[es] - Registry i Task manager disabled (2. deo)

misteryns
valjevo

Član broj: 29506
Poruke: 543
*.adsl.verat.net.

Profil

Registry i Task manager disabled (2. deo)

^{19.01.2009. u 08:00 - pre 186 meseci}

Da,ovo cudo izgleda ne moze tek tako da se pobedi..Znaci,prosli put kad smo ovo resavali,uspeli smo da ga "pobedimo" na jedan dan..i posle toga sam odustao,kad se ponovo pojavio..sinoc sam instalirao neki win sa sp3,za probu...i kad sam sve odradio prvo sam pokusao da otvorim regestry i task..i naravno...sve je bilo dostupno...da bi,pogadjate jutros bilo nemoguce..evo prilazem logove..sve je identicno kao i prosli put...neko moje licno vidjenje situacije je da se ta gamad nekako zadrzala,ne znam gde,cim joj ni format c nije pomogao...eto...

Prikačeni fajlovi

hijackthis.log - 5.71k

ComboFix.txt - 9.59k

Odgovor na temu

cyberdjomla
Cyber Djomla
Tahografista, serviser racunara
Beograd

Član broj: 189677
Poruke: 44
*.adsl-a-1.sezampro.yu.

Profil

Re: Registry i Task manager disabled (2. deo)

^{20.01.2009. u 10:57 - pre 186 meseci}

Evo imas ovde skriptu koja ti moze pomoci da startujes task i regedit.

http://www.elitesecurity.org/t337196-3#2168862

Ona ce ti ujedno resiti ovaj problem:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Ova ti je skripta samo za pokretanje ta dva a dalje moras sam da tuces gde treba.
Reci mi sta ti je ono mmm.exe??? Znas li cemu sluzi??? Ako ne, onda ga izbacuj, jer nekako mnogo vonja...
Dalje, ova dva mozes da brises
C:\DOCUME~1\pchelp\LOCALS~1\Temp\winwexico.exe
C:\DOCUME~1\pchelp\LOCALS~1\Temp\wmth.exe
Pretpostavljam da ta dva exe-a rade zajedno. Kad se jedan iskljuci drugi ga ukljucuje i obratno. Oni ujedno proveravaju da li su svi kljucevi u registrima na "mestu". Ako nisu onda ih ponovo upisuju bez obzirakoliko ih puta brisao. Mislim na "DisableRegistryTools", "DisableTaskManager", i ostalo.
Posto si se namucio oko njega (Video u "registry i task manager disabled Vol.1") predlazem da se malo poigras sa rucnim uklanjanjem.
Obavezno skini proces explorer sa www.sysinternals.com. On ce ti pokazati tacne putanje do fajlova koji su trenutno aktivni.
Dalje, kako bi brze radio klikni na options i odcekiraj "Confirm Kill". Ovo ce ti iskljuciti potvrdu za ubijanjem procesa tako da ces dobiti na vremenu i uspeti da ubijes i drugi proces ("klik", "Del" || "Klik", "Del" || Procesi ubijeni). Dakle, "oshacuj" oba procesa i zapisi njihove ImageName pa ih onda ubijaj. Kad ih ubijes i vidis da se vise ne startuju mozes da predjes na pretragu po registrima. Sve sto ima veze i sto nosi njihove nazive brisi iz reg-a ali prethodno napravi backup.
Predlazem da pogledas jos jedan kljuc:

HKEY_CLASSES_ROOT\exefile\shell\open\command (Default)="%1\" %*
HKEY_CLASSES_ROOT\exefile\shell\runas\command (Default)="%1\" %*

U ovim linijama sme da stoji samo "%1\" %* i nista drugo.
Ako ima jos cega, ukloniti visak.
Mozes sledecu liniju da da dodas posle onog "set Skripta..." da ti automatski fixa i taj problem:

Skripta.RegWrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\", """%1"" %1"

Dalje, pogledaj po svim particijama ima li fajla Autorun.inf, tako sto NECES dvoklikom otvarati particije NITI Desni klik pa na "Open","Explore","Search", vec ces gore na "Address" odabrati zeljenu particiju. Ako postoji otvori ga sa notepad-om i procitaj sta se pokrece. To je u linijama OPEN=Nesto.exe ili shell\open\command=Nesto.exe ili jos neki... Uglavnom procitaj putanju i obrisi exe, ili foldere u kojima se nalazi, za koji je namenjen Autorun.inf a zatim obrisi i njega.
Javi kakvo je stanje.

_{[Ovu poruku je menjao cyberdjomla dana 22.01.2009. u 02:11 GMT+1]}

CyberDjomla

Odgovor na temu

misteryns
valjevo

Član broj: 29506
Poruke: 543
*.adsl.verat.net.

Profil

Re: Registry i Task manager disabled (2. deo)

^{20.01.2009. u 20:12 - pre 185 meseci}

Shvatio sam otprilike o cemu si pricao..i sve sam odradio..ali i dalje nista..sem scripta.vbs..ona deluje..sad cu da postavim neke screenove,pa ti ako sta vidis u tome,javi...i pokazacu ti sta mi je sve nasao process explorer...

