A historia błędów wyglądała tak (Windows 2000):
-
Przy próbie instalacji nowego skype (5.0.0.xxx) pojawia się błąd:
Fatal Error
Failed to load library ‘d3d9.dll’
-
W celu naprawienia go próbuję zainstalować directx z dxwsetup.exe i wyskakuje błąd:
Error creating process . Reason: INNT\system32\advpack.dll
-
Rozpakowywuję więc ręcznie archiwum instalacyjne dxwsetup.exe i odpalam instalator dxwsetup.exe, a wtedy pojawia się po raz pierwszy błąd:
C:\Documents and Settings…\dxwsetup.exe nie jest prawidłową aplikacją systemu Win32.
-
Pobieram pełną instalkę DX9.0c (z dwóch źródeł) i odpalam. Po rozpakowaniu plików instalacyjnych uruchamiam instalator:
C:\Documents and Settings…\DXSETUP.exe nie jest prawidłową aplikacją systemu Win32.
-
Spróbowałem jeszcze podmienić pliki autoexec.nt, config.nt oraz command.com z katalogu restore i z płyty instalacyjnej ale też nic się nie zmieniło. 6. Doszedłem do wniosku, że najprawdopodobniej mam do czynienia z jakimś wirusem. Przeskanowałem combofix’em kompa i problem nie zniknął więc piszę z prośbą do specjalistów o pomoc w rozwiązaniu problemu. Poniżej log:
ComboFix 11-01-04.01 - Administrator 2011-01-04 19:52:04.1.1 - x86
Microsoft Windows 2000 Professional 5.0.2195.4.1250.48.1045.18.511.240 [GMT 0:00]
Uruchomiony z: c:\documents and settings\Administrator\Moje dokumenty\Pobieranie\ComboFix.exe
.
/wow section - STAGE 10
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\winnt\system\WINSPOOL.DRV
c:\winnt\Web\default.htt
.
((((((((((((((((((((((((( Pliki utworzone od 2010-12-04 do 2011-01-04 )))))))))))))))))))))))))))))))
.
2011-01-03 21:36 . 2011-01-03 21:36 -------- d-----w- c:\program files\Common Files\Skype
2010-12-29 16:32 . 2010-12-29 16:32 1409 ----a-w- c:\winnt\QTFont.for
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Uwaga puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Picasa Media Detector”=“c:\program files\Picasa2\PicasaMediaDetector.exe” [2008-08-15 443968]
“FileHippo.com”=“c:\program files\FileHippo.com\UpdateChecker.exe” [2010-08-09 248832]
“VoipDiscount”=“c:\program files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe” [2009-11-10 9143608]
“Skype”=“c:\program files\Skype\Phone\Skype.exe” [2010-12-03 14944136]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“LTWinModem1”=“ltmsg.exe 9” [X]
“Synchronization Manager”=“mobsync.exe” [2003-06-19 111888]
“ATIPTA”=“c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2004-05-15 335872]
“WinampAgent”=“c:\program files\Winamp\winampa.exe” [2010-07-12 74752]
“LogMeIn Hamachi Ui”=“c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe” [2010-03-30 1820040]
“SunJavaUpdateSched”=“c:\program files\Common Files\Java\Java Update\jusched.exe” [2010-05-14 248552]
“Control Center”=“c:\program files\ASUS\WLAN Card Utilities\Center.exe” [2004-09-22 1571840]
“BDMCon”=“c:\program files\Softwin\BitDefender10\bdmcon.exe” [2007-04-02 290816]
“BDAgent”=“c:\program files\Softwin\BitDefender10\bdagent.exe” [2007-03-26 69632]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
“^SetupICWDesktop”=“c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe” [2003-06-19 188688]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
D-Link AirPlus.lnk - c:\program files\D-Link AirPlus\AirPlus.exe [2010-8-25 262144]
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2010-8-25 1556480]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe -s --> c:\program files\LogMeIn Hamachi\hamachi-2.exe -s [?]
S3 TIACXLN;22M WLAN Adapter;c:\winnt\system32\DRIVERS\tiacxln.sys --> c:\winnt\system32\DRIVERS\tiacxln.sys [?]
— Inne Usługi/Sterowniki w Pamięci —
Deregistered - ASNDIS5
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.com/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
FF - ProfilePath - c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mx98yygb.default\
FF - prefs.js: browser.startup.homepage - www.google.co.uk
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-04 19:55
Windows 5.0.2195 Service Pack 4 NTFS
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@=“FlashBroker”
“LocalizedString”="@c:\WINNT\system32\Macromed\Flash\FlashUtil10i_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
“Enabled”=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@=“c:\WINNT\system32\Macromed\Flash\FlashUtil10i_ActiveX.exe”
[HKEY_LOCAL_MACHINE\software\Classes\CLSID{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@=“IFlashBroker4”
[HKEY_LOCAL_MACHINE\software\Classes\Interface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
“Version”=“1.0”
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
-
-
-
-
-
-
-
‘winlogon.exe’(196)
-
-
-
-
-
-
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\program files\RealVNC\VNC4\wm_hooks.dll
.
Czas ukończenia: 2011-01-04 19:57:56
ComboFix-quarantined-files.txt 2011-01-04 19:57
Przed: 6 546 157 568 bajtów wolnych
Po: 6 537 170 944 bajtów wolnych
-
- End Of File - - D2B518ADE31E9C90BAA881ED7F593238
-
Nie robiłem skanu antyvirem z płytki z przyczyn technicznych.
Wszystko robię zdalnie z odległości paru tyś. km i muszę mieć Windowsa do podglądu
Wszelkie zainteresowanie i pomoc będą bardzo cenne.