Witajcie! Zarejestrowałem się na tym forum, ponieważ mam od 2 tyg. poważny problem z komputerem. Mianowicie wszystko zaczęło się od tego, iż podczas kolejnej próby skorzystania z programu CCleaner podczas skanowania pojawił mi się komunikat: “ERROR R60002 Runtime error - floating points not loaded”. Nie wiedziałem o co chodzi, więc myśląc, iż to błąd w programie zwyczajnie go przeinstalowałem. Pierwsza próba powiodła się, podczas jednak kolejnego skanu wyskoczył ten sam błąd. Ale ponieważ to nie psuło mi w żaden sposób pracy komputera to kontynuowałem korzystanie zeń bez jakiejkolwiek interwencji.

Parę dni później spostrzegłem jednak, że ctrl+al+del nie działa. Wyświetla się okienko “Menedżer zadań został zablokowany przez administratora”. Na innym forum poradzono mi ręczne odblokowanie go i wskazano jak to zrobić. Odblokowałem, sprawdziłem czy działa i było ok. 5 min. później jednak podczas kolejnej próby ponownie pojawił się ten sam komunikat. Spróbowałem go odblokować ponownie, jednakże i to nic nie dało.

Zapytano się mnie, czy regedit też mi nie działa i okazało się, że rzeczywiście i ta opcja jest zablokowana. Wobec czego powiedziano mi, że mam trojana i wystarczy bym tylko zrobił format i powinno być ok.

Toteż jestem właśnie po formacie całego hdd. Po instalacji WinXP, sprawdziłem czy ctrl+alt+del działa - działał. Przystąpiłem zatem do instalacji sterowników, direct x, itd. I tak: karta graficzna poszłą ok, karta dźwiękowa już nie. Sprawdzam ctrl+alt+del - ponownie zablokowany. Próbuję zainstalować Flasha - error. Na szczęście Opera była jeszcze posłuszna dzięki czemu mogę teraz się Was, znawców, zapytać czy jest jakieś wyjście z tego terroru?

Z góry dziękuję za wszelkie sugestie i pozdrawiam.

przeskanuj Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5

potem

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 uruchom dwuklikiem

pokaż log

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

Dziękuję za szybką odpowiedź.

Żadnych zapor ani antywirusów jeszcze nie mam zainstalowanych, jestem świeżo po instalacji Windowsa, a co wir robił z próbami instalacji sterowników, to napisałem wcześniej.

A więc tak:

1. skan z Dr. Web podał mi coś takiego

"g:\vsfo.exe (g: to mój Pendrive, z którego próbowałem instalować sterowniki Creative)

zainfekowany wirusem Win32.Sector.17"

• kliknąłem na “lecz”.

2. Combofixa miałem wcześniej pobranego ze strony programosy.pl, więc użyłem wpierw go. Jednak głośnik w obudowie piknął tak jakoś dziwnie i wyświetlił się komunikat, iż “Combofix nie posiada gwarancji ze stron takich i takich”, więc uznałem, że chyba nie o to chodziło.

3. Wszedłem na podany przez Ciebie link i stamtąd pobrałem OTL. Tym razem już poszło OK i otrzymałem następujące logi:

OTL: http://www.wklej.org/id/111890/

Extras: http://www.wklej.org/id/111892/

przy uruchamianiu zawsze tak pisze masz potwierdzić tak

jeśli to dość dawno pobierałeś to usuń pobierz na nowo

Ok, tak to wygląda:

ComboFix 09-06-24.05 - Faust 2009-06-25 19:54.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1023.718 [GMT 2:00]

Uruchomiony z: D:\ComboFix.exe

* Utworzono nowy punkt przywracania

.

((((((((((((((((((((((((( Pliki utworzone od 2009-05-25 do 2009-06-25 )))))))))))))))))))))))))))))))

.

2009-06-25 17:20 . 2009-06-25 17:20 -------- d-----w- c:\documents and settings\Mefisto696\DoctorWeb

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-06-25 16:43 . 2009-06-25 16:43 -------- d-----w- c:\program files\Opera

2009-06-25 16:38 . 2009-06-25 16:38 -------- d-----w- c:\program files\Common Files\InstallShield

2009-06-25 15:07 . 2001-10-26 16:15 47898 ----a-w- c:\windows.0\system32\perfc015.dat

2009-06-25 15:07 . 2001-10-26 16:15 352770 ----a-w- c:\windows.0\system32\perfh015.dat

2009-06-25 15:02 . 2009-06-25 15:02 -------- d-----w- c:\program files\microsoft frontpage

2009-06-25 15:01 . 2009-06-25 15:01 86339 ----a-w- c:\windows.0\pchealth\helpctr\OfflineCache\index.dat

2009-06-25 14:59 . 2009-06-25 14:59 21856 ----a-w- c:\windows.0\system32\emptyregdb.dat

.