Prikačeni fajlovi

disc c.JPG - 75.59k

disc E.JPG - 117.95k

my computer scan.JPG - 127.4k

untitled.JPG - 140k

Odgovor na temu

misteryns
valjevo

Član broj: 29506
Poruke: 543
*.adsl.verat.net.

Profil

Re: Registry i Task manager disabled (2. deo)

^{20.01.2009. u 20:54 - pre 185 meseci}

I jos nesto...da li ima ikakve veze to sto kad zelim da regularno pokrenem regedit,zacuje se kratko pistanje iz kucista...

Odgovor na temu

cyberdjomla
Cyber Djomla
Tahografista, serviser racunara
Beograd

Član broj: 189677
Poruke: 44
*.adsl-a-1.sezampro.yu.

Profil

Re: Registry i Task manager disabled (2. deo)

^{20.01.2009. u 23:22 - pre 185 meseci}

Sto se tice tog pistanja iz kucista, ne bi trebalo da pisti.

Ovako. Ti imas i taj treci satro adobe speed launcher.
Desni klik na njega i kill three ce ubiti sva tri procesa odjednom.

reader_sl.exe i ova dva sto rade pod njim.

Zapisi njihove putanje i imena fajlova. Znaci ne nazive u procesu vec imena fajlova koji se pokrecu. Ubij "Drvo" ta tri procesa i kreni u regedit potragu. Pokreni ga pomocu skripte.
Dalje je sve u tvojim rukama. Koliko budes vest sa pretrazivanjem toliko ces rezultata napraviti.

Napomena: Obrati paznju na moguce veze oblika {6e93bcf0-aa4a-11dc-b23d-001d60027d3c}. I njih pretrazi po registru napravi backup i obrishi ih. Javi kako napredujes. Ovo ti je osnovno i ne treba ti nista vise za otklanjanje tog cuda.
Ako prometis da se opet startuju i da opet ne mozes da pristupis regedit itd idi u safe mode iskljuci explorer.exe i onda uradi citavu proceduru ponovo.

PS.Ne zaboravi da posle svega obrises i te fajlove. :)))

CyberDjomla

Odgovor na temu

misteryns
valjevo

Član broj: 29506
Poruke: 543
*.adsl.verat.net.

Profil

Re: Registry i Task manager disabled (2. deo)

^{20.01.2009. u 23:35 - pre 185 meseci}

Bojim se da te nisam uopste razumeo..:)
sad ne vidim nigde taj adobe speed launcher...u stvari nije mi nista jasno sem da pokrenem scriptu..:)

Odgovor na temu

cyberdjomla
Cyber Djomla
Tahografista, serviser racunara
Beograd

Član broj: 189677
Poruke: 44
*.adsl-a-1.sezampro.yu.

Profil

Re: Registry i Task manager disabled (2. deo)

^{21.01.2009. u 02:49 - pre 185 meseci}

reader_sl.exe sa cetvrte prilozene slike je taj fake adobe speed bla bla kojeg trebas da iskljucis, ALI ne samo njega vec i procese koje on drzi (ispod njega kao sto vidis na slici).
Desnim klikom na reader_sl.exe pa na "kill process tree" ubices sva tri procesa.
Pre nego sto ih ubijes vidi njihov properties i zabelezi putanju gde se nalaze, pa ih ubijes a zatim nadjes i obrises.
Onda je potrebno da izbacis njihove ostatke iz registara.
Prosto.
Ako ne ide mozemo da probamo sa remote desktop tj. da ti ja to sredim koliko mogu odavde pa da iskustvo podelimo sa svim forumasima.

CyberDjomla

Odgovor na temu

misteryns
valjevo

Član broj: 29506
Poruke: 543
*.adsl.verat.net.

Profil

Re: Registry i Task manager disabled (2. deo)

^{21.01.2009. u 09:52 - pre 185 meseci}

Ne vredi i dalje ne vidim taj proces...trazio sam ga svuda..i nasao sam taj fajl u adobe reader-u 8..pa da probamo i tu varijabtu,remote desktop

Odgovor na temu

cyberdjomla
Cyber Djomla
Tahografista, serviser racunara
Beograd

Član broj: 189677
Poruke: 44
*.adsl-a-1.sezampro.yu.

Profil

Re: Registry i Task manager disabled (2. deo)

^{21.01.2009. u 16:24 - pre 185 meseci}

Ne znam da li je dozvoljeno ostavljati MSN adresu na forumu... hmm... U svakom slucaju napravio sam jednu privremenu.
(adresa obrisana)
Bicu online veceras posle 00:00h. Na poslu sam do tad. Jes' da malo kasnim sa odgovorom ali se nadam da ces procitati veceras ili sutra u toku celog dana.
Pa da resimo taj problem. A onda cemo nasim forumasima reci da li je jos sta bilo u pitanju, gde se sve virus zavukao i tako dalje. Pozdrav.

_{[Ovu poruku je menjao cyberdjomla dana 22.01.2009. u 02:25 GMT+1]}

CyberDjomla

Odgovor na temu