Tehtävienhallinta-ominaisuuden palautus

Koneellani kävi örkki, joka poisti tehtävienhallinnan (taskmgr.exe) käytöstä. Mitenkäs sen sais takaisin?

 

1. Eli valittaako se että tiedosto puuttuu?
Jos niin ->laita windows Cd cd-asemaan -> Suorita/Run -> SFC /Scannow

2. Laita Hijackthis logi tänne niin joku voi sen tutkia.

 

HJT-logissa ei ole enää mitään vakoilijoihin viittaavaa. Tehtävienhallintaa käynnistettäessä pukkaa laaatikon "Järjestelmänvalvoja on poistanut tehtävienhallinnan käytöstä".

 

Jos kuitenkin laittaisit sen HjT-lokin varoiksi vielä tänne?

 

Oucci-doucci:

Logfile of HijackThis v1.99.1
Scan saved at 11:01:24, on 17.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATITool\ATITool.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\Documents and Settings\IO\Työpöytä\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATITool] "C:\Program Files\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Windows Shell] C:\WINDOWS\system32\shell32.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Jep, olihan siellä vikaa

Siirrä ensin HjT omaan kansioonsa: C:\Documents and Settings\IO\Työpöytä\HijackThis.exe -> C:\hjt\HijackThis.exe

Fixaa tämä rivi(do a system scan only, merkkaa ja paina fix checked):

O4 - HKLM\..\Run: [Windows Shell] C:\WINDOWS\system32\shell32.exe

Laita piilotiedostot näkyviin, ohje -> http://keskustelu.afterdawn.com/thread_view.cfm/248944

Katso, löydätkö tämän -> C:\WINDOWS\system32\==>shell32.exe<==

Jos, niin poista se vikasietotilassa (F8 käynnistyksen yhteydessä).

Käynnistä uudelleen ja lähetä uusi HjT-loki.

 

OK - ongelma ei kuitenkaan poistunut...

Logfile of HijackThis v1.99.1
Scan saved at 11:49:02, on 17.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATITool\ATITool.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATITool] "C:\Program Files\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

korjaa task manager näin:

kopioi alla oleva notepadiin, tallenna nimellä restore.reg
tallennusmuote kaikki tiedostot

sitte tuplaklikkaa restore.regiä ja paina kyllä+ok

 

Vaikutti hyvältä idealta vaan ei toiminut.

 

hmm koitetaanpa sitte jotain online skanneria:

vaikka
http://www.pandasoftware.com/products/activescan

tallenna sen loki kun valmis ja paa tänne

 

Ok - tässä loki. Sain muuten asiaan ainakin väliaikaisen korjauksen: Ctrl+Alt+Deletellä käynnistyy nyt Process Explorer.

Incident Status Location

Adware:Adware/IST.ISTBar No disinfected C:\Documents and Settings\IO\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-5aa0b436-36133871.zip[InstallerApplet.class]

Adware:Adware/WinAD No disinfected C:\WINDOWS\system32\shell32.exe

Adware:Adware/eZula No disinfected C:\WINDOWS\system32\sp2protect.exe

Adware:Adware/EliteBar No disinfected C:\WINDOWS\system32\username.exe

Virus:Trj/Downloader.BSP Disinfected C:\WINDOWS\system32\wudupdate.exe

 

Poistin kaikki scannerin ilmoittamat tiedostot - ei vaikutusta. :-o

 

Oon törmänny pari kertaa että örkki sammutti Task Managerin ja molemmissa tapauksissa se tuli kuntoon kun scannas ja putsas Ad-Awarella.
Voit myös kokeilla tota

http://www.kellys-korner-xp.com/regs_edits/taskmgrenable.reg

säästä työpöydälle ja sitte tuplaklikkaa sitä ja vastaa myöntävästi.
Käynnistä kone uudestaan ja kato jos toimii.

 

ohos tuli tuplana otin pois.

 

OOHO!!! Tolla (taskmgrenable.reg) tuli kerralla kuntoon - HIENOA! Kiitoksia Zipp2. Kiitoksia myös muille asian kanssa pähkäilleille.

 

aika monet virukset poistaa task managerin..

se vika voi myös olla tällasessa arvossa:

HKEY_USERS{CLSID}\Software\Microsoft\Windows\CurrentVersion\Policies\System

tai sitten ei örkkiä olla saatu vielä kokonaan pois

eli ota ewido täältä
http://www.ewido.net/en/download/

asenna päivitä ja skannaa vikasietotilassa
anna poistaa mitä löytää

sitte laita hijckthisistä startuplist loki:
avaa hjt, paina open misc tools section
eti sieltä generate startuplist log, laita rastit kohtiin empty ja minor sections ja sitte paina nappia generate startuplist log

tallenna loki ja paa sen sisältö tänne

edit: toi kelly's cornerin reg fiksi on sama mitä mä tarjosin, liekö kopsatessa tullu mukaan ylimääräisiä merkkejä, regedit on tarkka...

jos tuli esim ylimääräinen enter-lyönti sanan REGEDIT 4 eteen niin reg filu ei toiminut..

 

Ratkaisustahan voi päätellä, että örkki oli sotkenut ainoastaan rekisterin. Käytössä olevalla virus- ja spywarenpoistoohjelmallani sain jo aiemmin poistettua örkit. Epäilen, että tehtävienhallinnan poistanut spyware oli englanninkielisen nimen alla oleva saksankielinen dialer, joka yritti ottaa yhteyttä asennuttuaan.

 

...koetin vielä evidoakin. Erinomainen scanneri; löysi viitisenkymmentä mahdollista vakoojaevästettä

 

siispä tallentaessasi tota regfileä minkä mä laiton teit pikku virheen jonka vuoksi se ei toiminut
no loppu hyvin, kaikki hyvin

 

noh... puuttuhan siitä tuo dword-arvo... `-)