drugie: RAR z systemu podejrzanego o zainfekowanie.

[rafi2024]

Dodane jako załączniki.

Extras.Txt

OTL.Txt

[picasso]

Niestety, to było tu już przeczuwane. Tu jest okropny wirus Sality, który niszczy wszystkie pliki wykonywalne. Wirusa reprezentuje sterownik amsint32, ukryty plik autorun.inf + mapowanie dysków jako konsekwencja uruchomienia zainfekowanego autorun.inf oraz autoryzacje w zaporze z dopiskiem "ipsec" (m.in. widać zainfekowany explorer.exe Windows, nVidia oraz Livebox):

 

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pokjn.sys -- (amsint32)
 
[2012-03-14 02:32:25 | 000,103,140 | RHS- | C] () -- C:\xfxup.pif
[2012-03-14 02:32:08 | 000,000,253 | RHS- | C] () -- C:\autorun.inf
 
O33 - MountPoints2\{234e5b87-6d7f-11e1-a602-000d61abb376}\Shell\AuToplAY\commaNd - "" = F:\msvxw.exe
O33 - MountPoints2\{234e5b87-6d7f-11e1-a602-000d61abb376}\Shell\AutoRun\command - "" = F:\msvxw.exe
O33 - MountPoints2\{234e5b87-6d7f-11e1-a602-000d61abb376}\Shell\Explore\ComMand - "" = F:\msvxw.exe
O33 - MountPoints2\{234e5b87-6d7f-11e1-a602-000d61abb376}\Shell\oPEn\coMmAND - "" = F:\msvxw.exe
O33 - MountPoints2\{68b8dbc3-6d73-11e1-a5fd-000d61abb376}\Shell\AutOplaY\cOmmANd - "" = F:\tanv.exe
O33 - MountPoints2\{68b8dbc3-6d73-11e1-a5fd-000d61abb376}\Shell\AutoRun\command - "" = F:\tanv.exe
O33 - MountPoints2\{68b8dbc3-6d73-11e1-a5fd-000d61abb376}\Shell\Explore\Command - "" = F:\tanv.exe
O33 - MountPoints2\{68b8dbc3-6d73-11e1-a5fd-000d61abb376}\Shell\OPEn\command - "" = F:\tanv.exe
O33 - MountPoints2\{9f38b9bc-6d77-11e1-9645-806d6172696f}\Shell\AuToPLaY\COmMand - "" = C:\xfxup.pif -- [2012-03-14 02:32:25 | 000,103,140 | RHS- | M] ()
O33 - MountPoints2\{9f38b9bc-6d77-11e1-9645-806d6172696f}\Shell\AutoRun\command - "" = C:\xfxup.pif -- [2012-03-14 02:32:25 | 000,103,140 | RHS- | M] ()
O33 - MountPoints2\{9f38b9bc-6d77-11e1-9645-806d6172696f}\Shell\explOrE\CoMMAnD - "" = C:\xfxup.pif -- [2012-03-14 02:32:25 | 000,103,140 | RHS- | M] ()
O33 - MountPoints2\{9f38b9bc-6d77-11e1-9645-806d6172696f}\Shell\open\command - "" = C:\xfxup.pif -- [2012-03-14 02:32:25 | 000,103,140 | RHS- | M] ()
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"F:\tanv.exe" = F:\tanv.exe:*:Enabled:ipsec
"C:\Program Files\Livebox\SessionManager\SessionManager.exe" = C:\Program Files\Livebox\SessionManager\SessionManager.exe:*:Enabled:ipsec -- (France Telecom SA)
"C:\WINDOWS\system32\nwiz.exe" = C:\WINDOWS\system32\nwiz.exe:*:Enabled:ipsec -- ()
"C:\WINDOWS\Explorer.EXE" = C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation)
"C:\DOCUME~1\Rafal\USTAWI~1\Temp\yris.exe" = C:\DOCUME~1\Rafal\USTAWI~1\Temp\yris.exe:*:Enabled:ipsec
"C:\DOCUME~1\Rafal\USTAWI~1\Temp\qdwtp.exe" = C:\DOCUME~1\Rafal\USTAWI~1\Temp\qdwtp.exe:*:Enabled:ipsec
"C:\DOCUME~1\Rafal\USTAWI~1\Temp\wingqprje.exe" = C:\DOCUME~1\Rafal\USTAWI~1\Temp\wingqprje.exe:*:Enabled:ipsec
"C:\DOCUME~1\Rafal\USTAWI~1\Temp\wjhqs.exe" = C:\DOCUME~1\Rafal\USTAWI~1\Temp\wjhqs.exe:*:Enabled:ipsec
"C:\Program Files\Livebox\connectivity\CoreCom\OraConfigRecover.exe" = C:\Program Files\Livebox\connectivity\CoreCom\OraConfigRecover.exe:*:Enabled:ipsec -- (France Telecom SA)
"C:\DOCUME~1\Rafal\USTAWI~1\Temp\windrprco.exe" = C:\DOCUME~1\Rafal\USTAWI~1\Temp\windrprco.exe:*:Enabled:ipsec
"C:\DOCUME~1\Rafal\USTAWI~1\Temp\swtkgr.exe" = C:\DOCUME~1\Rafal\USTAWI~1\Temp\swtkgr.exe:*:Enabled:ipsec
"C:\DOCUME~1\Rafal\USTAWI~1\Temp\winttwlx.exe" = C:\DOCUME~1\Rafal\USTAWI~1\Temp\winttwlx.exe:*:Enabled:ipsec
"C:\DOCUME~1\Rafal\USTAWI~1\Temp\winafdo.exe" = C:\DOCUME~1\Rafal\USTAWI~1\Temp\winafdo.exe:*:Enabled:ipsec
"C:\DOCUME~1\Rafal\USTAWI~1\Temp\wincusrr.exe" = C:\DOCUME~1\Rafal\USTAWI~1\Temp\wincusrr.exe:*:Enabled:ipsec -- ()

