Kozimax utworzono 26 lipca 2010 utworzono 26 lipca 2010 (edytowane) Kiedy chcę uruchomić gre lub CCleaner wyskakuje mi Runtime Error. Próbowałem instalować Microsoft Visul ale nic nie dało. Zainstalowałem nowy windows dalej to samo. Log combofix: [log]ComboFix 10-07-24.06 - Lukasz 2010-07-26 16:53:15.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2047.1676 [GMT 2:00] Uruchomiony z: c:\documents and settings\Lukasz\Pulpit\ComboFix.exe AV: AVG 7.5.432 *On-access scanning enabled* (Outdated) {41564737-3200-1071-989B-0000E87B4FB1} . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf C:\fapt.pif c:\windows\ALCMTR.EXE D:\Autorun.inf . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ABP470N5 -------\Service_abp470n5 ((((((((((((((((((((((((( Pliki utworzone od 2010-06-26 do 2010-07-26 ))))))))))))))))))))))))))))))) . Nie utworzono żadnych nowych plików w tym okresie . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-07-26 14:35 . 2010-07-26 12:47 -------- d-----w- c:\documents and settings\Lukasz\Dane aplikacji\Xfire 2010-07-26 14:00 . 2010-07-26 13:50 -------- d-----w- c:\documents and settings\Lukasz\Dane aplikacji\Gadu-Gadu 10 2010-07-26 13:50 . 2010-07-26 13:50 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10 2010-07-26 13:49 . 2010-07-26 13:49 -------- d-----w- c:\program files\Gadu-Gadu 10 2010-07-26 13:42 . 2010-07-26 13:42 -------- d-----w- c:\documents and settings\Lukasz\Dane aplikacji\Epson 2010-07-26 13:36 . 2010-07-26 13:36 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Avg7 2010-07-26 13:27 . 2010-07-26 13:27 499712 ----a-w- c:\windows\system32\msvcp71.dll 2010-07-26 13:27 . 2010-07-26 13:27 348160 ----a-w- c:\windows\system32\msvcr71.dll 2010-07-26 13:18 . 2010-07-26 13:18 -------- d-----w- c:\program files\DExUS 2010-07-26 13:15 . 2010-07-26 13:15 -------- d-----w- c:\program files\CCleaner 2010-07-26 13:14 . 2010-07-26 12:29 -------- d--h--w- c:\program files\InstallShield Installation Information 2010-07-26 13:13 . 2010-07-26 12:28 -------- d-----w- c:\program files\Common Files\InstallShield 2010-07-26 13:12 . 2010-07-26 13:12 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\UDL 2010-07-26 13:11 . 2010-07-26 13:10 -------- d-----w- c:\program files\Epson Software 2010-07-26 13:11 . 2010-07-26 13:07 -------- d-----w- c:\program files\epson 2010-07-26 13:10 . 2010-07-26 13:09 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint 2010-07-26 13:09 . 2010-07-26 13:09 -------- d-----w- c:\documents and settings\LocalService\Dane aplikacji\Xfire 2010-07-26 13:08 . 2010-07-26 13:08 -------- d-----w- c:\documents and settings\Lukasz\Dane aplikacji\InstallShield 2010-07-26 13:07 . 2010-07-26 13:07 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\EPSON 2010-07-26 13:04 . 2010-07-26 13:04 -------- d-----w- c:\documents and settings\NetworkService\Dane aplikacji\Xfire 2010-07-26 13:01 . 2010-07-26 12:47 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Microsoft Help 2010-07-26 12:58 . 2010-07-26 12:58 -------- d-----w- c:\program files\Microsoft Works 2010-07-26 12:58 . 2010-07-26 12:58 0 ----a-w- c:\windows\nsreg.dat 2010-07-26 12:58 . 2010-07-26 12:58 -------- d-----w- c:\program files\MSBuild 2010-07-26 12:57 . 2010-07-26 12:57 -------- d-----w- c:\program files\Nero 2010-07-26 12:56 . 2010-07-26 12:56 -------- d-----w- c:\program files\TeamSpeak 3 Client 2010-07-26 12:53 . 2010-07-26 12:53 -------- d-----w- c:\program files\mIRC 2010-07-26 12:53 . 2010-07-26 12:51 -------- d-----w- c:\program files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition 2010-07-26 12:51 . 2010-07-26 12:51 -------- d-----w- c:\program files\softendo.com 2010-07-26 12:50 . 2010-07-26 12:50 -------- d-----w- c:\program files\Wisdom-soft ScreenHunter 5 Free 2010-07-26 12:48 . 2010-07-26 12:48 -------- d-----w- c:\program files\Xfire 2010-07-26 12:43 . 2001-10-26 14:15 49492 ----a-w- c:\windows\system32\perfc015.dat 2010-07-26 12:43 . 2001-10-26 14:15 355486 ----a-w- c:\windows\system32\perfh015.dat 2010-07-26 12:37 . 2010-07-26 12:37 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard 2010-07-26 12:33 . 2010-07-26 12:33 -------- d-----w- c:\program files\Vtune 2010-07-26 12:31 . 