Prośba o pomoc

01.05.08, 23:56
Witaj Kolobos
Mam taki oto przypadek: System W2K,IE5, bez żadnych zabezpieczeń, facet
podłącza internet i po 2 dniach użytkowania(internetu) zaczyna wywalać błąd:
clr 800700b., system się wiesza, raczy uruchomić za n-tym razem lub w ogóle
nie wyłączyć , nie można zainstalować AVG, awiry, nortona (tyle ja zauważyłem,
bo komputer użytkuje teściowa).Symptomy mogły by wskazywać na uszkodzenie
sektora rozruchowego(?). Ponieważ system był po przejściach, instaluję na nowo
W2K + office + ff + zamykam porty WWDC + próba instal. AVG - klapa, awira -
komunikat: "C/.../Temp/RarSFXO/basic/setup.exe has been changed! This could be
clue to a virus! Do you want to shut down Setup." Nie da się zainstalować
a.virusa, ani skanera online!
Reszta pięknie chodzi, boję się tylko czy teściowa długo pociągnie bez
antywirusa. Załączam logi zrobione po reinstalce:

wklej.org/id/3511797112
wklej.org/id/c136f26de1
    • Gość: Kolobos Re: Prośba o pomoc IP: *.escom.net.pl 02.05.08, 10:13
      Zainstaluj IE6 + reszte aktualizacji z windowsupdate.

      W hijackthis usun:
      O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
      O4 - HKCU\..\Run: [internat.exe] internat.exe
      O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
      O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

      Uzyj w trybie awaryjnym SDFix i daj log.

      Uzyj takiego CFScript.txt:

      File::
      C:\Program Files\desktop.ini
      C:\Program Files\folder.htt

      Registry::
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "runner1"=-

      Po uzyciu daj nowy log z combofix.
      Zrob tez skan przy pomocy:
      dnl-eu10.kaspersky-labs.com/devbuilds/AVPTool/
      • Gość: brunnet Re: Prośba o pomoc IP: *.CNet.Gawex.PL 02.05.08, 14:52
        Instal. IE 6 wisi po 84%(kilka razy) odpuściłem, wpisy w HJ skasowane, w trakcie
        skanu SDfix komunikaty: " nie można zaimportować assosfix.reg, błąd przy
        otwieraniu pliku. Mogła nast. awaria systemowa dysku lub pliku" i " nie można
        odczytać listy plików z TESTPatched3.txt."
        Skrypt w notatniku nie ładuje się w podanej lokalizacji URL.
        Skanu też nie mogę zrobić gdyż mam komunikat " The setup files are corrupted".
        Chwilowo moja cierpliwość się skończyła, dorzucam logi.

        wklej.org/id/f57d9e8494
        wklej.org/id/e376cbb5a0
        wklej.org/id/2b4593d2f4
        co tu w ogóle miało miejsce? Czy jest możliwe , że po reinstalce wirus pozostał,
        czy dostał się w inny sposób, może pendriwer ? a czy on jest bezpieczny?

        pozdr.
        • Gość: Kolobos Re: Prośba o pomoc IP: *.escom.net.pl 02.05.08, 15:07
          Czy kaspersky cos wykryl? (o ile dziala)
          Wyglada na wirusa/rootkita lub uszkodzony dysk.
          Daj tez log z gmera z zakladki rootkit.
Pełna wersja