 

Wirus wprowadza także blokadę menedżera zadań i rejestru oraz całkowicie kasuje Tryb awaryjny z rejestru (objawione jako BSOD i autoreset przy próbie wejścia w ten tryb) ... i dopóki wirus jest aktywny, te blokady / szkody wracają jak bumerang. Sality może wymagać przeformatowania całego dysku, w zależności od tego jak wiele szkód już jest.

 

 

jestem świeżo po formacie zarówno jak i przed ten sam problem występował lecz nie długo.

 

Skoro wirus powraca po formacie to oznacza, że masz gdzieś skopiowane źródło wirusa np. jakieś urządzenie przenośne lub zbackupowane sprzed formatu instalki / sterowniki zarażone Sality. I skoro to system wprost po formacie, ja radzę formatować od razu, bo czyszczenie ręczne to bóle:

 

 

---

Zakładając, że podejmujemy się czyszczenia ręcznego, które nie ma gwarancji:

 

1. Wstępnie zablokuj wykonywanie autorun.inf i usuń niektóre fragmenty (to nie zatrzyma infekowania, które już jest w toku). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
:Files
C:\xfxup.pif
C:\autorun.inf
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otrzymasz log z wynikami usuwania. Zachowaj go do późniejszego wglądu.

 

2. Pobierz SalityKiller. Wykonaj nim skan do skutku, powtarzany tyle razy, ile będzie potrzebne, by uzyskać zwrot zero zainfekowanych. Dopiero wtedy:

 

3. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

4. Wygeneruj do oceny nowe logi: OTL opcją Skanuj (by powstał po raz drugi log Extras, należy przestawić opcję "Rejestr - skan dodatkowy" na "Użyj filtrowania") + log z GMER.

 

 

 

.

[rafi2024]

należy przestawić opcję "Rejestr - skan dodatkowy" na "Użyj filtrowania") + log z GMER.

 

Ja już miałem tą opcję wybraną "Użyj filtrowania" lecz log z GMER tam nie widziałem. Nie znam się.

W załączniku 3 pliczki.

 

I co teraz ? Pomogło w ogóle coś to ręczne usuwanie??

