NT AUTHORITY\SYSTEM + KERIO

Liska · Příspěvekod **Liska** » 26 úno 2006 12:41

Ahoj všichni, poradí mi někdo s problémem vypínání Wéček s obrazením okna "Vypnutí sys. W. : NT AUTHORITY\SYSTEM a omezit nebo spíš ukončit otevírání oken u brány KERIA při připojení k NETU. Neustále se mi ptá jestli chci odesílát informace a buďto musím dát "Zavřít" nebo "Podrobnosti" Poraďte prosím. Díky Čau :evil:

Reklama

mijaja · Příspěvekod **mijaja** » 26 úno 2006 12:46

A odpočítává ti to minutu do restartu?

Liska · Příspěvekod **Liska** » 26 úno 2006 13:00

Přesně tak, a ještě to tam píše "Služba Vzdálené volání procedur (RPC) neočekávaně ukončila systém W." nebo tak nějak

mijaja · Příspěvekod **mijaja** » 26 úno 2006 13:04

To může být Blaster. Dej sem log z HijackThisu a podíváme se na to. Návod i odkaz na stažení mám v linku Důležité...

Liska · Příspěvekod **Liska** » 26 úno 2006 14:41

Hrozně se mi seká PC. Když se kousne, tak už ho nerozchodim a musim dát RESTART. Už mi to štve. Zkoušel jsem všechny doporučené Firewalli na tvých stránkách - Hrůza. Zatím to vypadá, že to pošlape s Bránou Wéček, já vím že není tak kvalitní ale aspoň to chodí. Posílám ten HJT. Asi tam bude bordel. Nejradši bych to přeinstaloval protože těsně po startu mám výběr ze dvou stejných Wéček až na to že na jednom jsou předchozí data a na druhým nová data. :oops:

Logfile of HijackThis v1.99.1
Scan saved at 14:41:03, on 26.2.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS.0\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS.0\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS.0\System32\wpabaln.exe
C:\Documents and Settings\liska.PC-C258IH7MZFLO\Local Settings\Temp\Dočasný adresář 1 pro hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0951753255
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AD666EE-5960-4EA8-8109-97C4D8239B31}: NameServer = 194.228.41.65 194.228.41.113
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AD666EE-5960-4EA8-8109-97C4D8239B31}: NameServer = 194.228.41.65 194.228.41.113
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

mijaja · Příspěvekod **mijaja** » 26 úno 2006 14:54

No tohle vypadá dost osekaně, ale není tam nic vidět. Ty jsi už zkoušel něco fixovat? Jestli ne, tak bych se obával, že tam bude nějaký rootkit, který schovává toho šmejda.

Zkus si stáhnout RootkitRevealer a spustit jej. Vypni všechny ostatní programy (i prohlížeče) a nechej spuštěný jen RR. Výpis potom dej sem.

Liska · Příspěvekod **Liska** » 26 úno 2006 15:24

V RR to nenašlo nic. Nemůže mít vliv na chod (zasekávání) PC třeba modem ETHERNET - DSL 362T ? Když se připojím přes SAGEMFAST 840 tak to šlape pěkně. Výkon mého PC je hrozný : Procesor 750Mhz, RAM 128Mb, HDD 20Gb, GK - NVIDIA RIVA TNT2P64. Nejde se zbavit nějak toho druhýho výběru Wéček při startu ? Co to bylo to "NT AUTHORITY\SYSTEM ? Nic Fixovat jsem nezkoušel. Ta brána od Wéček stačí ?

mijaja · Příspěvekod **mijaja** » 26 úno 2006 15:40

Jestli RR nic nenašel, je to dobře. Jestli máš XPčka tak bych v první řadě stáhl SP2 - mám ji v linku. V otázce HW by ti musel poradit někdo, kdo se v tom vyzná lépe než já, ale při 20GB disku mít dva systémy vedle sebe je dost přepych - jeden bych shodil, protože je klidně možné, že mi sem dáš log z jednoho systému, ale šmejd je v druhém a zasahuje i do toho prvního. Potom není v pocesech vidět, ale vesele funguje dál. Přepínání systémů při startu se děje Tento počítač/Vlastnosti/Upřesnit/Spuštění a zotavení systému - tlačítko Nastavení. V liště nahoře vyber systém, který se má nabídnout při startu. Pod tím -Doba zobrazení výběru dej 1 sec.( Nula by mohla dělat problémy)
Ale jak říkám - tady bych to řešil až po shození jednoho systému, aby se nestalo, že jeden vyléčíš a vzápětí se z druhého opět obnoví nákaza.

Liska · Příspěvekod **Liska** » 26 úno 2006 15:54

Takže tu dobu zobrazení jsem snížil na 1 sekundu. A teď mi poraď jak shodit ten jeden systém ?

mijaja · Příspěvekod **mijaja** » 26 úno 2006 16:02

To jsou oba XPčka? Nejsou náhodou vidět v Přidat nebo ubrat programy? Tady je otázka, jak to bylo instalováno, Je možné, že jsou tak provázané, že jeden bez druhého by nešel sundat. V tom případě bych se spíše přiklonil k reinstalu. Rozuměj pokud používají shodné soubory a jeden systém při odchodu si některé soubory vezme se sebou, nemusel by ti druhý systém vůbec potom už vůbec najet. Raději bych zazálohoval potřebná data a přeformátoval a reinstal. Jestli máš každé zvlášť na oddíle disku, možná by to šlo lépe odinstalovat - záleží, co je to za systém, jestli jede na FAT32, nebo NTFS.

NT AUTHORITY\SYSTEM + KERIO

NT AUTHORITY\SYSTEM + KERIO

Kdo je online