------- Sigcheck -------

[-] 2007-07-16 12:28 1548288 98D01EC14A2B99280283990B3F3BA32A c:\windows.0\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“c:\windows.0\system32\NvCpl.dll” [2006-10-22 7700480]

“NvMediaCenter”=“c:\windows.0\system32\NvMcTray.dll” [2006-10-22 86016]

“nwiz”=“nwiz.exe” - c:\windows.0\system32\nwiz.exe [2006-10-22 1622016]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

“nltide_3”=“advpack.dll” - c:\windows.0\system32\advpack.dll [2004-08-03 100864]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

“AntiVirusDisableNotify”=dword:00000001

“FirewallOverride”=dword:00000001

“UpdatesDisableNotify”=dword:00000001

“UacDisableNotify”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

“AntiVirusOverride”=dword:00000001

“AntiVirusDisableNotify”=dword:00000001

“FirewallDisableNotify”=dword:00000001

“FirewallOverride”=dword:00000001

“UpdatesDisableNotify”=dword:00000001

“UacDisableNotify”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

— Inne Usługi/Sterowniki w Pamięci —

*Deregistered* - DwShield00005548

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-06-25 19:56

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

Czas ukończenia: 2009-06-25 19:57

ComboFix-quarantined-files.txt 2009-06-25 17:56

Przed: 8 418 963 456 bajtów wolnych

Po: 8 571 293 696 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0

[operating systems]

c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0=“Microsoft Windows XP Professional” /noexecute=optin /fastdetect

75

A i dodam jeszcze, że podczas skanu wystąpił problem, ponieważ nie miałem Kontroli Odzyskiwania Systemu - pozwoliłem więc mu to pobrać ze strony microsoftu, mam nadzieję, że nic złego tutaj nie zrobiłem

– Dodane 25.06.2009 (Cz) 20:33 –

Czy jest już wszystko OK i mogę podjąć się kolejnej próby instalacji sterowników do Soundblaster?

Win32.Sector.17 to (w nomenklaturze stosowanej przez Dr.Web) wirus Sality.

I Twoje postępowanie jest najlepszym przykładem jak nie należy walczyć z tym śmieciem. Przecież sam zainfekowałeś ponownie system instalując, prawdopodobnie wcześniej zbackupowane z zainfekowanego systemu sterowniki na pendriva.

Ponieważ jesteś tuż po formacie, więc najprostszym rozwiązaniem będzie sformatowanie tego pendriva i wykonanie ponownego formatu całego dysku. Jeżeli jeszcze posiadasz jakieś instalki programów, sterowniki przeniesione z zainfekowanego systemu to je usuń.

Przepraszam, lecz po pierwsze nie znam się na tym, a po drugie na komputerze miałem bardzo ważne, osobiste pliki, których koniecznie nie chciałem się pozbywać. W tym momencie zarówno menedżer zadań jak i rejestr działają poprawnie. Czy więc koniecznie muszę niszczyć dane(1,21 gb) na pendrive? Nie wystarczyłoby np. zgranie ich na hdd, następnie format pendrive’a i potem przeskanowanie antywirem zarówno jego jak i hdd?

A co wykazały logi?

Nie musisz, ale jest duża szansa, że będziesz walczył z wirusem do śmierci… Swojej…

PS. A co z pozostałymi partycjami na twardym dysku? Też je zostawiłeś a sformatowałeś tylko partycję systemowa?

Przecież napisałem wyraźnie w pierwszym poście: “Toteż jestem właśnie po formacie całego hdd.”.

– Dodane 25.06.2009 (Cz) 22:02 –

To znaczy, że nie da się jakoś przegrać tych plików z pendrive’a, tak by potem można z nich było normalnie korzystać (najbardziej zależy mi na dokumentach tesktowych oraz zdjęciach, sterowniki zawsze mogę ponownie ściągnąc…)?

weź pena włóż do kompa przeskanuj kompa i pena Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5

potem przeskanuj wszystko Kaspersky Virus Removal Tool http://www.searchengines.pl/index.php?s … ntry354381

jak będzie czysto to OK

ostatni log nie potwierdza Sality może będzie już czysto

według loga jest blokada

No, ale jednak mogłem zeń korzytać jak również Ccleaner działał. Przeskanowałem pena i komp Dr. Webem - znalazł 7 zainfekowanych plików na pamięci USB. Kazałem je wyleczyć, a następnie usunąłem z pendrive’a cały katolog, w którym miałem jakiekolwiek sterowniki i programy (te zawsze można ponownie pobrać z netu). Ponownie zrobiłem skan i nic nie wykrył - widocznie obrazy i dokumenty tekstowe nie zostały zarażone.

Myślałem, że na tym koniec, ale okazało się, iż nagle ni z tego, ni z owego mam dwa windowsy (dwa katalogi windows na dysku c, oraz możliwość wyboru systemu w dosie. Menedżer nie został ponownie zablokowany, ale jednak zdecydowałem się ponownie zainstalować Windę. Przeskanowałem więc partycje niesystemowe i było OK. Systemową sformatowałem i zrobiłem Win od nowa. Jak na razie wszystko działa ok. Przeskanowałem wszystkie partycje Dr. Webem oraz ESETEM - nic nie wykazały. Jeszcze tylko muszę sprawdzić pendrive.