Chyba 1606

hanka1991 · Příspěvekod **hanka1991** » 24 srp 2006 17:00

mikel píše:Neměla jsi sem dát screenshot hijacku, ale jeho výpis z Notepadu!

Ale i tak, jestli je na tom obrázku nejnovější scan, tak tam máš pořád šmejda!!!

Tak ukaž mi ho prosím nebo zblbnu kvůli tomu...

Tak tady je ten výpis nejnovější:

Logfile of HijackThis v1.99.1
Scan saved at 16:59:27, on 24/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Privacy Shredder\ps.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\SpyCatcher\DeleteSatellite.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\Documents and Settings\U\Plocha\UniKey.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [Privacy Shredder] C:\Program Files\Privacy Shredder\ps.exe
O4 - HKLM\..\Run: [newname] C:\\newname20.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [GhostSurfDelSatellite] "C:\Program Files\SpyCatcher\DeleteSatellite.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [GhostSurfDelSatellite] "C:\Program Files\SpyCatcher\DeleteSatellite.exe" nowait
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 6227876531
O17 - HKLM\System\CCS\Services\Tcpip\..\{91819587-7331-4EAA-BC6C-2304C0FEF99E}: NameServer = 192.168.0.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Extra Logs and Alerts (mysvc) - Unknown owner - c:\windows\system32\rsn.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: System Out (SystemOutService) - Unknown owner - C:\WINDOWS\system32\systemout.exe (file missing)
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

Reklama

Příspěvekod **mikel** » 24 srp 2006 17:16

Fixni v Hijacku:
šmejda = O4 - HKLM\..\Run: [newname] C:\\newname20.exe
zbytečnosti =
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

Pak najdi na disku ten červený soubor a smaž ho. Vypadá to, že si vytvořil aresář, který nemá jméno (na disku C:). Jestli vypátráš ten adresář, tak ho celý smaž! Možná si kvůli tomu budeš muset zapnout zobrazování skrytých souborů.

Pak spustíš - pravé myšítko na Tento počítač/Spravovat/Služby. Najdeš služby Extra Logs and Alerts (mysvc) a System Out (SystemOutService) a zakážeš je pomocí pravého myšítka/Vlastnosti/typ spouštění změníš na Zakázáno.
Pak se podívej jestli nenajdeš tyhle soubory a pokud ano, tak je smaž.
c:\windows\system32\rsn.exe
C:\WINDOWS\system32\systemout.exe

Aplikuj čištění disku CCleanerem, vypni Obnovení systému a restartuj. Udělej nový log a dej ho sem.

hanka1991 · Příspěvekod **hanka1991** » 25 srp 2006 11:48

Nemám tam c:\windows\system32\rsn.exe
C:\WINDOWS\system32\systemout.exe
Ani jsem nemohla najít červený soubor abych ho smazala a dívej se na ten log, podle mě tak to vypadá nějak líp že? Teda doufám :lol:

Logfile of HijackThis v1.99.1
Scan saved at 11:44:21, on 25/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\Program Files\Privacy Shredder\ps.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\SpyCatcher\DeleteSatellite.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Adobe Photoshop CS2\Photoshop.exe
C:\DOCUME~1\U\LOCALS~1\Temp\Adobelm_Cleanup.0001
C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOCUME~1\U\LOCALS~1\Temp\Adobelm_Cleanup.0001
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [Privacy Shredder] C:\Program Files\Privacy Shredder\ps.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [GhostSurfDelSatellite] "C:\Program Files\SpyCatcher\DeleteSatellite.exe"
O4 - HKLM\..\RunOnce: [GhostSurfDelSatellite] "C:\Program Files\SpyCatcher\DeleteSatellite.exe" nowait
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 6227876531
O17 - HKLM\System\CCS\Services\Tcpip\..\{91819587-7331-4EAA-BC6C-2304C0FEF99E}: NameServer = 192.168.0.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

Příspěvekod **mikel** » 25 srp 2006 14:31

Vypadá to dobře, jenom mě ještě zaráží tyto 2 položky:
1. Ve spuštěných procesech - C:\DOCUME~1\U\LOCALS~1\Temp\Adobelm_Cleanup.0001
AdobeLM je služba od Adobe, která kontroluje legalitu jejich softwaru. A podle jména procesu usuzuji, že tato služba provedla nějakou čistku. :wink:

2. Položka O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
Měla by odkazovat na soubor C:\WINDOWS\system32\wgalogon.dll, který upozorňuje na nelegální wokna. Zkontroluj si, jestli máš tento soubor pořád v adresáři system32 a jestli ne, tak tu O20 ještě fixni v Hijacku.

