Nie mogę uruchomić żadnego antywirusa oraz managera zadań

[MisPys]

Witam
Mam problem z kompem. Walczę z tym od wczoraj, na początku nie mogłem uruchomić żądnego antywirusa. Nic nie działało. Nie dało się wejść na stronę producentów antywirusów i zainstalować żadnego. W komputerze nie uruchamia się tryb awaryjny. Po wybraniu awaryjnego komputer restartuje się i ładuje system normalnie. Przez długi czas nie mogłem łączyć biosa, jak już mi się udało i ustawiłem ładowanie z cd w pierwszej kolejności to zauważyłem że live cd i tak się nie ładuje. Nie mogę też włączyć managera zadań, wyskakuje komunikat że administrator wyłączył, a jestem zalogowany jako administrator. Wczoraj wieczorem Dr Web po szybkim skanie wyleczył około 300 i usuną 15 plików. Po pełnym skanie 1500 wyleczonych i 30 usuniętych. Dziś znów nim skanowałem, poza tym malwerbytes, HijackThis i OTL.
Załączam logi:
OTL: http://wklej.org/id/533441/
HijackThis: http://wklej.org/id/533442/
Malwarebytes: http://wklej.org/id/533443/
dr web: http://wklej.org/id/533444/

Proszę o pomoc w zrozumieniu informacji z logów i wskazówki co dalej.
Z góry dziękuję.

[mateo8898]

Masz Sality, więc na razie żadne logi tu nic nie pomogą, gdyż trzeba wyleczyć zainfekowane pliki. Zastosuj się do tej instrukcji viewtopic.php?f=22&t=20698#p111372, a po udanym leczeniu podaj nowe logi z OTL, tylko wykonaj je porządnie tak jak tu jest to opisane viewtopic.php?f=22&t=13967#p107754 oraz log z Gmer viewtopic.php?f=22&t=13967#p88736

EDIT:
Przed leczeniem z podłączonymi pamięciami przenośnymi użyj jeszcze UsbFix z opcji Deletion i podaj utworzony log.

[MisPys]

Log z gmera: http://wklej.org/id/533497/
nie mogę się połączyć ze stroną kacperskego ani symanteca. Dr web idzie już 5 raz. wcześniej znajdował dużo plików zarażonych virutem. Live cd nadal się nie bootuje.

[mateo8898]

Ale przecież pisałem, że logi z OTL i Gmer podajesz po udanym leczeniu, a nie przed. Poza tym przed leczeniem miałeś użyć UsbFix, bo prawdopodobnie pamięć przenośna była źródłem infekcji.

Alternatywny link do szczepionki http://www.speedyshare.com/files/285864 ... killer.zip

Jak chcesz się tego ustrojstwa pozbyć (a nie jest to łatwe), to wykonuj dokładnie podawane zalecenia.

[MisPys]

Mam nowe logi.
OTL: http://wklej.org/id/534159/ http://wklej.org/id/534160/
GMER: http://wklej.org/id/534162/
usbfix: http://wklej.org/id/534165/
i jeszcze z kacperskiego: http://wklej.org/id/534167/

dr web już nic nie znajduje

długo się zeszło bo jedno skanowanie dr web trwało 3 gpdziny

[mateo8898]

No ładnie, oprócz Sality jeszcze tu Viruta miałeś, który także infekuje pliki wykonywalne oraz Confickera.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
SRV - File not found [Disabled | Stopped] -- -- (ServiceLayer)
SRV - File not found [Disabled | Stopped] -- -- (Application Updater)
DRV - [2011-05-23 12:28:09 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ute4mzy1.sys -- (ute4mzy1)
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163"
FF - prefs.js..browser.search.selectedEngine: "Yahoo"
FF - prefs.js..extensions.enabledItems: [email protected]:1.1.2
FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p="
[2011-04-25 13:57:05 | 000,002,569 | ---- | M] () -- C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\fgyqzb7p.default\searchplugins\askcom.xml
[2010-09-23 20:51:09 | 000,000,000 | ---D | M] (pdfforge Toolbar Plugin) -- C:\PROGRAM FILES\PDFFORGE TOOLBAR\FF
[2011-05-21 20:33:26 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011-05-21 16:58:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\x\DoctorWeb
[2011-04-25 14:12:04 | 000,503,296 | ---- | C] () -- C:\WINDOWS\System32\aswBoot.exe
[2010-09-23 21:06:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\x\Dane aplikacji\pdfforge
[2010-09-23 21:06:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\x\Dane aplikacji\Search Settings

:Services
CRVS

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE"=-
"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"=-
"C:\WINDOWS\SOUNDMAN.EXE"=-
"D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"=-
"C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe"=-
"C:\WINDOWS\explorer.exe"=-
"C:\Program Files\Mozilla Firefox\firefox.exe"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[MisPys]