2010-07-26 12:31 -------- d-----w- c:\program files\Realtek 2010-07-26 12:29 . 2010-07-26 12:29 -------- d-----w- c:\program files\AMD 2010-07-26 12:22 . 2010-07-26 12:22 -------- d-----w- c:\program files\microsoft frontpage 2010-07-26 12:21 . 2010-07-26 12:21 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2010-07-26 12:20 . 2010-07-26 12:20 -------- d-----w- c:\program files\Usługi online 2010-07-26 12:18 . 2010-07-26 12:18 21856 ----a-w- c:\windows\system32\emptyregdb.dat 2010-07-21 23:23 . 2010-07-21 23:23 364544 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.3.dll 2010-07-21 23:23 . 2010-07-21 23:23 397312 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.3.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TBPanel"="c:\program files\Vtune\TBPanel.exe" [2009-03-17 2158592] "Steam"="d:\gry\Steam\Steam.exe" [2010-07-26 1312080] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "WiseStubReboot"="MSIEXEC" [X] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2008-12-30 18082304] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-17 13680640] "nwiz"="nwiz.exe" [2009-03-17 1739296] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-17 86016] "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 100648] "EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2008-12-04 665424] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableTaskMgr"= 1 (0x1) "DisableRegistryTools"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 "UacDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] "AntiVirusOverride"=dword:00000001 "AntiVirusDisableNotify"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "FirewallOverride"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "UacDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableNotifications"= 1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\jxiuw.exe"= "c:\\WINDOWS\\system32\\MsiExec.exe"= "c:\\Program Files\\Xfire\\Xfire.exe"= "c:\\WINDOWS\\system32\\nwiz.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\GrooveMonitor.exe"= "c:\\Program Files\\CCleaner\\ccleaner.exe"= "c:\\WINDOWS\\RTHDCPL.EXE"= R3 amsint32;amsint32;\??\c:\windows\system32\drivers\fqknt.sys --> c:\windows\system32\drivers\fqknt.sys [?] --- Inne Usługi/Sterowniki w Pamięci --- *NewlyCreated* - AMSINT32 . . ------- Skan uzupełniający ------- . IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\Lukasz\Dane aplikacji\Mozilla\Firefox\Profiles\ug1ihyy8.default\ FF - prefs.js: browser.startup.homepage - www.wp.pl FF - plugin: c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.3.dll ---- FIREFOX - SPOSÓB POSTĘPOWANIA ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096); c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45); c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url] Rootkit scan 2010-07-26 16:56 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'explorer.exe'(3388) c:\windows\system32\msi.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\windows\RTHDCPL.EXE c:\windows\system32\RUNDLL32.EXE c:\windows\system32\nvsvc32.exe c:\windows\system32\imapi.exe . ************************************************************************** . Czas ukończenia: 2010-07-26 16:57:16 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2010-07-26 14:57 Przed: 114 808 201 216 bajtów wolnych Po: 114 693 009 408 bajtów wolnych WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - 264619AD7F6C8649850B0EA1CACB1FC3[/log] [color="#ff0000"]//przenoszę do logów do sprawdzenia //dan[/color]
Sohei komentarz 29 lipca 2010 komentarz 29 lipca 2010 -------\Legacy_ABP470N5 -------\Service_abp470n5 W tym wypadku format nie pomoże. Jedynie format wszystkich partycji bez pozostawiania plikow (wyjątki zdjecia filmy muzyka dokumenty tekstowe) Pliki wykonywalne typu exe , biblioteki dll itd nie mogą pozostać. W twoim przypadku nie jest jeszcze tak źle gdyż udało ci się uruchomić combofix a on usuną usługę wirusa Sality. Wykonaj pełny skan [url=http://dobreprogramy.pl/index.php?dz=2&id=1998][b]DR WEB CureIt[/b][/url] Co znajdzie lecz/usun i dajesz mi dokładnego loga na forum z usuwania. Potem daj nowego loga z OTL , RSIT oraz GMER
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.