Problém s KAzaa LIte

[Liborec]

Používal jsem Kazu a najednou se mi začala při spuštění ukazovat chyba

Instrukce na adrese 0x01761141 odkazovala na adresu paměti 0x00000000 S pamětí nelze provést operaci: read

Zkoušel jsem to reinstalovat a furt to píše tohle.

[Reklama]

[mijaja]

Tenhle problém už tady byl, ale zatím nevíme jak to dopadlo. Našel jsem jednu diskusi na Studně: příspěvek 1 a příspěvek 2 - možná se skrývá řešení v tomto nastavení. Když tak dej vědět, jak jsi dopadl a když, tak se bude pátrat dál.

Ještě si přečti tohle. A zkus sem taky hodit ten log z HijackThisu. Třeba tam opravdu něco bude - odkaz a návod na HijackThis jsou v linku pod čarou.

[Liborec]

Před tim než to přestalo fungovat tak jsem byl na Win update a stahovalo to nějaký 3 soubory. Domyslel jsem si že to bude asi tim. Bohužel nevim názvy ani složky kam se to soslo.

Jo a co bych měl v HiJacku hledat??

[Liborec]

Hijack this log

Kód: Vybrat vše

Logfile of HijackThis v1.99.1
Scan saved at 23:26:47, on 13.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ESET\nod32kui.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\All Users\Dokumenty\Downtown\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: HyperSearchHook - {1858AC07-C34A-4CBD-85F3-77A91C243EE9} - C:\Program Files\Common Files\Hyperbar\HyperbarSS3.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8743F551-22A8-5571-9AE9-66EDFEA622A3} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {ADCFCD65-5CD9-1A2E-8E6C-0AC53C0813C3} - C:\WINDOWS\system32\jnxaqv.dll
O2 - BHO: (no name) - {F021F628-73DF-040F-E6CB-617D97CD5DF4} - (no file)
O3 - Toolbar: (no name) - {B71B15CF-3093-459C-B764-AEB2486F2273} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {1BC1FC4B-B0D2-4D8D-9307-2E40E2A8C257} - (no file)
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ad-watch] C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [Mircosoft Update] wuampkd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\RunServices: [Mircosoft Update] wuampkd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Hacp] C:\WINDOWS\System32\w?nlogon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0748BDC0-D066-47F6-B438-132F186ADDA5}: NameServer = 62.240.185.5,62.240.186.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{416C68F6-4FF8-4B09-9E5D-FD8FD8A5197E}: NameServer = 62.240.185.5,62.240.186.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{0748BDC0-D066-47F6-B438-132F186ADDA5}: NameServer = 62.240.185.5,62.240.186.10
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - (no file)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - (no file)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SNMP - Unknown owner - C:\WINDOWS\System32\snmp.exe (file missing)
O23 - Service: Zachytávání pro službu SNMP (SNMPTRAP) - Unknown owner - C:\WINDOWS\System32\snmptrap.exe (file missing)



[mikel]

V HJT fixni tyto položky:
O2 - BHO: (no name) - {8743F551-22A8-5571-9AE9-66EDFEA622A3} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {F021F628-73DF-040F-E6CB-617D97CD5DF4} - (no file)
O3 - Toolbar: (no name) - {B71B15CF-3093-459C-B764-AEB2486F2273} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {1BC1FC4B-B0D2-4D8D-9307-2E40E2A8C257} - (no file)
O4 - HKLM\..\Run: [Mircosoft Update] wuampkd.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\RunServices: [Mircosoft Update] wuampkd.exe
O4 - HKCU\..\Run: [Hacp] C:\WINDOWS\System32\w?nlogon.exe
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - (no file)
O23 - Service: SNMP - Unknown owner - C:\WINDOWS\System32\snmp.exe (file missing)
O23 - Service: Zachytávání pro službu SNMP (SNMPTRAP) - Unknown owner - C:\WINDOWS\System32\snmptrap.exe (file missing)

Spusť Správce úloh/Procesy a ukonči ty červeně označené. Pak je zkus najít na disku a smazat. Restartuj, udělej nový log a dej ho sem.

P.S. O2 - BHO: (no name) - {ADCFCD65-5CD9-1A2E-8E6C-0AC53C0813C3} - C:\WINDOWS\system32\jnxaqv.dll - nevíš, co to je za soubor? Nepodařilo se mi zjistit, co to je.

[mijaja]

Psal jsi, že to se stalo po nainstalování těch aktualizací? V ovládacích panelech máš nabídku Přidat/Odebrat programy a v ní Zobrazit aktualizace - já u nich mám i datum přidání - takže to lehce zjistíš, které jsou ty 3 poslední. Ale zatím je neodebírej a postupuj podle Mikela.
Ta položka :
C:\WINDOWS\system32\jnxaqv.dll je podezřelá a mohl bys ji otestovat na Virusscanu Jotti. Jestli bude výsledek skenu pozitivní na viry, tak ji taky fixni a vymaž. Před restartem ještě vyprázdni složky Temp a Temporary Internet Files a vysyp koš.

[Liborec]

Kód: Vybrat vše

C:\WINDOWS\system32\jnxaqv.dll

je malware

[mijaja]

Takže je to jasné - postupuj podle Mikelova návodu a přidej k tomu i ten:

O2 - BHO: (no name) - {ADCFCD65-5CD9-1A2E-8E6C-0AC53C0813C3} -C:\WINDOWS\system32\jnxaqv.dll

Ve správci úloh těch 5 souborů nejspíš nenajdeš (měl bys mít nastavené zobrazování skrytých a systémových souborů) - po fixnutí vyčisti komp, projeď antivirem a antispywarem a Ccleanerem. Vymaž tempy a TIF a vysyp koš. Potom restartuj a pošli nový log.

[Liborec]

JJ Taky mi to napadlo. takže jsem už začal. Nějaký procesy nejde fixovat třeba w?nlogon. asi to budou systémový procesy.

Abych se vrátil k těm aktualizacím tak tam žádny k tomu datu co jsem to stahnul nainstalovaný nejsou.

[mijaja]

W?nlogon není systémový proces. A to, že nejde fixovat znamená, že se po restartu objevil znovu? Jestli ano a vyčistil jsi komp, jak jsem ti psal, znamená to, že je tento soubor uchováván v systému obnovy. Takže musíš vypnout Obnovení systému, nabootovat do nouzového režimu, spustit HJT a znovu fixnout. Znovu v nouzáku projet PC vším co máš po ruce a zase všechno vymazat a vysypat koš. Potom restartuj do normálu a pošli nový log.

[Liborec]

W?logon jsem skoušel vypnout ve správci úloh a vyhodilo mi to že je to "Kritický systémový proces a správce jej nemůže ukončit." Zafixuju ho dam skenovat znova a zase se tam objeví. Dělá mi to eště pár dalších souborů.
Obnovení systému jsem měl vždycky vyplý.

[mikel]

Jen pro upřesnění w?nlogon je adware (varianta PurityScanu).
Zkus to z nabootování do Safe modu.