 

PS.Będę miał pytanko ale to później.

OTL.Txt

Extras.Txt

Nowy Dokument tekstowy.txt

[picasso]

Tak szybko wykonałeś to (?):

 

SalityKiller. Wykonaj nim skan do skutku, powtarzany tyle razy, ile będzie potrzebne, by uzyskać zwrot zero zainfekowanych.

 

Czy na pewno SalityKiller nie notuje już infekcji? Wirus wygląda na czynnego. Log z OTL nadal pokazuje usługę Sality w stanie "Running":

 

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\funkn.sys -- (amsint32)

 

Są też nowe ukryte pliki wygenerowane na dysku:

 

[2012-03-14 23:45:48 | 000,033,508 | RHS- | C] () -- C:\hjpsw.exe
[2012-03-14 23:45:29 | 000,000,305 | RHS- | C] () -- C:\autorun.inf
[2012-03-14 23:21:06 | 000,021,220 | RHS- | C] () -- C:\vcciap.exe

 

Powtórz operację z SalityKiller. Mówię: do skutku.

 

 

lecz log z GMER tam nie widziałem. Nie znam się.

 

Ty miałeś wejść w podany link, pobrać narzędzie i zrobić nim log ...

 

 

Ja już miałem tą opcję wybraną "Użyj filtrowania"

 

OTL uruchomiony więcej niż raz przestawia tę opcję na "Brak", dlatego podkreślałam to ustawienie.

 

 

 

.

 

 

 

 

[rafi2024]

Tak szybko wykonałeś to (?):

 

Tak. Za 3 razem nie wykrył żadnej infekcji.

 

Co do GMER wiem co miałem zrobić ,po prostu ie zauważyłem że to link

Także proszę bardzo o to log z GMER:

 

 

@EDIT

 

Przed chwilą wykonałem jeszcze raz skan SalityKiller i kolejny raz nie wykrył żadnej infekcji.

 

Więc jak teraz wygląda sprawa?

Nowy Dokument tekstowy (2).txt

[picasso]

Jak sprawa wygląda jeszcze nie stwierdzone do końca. Ostatni log z OTL nadal pokazywał obiekty Sality. W związku z tym, że SalityKiller nic już nie widzi, to biorę się poniżej za te elementy widzialne w OTL. Ale nadal niepokoi sprawa: dlaczego to po formacie wróciło, gdzieś musisz mieć zainfekowany obiekt (albo urządzenie typu pendrive albo kopię zapasową jakiś plików). Dlatego zadaję pytanie jak wyglądały instalacje po formacie, co robiłeś, co i skąd instalowałeś, czy podpinałeś jakieś określone urządzenie?

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\funkn.sys -- (amsint32)
 
:Files
del /q C:\hjpsw.exe /C
del /q C:\vcciap.exe /C
del /q C:\autorun.inf /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log, który zaprezentujesz.

 

2. Zrób nowy log z OTL na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej C:\*.* i klik w Skanuj (a nie Wykonaj skrypt!).

 

 

 

.

[rafi2024]

Po instalacji podłączałem 2 pendrive i instalowałem programy z płytki które pobierałem wcześniej z internetu. Źródeł nie pamiętam, ale to nie było tylko jedno źródło typu "instalki.pl" itp.

 

 

Mnie też dziwiło to że po 3 czy też 4 wykonanych pełnych formatach ten problem nadal istnieje. Więc napisałem tutaj , bo sam z tym sobie za nic w życiu bym nie poradził.

 

 

A tu proszę bardzo, logi o które prosiłaś.

 

I co teraz robimy?

Nowy Dokument tekstowy.txt

OTL.Txt

Extras.Txt

[picasso]

Usługa Sality zniknęła (przy czynnym wirusie jest to niemożliwe), więc chyba najgorsza część z głowy. Ale nadal na dysku ukryte pliki, te które skrypt miał kasować i tego z jakiegoś nieznanego powodu nie uczynił:

 

[2012-03-14 23:45:48 | 000,033,508 | RHS- | C] () -- C:\hjpsw.exe
[2012-03-14 23:45:29 | 000,000,305 | RHS- | C] () -- C:\autorun.inf
[2012-03-14 23:21:06 | 000,021,220 | RHS- | C] () -- C:\vcciap.exe

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\hjpsw.exe
C:\autorun.inf
C:\vcciap.exe

 

Klik w Wykonaj skrypt.

