x-kom hosting

Microsoft Visual

Kozimax
utworzono
utworzono (edytowane)

Kiedy chcę uruchomić gre lub CCleaner wyskakuje mi Runtime Error. Próbowałem instalować Microsoft Visul ale nic nie dało. Zainstalowałem nowy windows dalej to samo.

Log combofix:

[log]ComboFix 10-07-24.06 - Lukasz 2010-07-26 16:53:15.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2047.1676 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Lukasz\Pulpit\ComboFix.exe
AV: AVG 7.5.432 *On-access scanning enabled* (Outdated) {41564737-3200-1071-989B-0000E87B4FB1}
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\fapt.pif
c:\windows\ALCMTR.EXE
D:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ABP470N5
-------\Service_abp470n5


((((((((((((((((((((((((( Pliki utworzone od 2010-06-26 do 2010-07-26 )))))))))))))))))))))))))))))))
.

Nie utworzono żadnych nowych plików w tym okresie

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-26 14:35 . 2010-07-26 12:47 -------- d-----w- c:\documents and settings\Lukasz\Dane aplikacji\Xfire
2010-07-26 14:00 . 2010-07-26 13:50 -------- d-----w- c:\documents and settings\Lukasz\Dane aplikacji\Gadu-Gadu 10
2010-07-26 13:50 . 2010-07-26 13:50 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10
2010-07-26 13:49 . 2010-07-26 13:49 -------- d-----w- c:\program files\Gadu-Gadu 10
2010-07-26 13:42 . 2010-07-26 13:42 -------- d-----w- c:\documents and settings\Lukasz\Dane aplikacji\Epson
2010-07-26 13:36 . 2010-07-26 13:36 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Avg7
2010-07-26 13:27 . 2010-07-26 13:27 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-07-26 13:27 . 2010-07-26 13:27 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-07-26 13:18 . 2010-07-26 13:18 -------- d-----w- c:\program files\DExUS
2010-07-26 13:15 . 2010-07-26 13:15 -------- d-----w- c:\program files\CCleaner
2010-07-26 13:14 . 2010-07-26 12:29 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-07-26 13:13 . 2010-07-26 12:28 -------- d-----w- c:\program files\Common Files\InstallShield
2010-07-26 13:12 . 2010-07-26 13:12 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\UDL
2010-07-26 13:11 . 2010-07-26 13:10 -------- d-----w- c:\program files\Epson Software
2010-07-26 13:11 . 2010-07-26 13:07 -------- d-----w- c:\program files\epson
2010-07-26 13:10 . 2010-07-26 13:09 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint
2010-07-26 13:09 . 2010-07-26 13:09 -------- d-----w- c:\documents and settings\LocalService\Dane aplikacji\Xfire
2010-07-26 13:08 . 2010-07-26 13:08 -------- d-----w- c:\documents and settings\Lukasz\Dane aplikacji\InstallShield
2010-07-26 13:07 . 2010-07-26 13:07 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\EPSON
2010-07-26 13:04 . 2010-07-26 13:04 -------- d-----w- c:\documents and settings\NetworkService\Dane aplikacji\Xfire
2010-07-26 13:01 . 2010-07-26 12:47 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Microsoft Help
2010-07-26 12:58 . 2010-07-26 12:58 -------- d-----w- c:\program files\Microsoft Works
2010-07-26 12:58 . 2010-07-26 12:58 0 ----a-w- c:\windows\nsreg.dat
2010-07-26 12:58 . 2010-07-26 12:58 -------- d-----w- c:\program files\MSBuild
2010-07-26 12:57 . 2010-07-26 12:57 -------- d-----w- c:\program files\Nero
2010-07-26 12:56 . 2010-07-26 12:56 -------- d-----w- c:\program files\TeamSpeak 3 Client
2010-07-26 12:53 . 2010-07-26 12:53 -------- d-----w- c:\program files\mIRC
2010-07-26 12:53 . 2010-07-26 12:51 -------- d-----w- c:\program files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition
2010-07-26 12:51 . 2010-07-26 12:51 -------- d-----w- c:\program files\softendo.com
2010-07-26 12:50 . 2010-07-26 12:50 -------- d-----w- c:\program files\Wisdom-soft ScreenHunter 5 Free
2010-07-26 12:48 . 2010-07-26 12:48 -------- d-----w- c:\program files\Xfire
2010-07-26 12:43 . 2001-10-26 14:15 49492 ----a-w- c:\windows\system32\perfc015.dat
2010-07-26 12:43 . 2001-10-26 14:15 355486 ----a-w- c:\windows\system32\perfh015.dat
2010-07-26 12:37 . 2010-07-26 12:37 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-07-26 12:33 . 2010-07-26 12:33 -------- d-----w- c:\program files\Vtune
2010-07-26 12:31 . 2010-07-26 12:31 -------- d-----w- c:\program files\Realtek
2010-07-26 12:29 . 2010-07-26 12:29 -------- d-----w- c:\program files\AMD
2010-07-26 12:22 . 2010-07-26 12:22 -------- d-----w- c:\program files\microsoft frontpage
2010-07-26 12:21 . 2010-07-26 12:21 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-07-26 12:20 . 2010-07-26 12:20 -------- d-----w- c:\program files\Usługi online
2010-07-26 12:18 . 2010-07-26 12:18 21856 ----a-w- c:\windows\system32\emptyregdb.dat
2010-07-21 23:23 . 2010-07-21 23:23 364544 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.3.dll
2010-07-21 23:23 . 2010-07-21 23:23 397312 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.3.dll
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TBPanel"="c:\program files\Vtune\TBPanel.exe" [2009-03-17 2158592]
"Steam"="d:\gry\Steam\Steam.exe" [2010-07-26 1312080]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"="MSIEXEC" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-30 18082304]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-17 13680640]
"nwiz"="nwiz.exe" [2009-03-17 1739296]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-17 86016]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 100648]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2008-12-04 665424]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\jxiuw.exe"=
"c:\\WINDOWS\\system32\\MsiExec.exe"=
"c:\\Program Files\\Xfire\\Xfire.exe"=
"c:\\WINDOWS\\system32\\nwiz.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\GrooveMonitor.exe"=
"c:\\Program Files\\CCleaner\\ccleaner.exe"=
"c:\\WINDOWS\\RTHDCPL.EXE"=