Log z wykonania skryptu: http://wklej.org/id/534246/
i nowe logi z OTL: http://wklej.org/id/534271/ http://wklej.org/id/534273/

[mateo8898]

W OTL wklej:

:OTL
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\x\Pulpit\OTL.exe"=-

:Services
RichVideo

Klikasz Wykonaj skrypt, później Sprzątanie

W UsbFix kliknij Uninstall

Odinstaluj Kaspersky Virus Removal Tool

Przeczyść dysk oraz rejestr CCleaner

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9.1 - Polish

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

Zaktualizuj Firefoksa do najnowszej wersji (Firefox Pomoc Sprawdź dostępność aktualizacji...)

[MisPys]

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\{AEB6717E-7E19-11d0-97EE-00C04FD91972} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\ not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\x\Pulpit\OTL.exe deleted successfully.
========== SERVICES/DRIVERS ==========
Service RichVideo stopped successfully!
Service RichVideo deleted successfully!

OTL by OldTimer - Version 3.2.22.3 log created on 05232011_224426

[MisPys]

Bardzo dziękuję za pomoc.
Mam nadzieję że pozbyliśmy się tego draństwa na dobre.
Niepokoi mnie jeszcze tylko jedna rzecz. Nadal n włącza się skaner z live cd. CD-rom działa, w biosie ustawione jest bootowanie pierwszej kolejności z CD, ale mimo restartów systemu płyta nie odpala. Czy to jakiś problem z podłączeniem czy jeszcze coś siedzi w kompie? No i nadal nie działa tryb awaryjny.

I jeszcze jedno pytanie. Czy możliwe jest że telefon został zarażony? Czym go przeskanować nie ryzykując zarażenia komputera?

[mateo8898]

Nadal n włącza się skaner z live cd. CD-rom działa, w biosie ustawione jest bootowanie pierwszej kolejności z CD, ale mimo restartów systemu płyta nie odpala.

A płytę nagrywałeś na innym, niezainfekowanym komputerze???

No i nadal nie działa tryb awaryjny.

Pobierz i rozpakuj ten plik http://support.kaspersky.com/downloads/ ... egkeys.zip Następnie uruchom plik SafeBootWinXp i wyraź zgodę na na dodanie informacji do rejestru klikając Tak.

Czy możliwe jest że telefon został zarażony? Czym go przeskanować nie ryzykując zarażenia komputera?

Jest to możliwe, zresztą wcześniej pisałem, że jest tu także infekcja z pamięci przenośnych i również Sality mógł się w ten sposób przenieść na komputer. Jeśli chcesz sprawdzić telefon to podłącz go i użyj jak wcześniej UsbFix, oczywiście podaj utworzony log.

[MisPys]

CD nagrywałem na swoim zdrowym kompie i sprawdzałem czy działa. Mam live cd od kacperkiego i dr web. Problem dotyczy komputera szwagra i teraz będzie trochę trudniej, bo już wróciłem do domu i nie bardzo będę mógł coś zrobić.

[mateo8898]

Czyli rozumiem, że płytka jest 100% dobrze nagrana, gdyż na innym komputerze bootuje bez problemu??? Jeśli tak to musi to być jakiś problem z ustawieniami w BIOS-ie lub z samym napędem, gdyż akurat infekcja do tego nic nie ma i nie masz szans, żeby miała na to jakiś wpływ.

[MisPys]

Płytka jest 100 % sprawna. Napęd też działa. W biosie ustawione pierwsze cd a drugie dysk twardy. Nie wiem czy zworki, albo kolejność na taśmie ma jakieś znaczenie? Uruchomienie usbfix z podłączoną komórką nie dało efektu. Rozłączyło nam skype, wyskoczył jakiś komunikat a że młody nie jest zbyt dobry z anglika to nie bardzo potrafił mi powiedzieć co się stało. Podobno przerzuciło go na teamxscript.org i zaczął się pobierać usbfix od nowa. Na koniec wystąpił błąd notatnika i nie wyświetlił się log. Czy znane są takie przypadki. Czy zrobił coś źle? co mu jeszcze podpowiedzieć?

[mateo8898]

"Nie dało efektu", "jakiś komunikat" itp. - trudno po czymś takim coś konkretnego wnioskować, za mało informacji. Najpierw sprawdź, czy notatnika działa, jeśli nie to jaki dokładnie błąd pojawia się po próbie jego otwarcia. Spróbuj użyć także UsbFix, ale z opcji Listing.

Nie wiem czy zworki, albo kolejność na taśmie ma jakieś znaczenie?

Ma, jeśli dysk i napęd są na jednej taśmie to dysk powinien być na Master, a napęd na Slave.