 

2. Przedstaw log z usuwania OTL oraz nowy log z OTL z opcji Skanuj (już bez Extras).

 

 

Po instalacji podłączałem 2 pendrive i instalowałem programy z płytki które pobierałem wcześniej z internetu. Źródeł nie pamiętam, ale to nie było tylko jedno źródło typu "instalki.pl" itp.

 

Szczególnie podejrzane te pendrivy jako ewentualny nośnik Sality. Czy nadal masz je w posiadaniu?

 

 

 

.

[rafi2024]

Szczególnie podejrzane te pendrivy jako ewentualny nośnik Sality. Czy nadal masz je w posiadaniu?

 

Tak mam, lecz na chwilę obecną ich nie podłączam do komputera. Wolę nie ryzykować.

 

 

 

Usunęło te pliki , za drugim razem powtórzyłem tą samą czynność i wyświetliło że nie znaleziono plików

autorun.inf i jeszcze tych pozostałych dwóch.

 

 

Także to już koniec zz borykaniem się w tym problemie , czy może jeeszcze jakiś test dla 100%-owej pewności?

OTL.Txt

Nowy Dokument tekstowy.txt

[picasso]

Wykonaj czynności końcowe:

 

1. W OTL uruchom Sprzątanie, które samoskasuje z dysku OTL i jego kwarantannę z plikami Sality.

 

2. Na wszelki wypadek zrób skanowanie za pomocą programu antywirusowego. W związku z tym, że aktualnie system nie ma żadnego antywirusa, od razu proponuję instalację Avast i wykonanie za jego pomocą skanu całego dysku. Jeżeli nic nie wykryje:

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Windows KLIK, ma status krytyczny aktualizacji:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

 

 

Tak mam, lecz na chwilę obecną ich nie podłączam do komputera. Wolę nie ryzykować.

 

Te pendrivy muszą zostać sprawdzone, a jeżeli na nich zostaną wykryte niepożądane obiekty to i wyczyszczone oraz zabezpieczone. Na początku importowałam w skrypcie OTL blokadę na wykonawstwo autorun.inf:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"

 

Zainstaluj Panda USB Vaccine i sprawdź czy rzeczywiście ten import do rejestru się wykonał, tzn. czy Panda w sekcji Computer Vaccination pokazuje napis Computer Vaccinated. Jeśli tak, podepnij wszystkie pendrive, nie otwieraj ich (!), zrób log z USBFix z opcji Listing.

 

 

 

.

[rafi2024]

Jeżeli nic nie wykryje:

 

Wykrył 6 elementów. Zostały już usunięte.

I dalej krok po kroku do

 

czy Panda w sekcji Computer Vaccination pokazuje napis Computer Vaccinated. Jeśli tak, podepnij wszystkie pendrive, nie otwieraj ich (!), zrób log z USBFix z opcji Listing.

 

Tak też zrobiłem.

 

Daje dwa logi, ponieważ mam tylko 2 poty USB i musiałem 1 mieć do obsługiwania myszki.

 

 

I co teraz?

Nowy Dokument tekstowy.txt

Nowy Dokument tekstowy (2).txt

[picasso]

Te pendrivy mają pliki Sality, z obu urządzeń wycinki ze skanu pokazujące ukryte pliki PIF / EXE:

 

[12/03/2012 - 03:18:42 | RSH | 103140] F:\iwti.pif

 

[12/03/2012 - 20:44:46 | RSH | 103140] F:\tanv.exe

 

Po kolei podpinaj pendrivy i wykonaj na nich następujące operacje:

 

1. W Panda USB Vaccine zastosuj opcję USB Vaccination, która wygeneruje ukryte zabezpieczone przed usuwaniem falsyfikaty autorun.inf mające na celu ochronę urządzeń przed zapisaniem na nich plików autorun.inf infekcji.

