Wirus, któremu format nie straszny | R6002 runtime error


(Martinskor) #1

Witajcie! Zarejestrowałem się na tym forum, ponieważ mam od 2 tyg. poważny problem z komputerem. Mianowicie wszystko zaczęło się od tego, iż podczas kolejnej próby skorzystania z programu CCleaner podczas skanowania pojawił mi się komunikat: "ERROR R60002 Runtime error - floating points not loaded". Nie wiedziałem o co chodzi, więc myśląc, iż to błąd w programie zwyczajnie go przeinstalowałem. Pierwsza próba powiodła się, podczas jednak kolejnego skanu wyskoczył ten sam błąd. Ale ponieważ to nie psuło mi w żaden sposób pracy komputera to kontynuowałem korzystanie zeń bez jakiejkolwiek interwencji.

Parę dni później spostrzegłem jednak, że ctrl+al+del nie działa. Wyświetla się okienko "Menedżer zadań został zablokowany przez administratora". Na innym forum poradzono mi ręczne odblokowanie go i wskazano jak to zrobić. Odblokowałem, sprawdziłem czy działa i było ok. 5 min. później jednak podczas kolejnej próby ponownie pojawił się ten sam komunikat. Spróbowałem go odblokować ponownie, jednakże i to nic nie dało.

Zapytano się mnie, czy regedit też mi nie działa i okazało się, że rzeczywiście i ta opcja jest zablokowana. Wobec czego powiedziano mi, że mam trojana i wystarczy bym tylko zrobił format i powinno być ok.

Toteż jestem właśnie po formacie całego hdd. Po instalacji WinXP, sprawdziłem czy ctrl+alt+del działa - działał. Przystąpiłem zatem do instalacji sterowników, direct x, itd. I tak: karta graficzna poszłą ok, karta dźwiękowa już nie. Sprawdzam ctrl+alt+del - ponownie zablokowany. Próbuję zainstalować Flasha - error. Na szczęście Opera była jeszcze posłuszna dzięki czemu mogę teraz się Was, znawców, zapytać czy jest jakieś wyjście z tego terroru? :wink:

Z góry dziękuję za wszelkie sugestie i pozdrawiam.


(Leon$) #2

przeskanuj Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& ... It!+4.44.5

potem

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 uruchom dwuklikiem

pokaż log

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

:slight_smile:


(Martinskor) #3

Dziękuję za szybką odpowiedź. :slight_smile:

Żadnych zapor ani antywirusów jeszcze nie mam zainstalowanych, jestem świeżo po instalacji Windowsa, a co wir robił z próbami instalacji sterowników, to napisałem wcześniej. :wink:

A więc tak:

1) skan z Dr. Web podał mi coś takiego

"g:\vsfo.exe (g: to mój Pendrive, z którego próbowałem instalować sterowniki Creative)

zainfekowany wirusem Win32.Sector.17"

  • kliknąłem na "lecz".

2) Combofixa miałem wcześniej pobranego ze strony programosy.pl, więc użyłem wpierw go. Jednak głośnik w obudowie piknął tak jakoś dziwnie i wyświetlił się komunikat, iż "Combofix nie posiada gwarancji ze stron takich i takich", więc uznałem, że chyba nie o to chodziło. :smiley:

3) Wszedłem na podany przez Ciebie link i stamtąd pobrałem OTL. Tym razem już poszło OK i otrzymałem następujące logi:

OTL: http://www.wklej.org/id/111890/

Extras: http://www.wklej.org/id/111892/


(Leon$) #4

przy uruchamianiu zawsze tak pisze masz potwierdzić tak

jeśli to dość dawno pobierałeś to usuń pobierz na nowo

:slight_smile:


(Martinskor) #5

Ok, tak to wygląda:


ComboFix 09-06-24.05 - Faust 2009-06-25 19:54.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1023.718 [GMT 2:00]

Uruchomiony z: D:\ComboFix.exe

* Utworzono nowy punkt przywracania

.

((((((((((((((((((((((((( Pliki utworzone od 2009-05-25 do 2009-06-25 )))))))))))))))))))))))))))))))

.

2009-06-25 17:20 . 2009-06-25 17:20 -------- d-----w- c:\documents and settings\Mefisto696\DoctorWeb

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-06-25 16:43 . 2009-06-25 16:43 -------- d-----w- c:\program files\Opera

2009-06-25 16:38 . 2009-06-25 16:38 -------- d-----w- c:\program files\Common Files\InstallShield

2009-06-25 15:07 . 2001-10-26 16:15 47898 ----a-w- c:\windows.0\system32\perfc015.dat

2009-06-25 15:07 . 2001-10-26 16:15 352770 ----a-w- c:\windows.0\system32\perfh015.dat

2009-06-25 15:02 . 2009-06-25 15:02 -------- d-----w- c:\program files\microsoft frontpage

2009-06-25 15:01 . 2009-06-25 15:01 86339 ----a-w- c:\windows.0\pchealth\helpctr\OfflineCache\index.dat

2009-06-25 14:59 . 2009-06-25 14:59 21856 ----a-w- c:\windows.0\system32\emptyregdb.dat

.