No a teď je čas na pokračování logem z MWAVu.

hanka1991 · Příspěvekod **hanka1991** » 29 srp 2006 13:05

Tue Aug 29 12:42:29 2006 => ***** Scanning complete. *****

Tue Aug 29 12:42:29 2006 => Total Objects Scanned: 730
Tue Aug 29 12:42:29 2006 => Total Critical Objects: 1
Tue Aug 29 12:42:29 2006 => Total Disinfected Objects: 0
Tue Aug 29 12:42:29 2006 => Total Objects Renamed: 0
Tue Aug 29 12:42:29 2006 => Total Deleted Objects: 0
Tue Aug 29 12:42:29 2006 => Total Errors: 8
Tue Aug 29 12:42:29 2006 => Time Elapsed: 00:06:31
Tue Aug 29 12:42:29 2006 => Virus Database Date: 8/25/2006
Tue Aug 29 12:42:29 2006 => Virus Database Count: 218109

Tue Aug 29 12:42:29 2006 => Scan Completed.

C:\WINDOWS\system32\FlashPlayer32.exe (in key SOFTWARE\Microsoft\Active Setup\Installed Components\{142A6800-3I18-11C0-821H-4M4GICH20010S}). No Action Taken.
C:\WINDOWS\system32\MsAgent32.exe (in key SOFTWARE\Microsoft\Active Setup\Installed Components\{5M8A6G00-3I18-11C0-821H-444200140P0S}). No Action Taken.
c:\windows\system32\fixapi.exe (in key SOFTWARE\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}). No Action Taken.
Tue Aug 29 12:36:29 2006 => ERROR!!! Invalid Entry StubPath =
C:\WINDOWS\system32\ssvchost.com (in key SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}). No Action Taken.
Tue Aug 29 12:36:29 2006 => ERROR!!! Invalid Entry VTPreset = VTPreset.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken

A chci se ještě na tohle ptát co je "Isass.exe"? (Nevím jestli tam je "i" nebo "l") Když jsem nainstalovala Window Media Player 11 tak sám vypl počítač a taky "sám" restartoval jenže objevila se chyba "Isass.exe", bylo napsané že Operace nebyla úspěšná. Pak už vůbec nepracuje, porad'te mi prosím

Příspěvekod **mikel** » 31 srp 2006 14:21

Podle tabulky bys to měly mít 1 šmejda a 8 chyb v registrech, ale ty jsi sem zkopírovala 5 záznamů a z toho jsou 3 neúplné!

Z toho, co tu máš, můžu poradit akorát vymazat v editoru registrů klíče:
HOT_KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{142A6800-3I18-11C0-821H-4M4GICH20010S}
HOT_KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
HOT_KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5M8A6G00-3I18-11C0-821H-444200140P0S}
HOT_KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}

a ověř si jestli ti na disku nezůstaly soubory (nezapomeň na zobrazování skrytých souborů):
C:\WINDOWS\system32\FlashPlayer32.exe
C:\WINDOWS\system32\MsAgent32.exe
c:\windows\system32\fixapi.exe
C:\WINDOWS\system32\ssvchost.com

Pokud bys je našla, tak je musíš smazat.

Soubor lsass.exe (s L) je legální soubor woken. Ale existuje i soubor s I na začátku a to je šmejd. Nejlepší bude otestovat tento soubor na Jotti.
Nejspíše to bude chyba WMP, který bude nejlépe odinstalovat.

VÝZVA PRO VŠECHNY: Nestahujte a neinstalujte si prosím nové verze Windows Media Player a raději si nainstalujte jeden z nepřeberného množství freewarových přehrávačů, které na rozdíl od WMP fungují!

hanka1991 · Příspěvekod **hanka1991** » 03 zář 2006 16:07

Mikel: tak všechno jsem nejak zvladla krome toho, nevim jaky soubor mam vybrat aby mohlo Jotti zkontrolovat.
Takze WMP mam teda odinstalovat?
Zatim ti dekuji za vsechno Mikele.

Příspěvekod **mikel** » 03 zář 2006 20:35

1. Jotti - no přece lsass.exe :wink:

Ten pravý by měl být v adresáři C:\WINDOWS\system32. Ale pro jistotu zkus vyhledat, jestli není i někde jinde. A myslím tím LSASS i ISASS a každý jiný výskyt smaž.

2. WMP - odinstalovat ho můžeš (bude to lepší), ale nemusíš. Hlavně ho nepoužívej. Já třeba používám WinAmp na muziku a MV2 Player na video. Ale ty si můžeš vybrat něco jiného, protože jich je velké množství.

Chyba 1606

Kdo je online