R3 amsint32;amsint32;\??\c:\windows\system32\drivers\fqknt.sys --> c:\windows\system32\drivers\fqknt.sys [?]

--- Inne Usługi/Sterowniki w Pamięci ---

*NewlyCreated* - AMSINT32
.
.
------- Skan uzupełniający -------
.
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Lukasz\Dane aplikacji\Mozilla\Firefox\Profiles\ug1ihyy8.default\
FF - prefs.js: browser.startup.homepage - www.wp.pl
FF - plugin: c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.3.dll

---- FIREFOX - SPOSÓB POSTĘPOWANIA ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url]
Rootkit scan 2010-07-26 16:56
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'explorer.exe'(3388)
c:\windows\system32\msi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Czas ukończenia: 2010-07-26 16:57:16 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2010-07-26 14:57

Przed: 114 808 201 216 bajtów wolnych
Po: 114 693 009 408 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 264619AD7F6C8649850B0EA1CACB1FC3[/log]

[color="#ff0000"]//przenoszę do logów do sprawdzenia
//dan[/color]

Sohei
komentarz
komentarz

-------\Legacy_ABP470N5
-------\Service_abp470n5


W tym wypadku format nie pomoże. Jedynie format wszystkich partycji bez pozostawiania plikow (wyjątki zdjecia filmy muzyka dokumenty tekstowe)
Pliki wykonywalne typu exe , biblioteki dll itd nie mogą pozostać.


W twoim przypadku nie jest jeszcze tak źle gdyż udało ci się uruchomić combofix a on usuną usługę wirusa Sality.
Wykonaj pełny skan [url=http://dobreprogramy.pl/index.php?dz=2&id=1998][b]DR WEB CureIt[/b][/url]
Co znajdzie lecz/usun i dajesz mi dokładnego loga na forum z usuwania.
Potem daj nowego loga z OTL , RSIT oraz GMER

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.