 

2. Dla każdego pendrive wykonaj po kolei skrypt do OTL dopasowany do zawartości danego urządzenia:

 

:Files
F:\iwti.pif

 

:Files

F:\tanv.exe

 

Po wykonaniu skryptów w OTL uruchom Sprzątanie kasujące kwarantannę.

 

3. Przeskanuj po kolei oba pendrive za pomocą Avasta.

 

 

 

.

[rafi2024]

Niestety.

W Panda USB Vaccine zastosuj opcję USB Vaccination.

 

Robię tak lecz program się wiesza.

 

Może innym można to zrobić??

[picasso]

Żaden inny program nie stosuje takiej blokady jak Panda, jest to najlepsza metoda zabezpieczenia urządzeń, bo blokadę tę mogą usunąć tylko dwie akcje: hex edycja dysku lub format urządzenia. Skoro się wiesza, to na razie to opuść i wykonaj w pierwszej kolejności czyszczenie urządzeń.

[rafi2024]

Ok.

Formatowanie zrobione oraz skan Avastem nie wykazał nic. Co teraz?

 

Wykonać te skrypty? O których pisałaś wyżej??

[picasso]

No ale skoro zrobiłeś formatowanie, to skrypty już są nieaktualne. Natomiast Avastem przeskanuj jeszcze płytę z programami, mówiłeś "instalowałem programy z płytki które pobierałem wcześniej z internetu". Płyta nie jest pewna, nie wiadomo kiedy zgrywałeś na nią instalki, może już z kompa, który miał czynnego Sality.

 

Poza tym, czy wykonałeś aktualizacje Windows?

 

 

 

.

[rafi2024]

Nie wykonałem. Dlaczego?

 

Bo mam nielegalne oprogramowanie.

Więc nie wiem czy to zrobić. Odradzano mi.

 

Więc zrobić mimo to?

[picasso]

Da się zainstalować SP3+IE8 na "legalnym inaczej", ale niestety nie uzupełnisz wszystkich zabezpieczeń wydanych już po dacie publikacji SP3 (od roku 2008 wydano masę łat i te już z Windows Update muszą być pobrane, a Windows Update wykryje pirata i nie pozwoli nic pobrać).

 

A sytuacja jest bardzo niezdrowa i ten kto "odradzał" aktualizacje powinien iść do piachu. Przecież ten system to jest jedno wielkie sito! Narażanie na nieustanne infekcje, odcięcie od krytycznych łat. Nawet jeśli wykonasz instalacje podane wyżej, to i tak Windows duuuuużo brakuje.

 

 

 

.

[rafi2024]

ten kto "odradzał" aktualizacje powinien iść do piachu.

Rozumiem. Czyli ja razem z nim , bo nie zrobiłem tej aktualizacji. hehe

 

W sumie mam zamiar nie długo ( około 3, 4 miesięcy zmienić komputer na lepszy.) z legalnym oprogramowaniem także wiesz.

Antywirusem będę co jakiś czas wykonywał skanowanie dysku , oraz na torentach znajdę SP3+IE8 i zainstaluję. Skoro mówisz że to w jakimś stopniu pokryje to czego brak.To tak zrobię.

 

Płyta którą nagrywałem właśnie skanuję kończy się proces skanowania i jak na razie 0 zagrożeń.

 

Więc takie pytanko.

Coś jeszcze muszę zrobić?

[picasso]

oraz na torentach znajdę SP3+IE8 i zainstaluję

 

W żadnym wypadku! Podałam oryginalne linki pobierania i tylko te są jedynymi gwarantującymi, że nie ma w nich trojana. Bez przeszkód z tych linków pobierzesz oba instalatory wprost, to są linki do instalatorów uruchamianych z dysku a nie technika Windows Update.

 

 

Więc takie pytanko.

Coś jeszcze muszę zrobić?

 

Koniec.

 

.

[rafi2024]

Dziękuję Ci pięknie za pomoc!!

 

Solidna firma a raczej Kobieta, oby więcej takich osób.

Pozdrawiam.