------- Sigcheck -------

[-] 2007-07-16 12:28 1548288 98D01EC14A2B99280283990B3F3BA32A c:\windows.0\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows.0\system32\NvCpl.dll" [2006-10-22 7700480]

"NvMediaCenter"="c:\windows.0\system32\NvMcTray.dll" [2006-10-22 86016]

"nwiz"="nwiz.exe" - c:\windows.0\system32\nwiz.exe [2006-10-22 1622016]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_3"="advpack.dll" - c:\windows.0\system32\advpack.dll [2004-08-03 100864]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

--- Inne Usługi/Sterowniki w Pamięci ---

*Deregistered* - DwShield00005548

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-06-25 19:56

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

Czas ukończenia: 2009-06-25 19:57

ComboFix-quarantined-files.txt 2009-06-25 17:56

Przed: 8 418 963 456 bajtów wolnych

Po: 8 571 293 696 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

75


A i dodam jeszcze, że podczas skanu wystąpił problem, ponieważ nie miałem Kontroli Odzyskiwania Systemu - pozwoliłem więc mu to pobrać ze strony microsoftu, mam nadzieję, że nic złego tutaj nie zrobiłem :wink:

-- Dodane 25.06.2009 (Cz) 20:33 --

Czy jest już wszystko OK i mogę podjąć się kolejnej próby instalacji sterowników do Soundblaster? :slight_smile:


(system) #6

Win32.Sector.17 to (w nomenklaturze stosowanej przez Dr.Web) wirus Sality.

I Twoje postępowanie jest najlepszym przykładem jak nie należy walczyć z tym śmieciem. Przecież sam zainfekowałeś ponownie system instalując, prawdopodobnie wcześniej zbackupowane z zainfekowanego systemu sterowniki na pendriva.

Ponieważ jesteś tuż po formacie, więc najprostszym rozwiązaniem będzie sformatowanie tego pendriva i wykonanie ponownego formatu całego dysku. Jeżeli jeszcze posiadasz jakieś instalki programów, sterowniki przeniesione z zainfekowanego systemu to je usuń.


(Martinskor) #7

Przepraszam, lecz po pierwsze nie znam się na tym, a po drugie na komputerze miałem bardzo ważne, osobiste pliki, których koniecznie nie chciałem się pozbywać. W tym momencie zarówno menedżer zadań jak i rejestr działają poprawnie. Czy więc koniecznie muszę niszczyć dane(1,21 gb) na pendrive? Nie wystarczyłoby np. zgranie ich na hdd, następnie format pendrive'a i potem przeskanowanie antywirem zarówno jego jak i hdd?

A co wykazały logi?


(Cedar) #8

Nie musisz, ale jest duża szansa, że będziesz walczył z wirusem do śmierci... Swojej...

PS. A co z pozostałymi partycjami na twardym dysku? Też je zostawiłeś a sformatowałeś tylko partycję systemowa?


(Martinskor) #9

Przecież napisałem wyraźnie w pierwszym poście: "Toteż jestem właśnie po formacie całego hdd.".

-- Dodane 25.06.2009 (Cz) 22:02 --

To znaczy, że nie da się jakoś przegrać tych plików z pendrive'a, tak by potem można z nich było normalnie korzystać (najbardziej zależy mi na dokumentach tesktowych oraz zdjęciach, sterowniki zawsze mogę ponownie ściągnąc...)?


(Leon$) #10

weź pena włóż do kompa przeskanuj kompa i pena Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& ... It!+4.44.5

potem przeskanuj wszystko Kaspersky Virus Removal Tool http://www.searchengines.pl/index.php?s ... ntry354381

jak będzie czysto to OK

ostatni log nie potwierdza Sality może będzie już czysto

według loga jest blokada

:slight_smile:


(Martinskor) #11

No, ale jednak mogłem zeń korzytać jak również Ccleaner działał. Przeskanowałem pena i komp Dr. Webem - znalazł 7 zainfekowanych plików na pamięci USB. Kazałem je wyleczyć, a następnie usunąłem z pendrive'a cały katolog, w którym miałem jakiekolwiek sterowniki i programy (te zawsze można ponownie pobrać z netu). Ponownie zrobiłem skan i nic nie wykrył - widocznie obrazy i dokumenty tekstowe nie zostały zarażone. :slight_smile:

Myślałem, że na tym koniec, ale okazało się, iż nagle ni z tego, ni z owego mam dwa windowsy (dwa katalogi windows na dysku c, oraz możliwość wyboru systemu w dosie. Menedżer nie został ponownie zablokowany, ale jednak zdecydowałem się ponownie zainstalować Windę. Przeskanowałem więc partycje niesystemowe i było OK. Systemową sformatowałem i zrobiłem Win od nowa. Jak na razie wszystko działa ok. Przeskanowałem wszystkie partycje Dr. Webem oraz ESETEM - nic nie wykazały. Jeszcze tylko muszę sprawdzić pendrive.