Windows XP Professional - restart

[Raziel00]

Ahoj lidi,
Mám problém s Windows XP (zkusil jsem Home i Profesional a u Profesionálů je to trochu lepší).

Zkrátka když mi PC běží déle než 8-10 hodin začne se často z ničeho nic bez varování samo restartovat. Jindy tomu předchází ještě samovolné zavírání aplikací (Program provedl... musí být ukončen.)
Jednou to dokonce vedlo k vymazání mého uživatelského účtu.

Nejsem si jistý příčinou, virus ovšem téměř vylučuji - může to být software, nebo taky hardware.
Pokud mi dokážete poradit, budu vám vděčný, jsem totiž naprostý laik.

[Reklama]

[mikel]

Řekl bych, že softwarem to nebude, když se ti děje už na druhém systému, ale je to možné. Spíš bych tipoval hardware, ale začneme nejlépe od začátku a podíváme se, jestli nemáš nějaké šmejdy v kompu.
Dej sem log z Hijacku. Jak na to se dočteš tady.

[Raziel00]

ogfile of HijackThis v1.99.1
Scan saved at 10:39:52, on 2.6.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Total Commander\Total Comander\TOTALCMD.EXE
c:\Documents and Settings\R@ziel\Pc-Extreme 10\1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\System32\UMonit2k.exe
O4 - HKLM\..\Run: [HI-SPEED USB DEVICE Coinstaller] PL15Co2K.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[mijaja]

Tak Mikel měl pravdu, softem to nebude. V logu není nic, co by ti to mělo dělat. Snad jen pár zbytečností.


Zastav v Taskmanageru zbytečně běžící procesy:
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe - spouštěj ručně se hrou a ve službách přepni spouštění na ruční
C:\Program Files\eMule\emule.exe - pokud nestahuješ, nebo neuploaduješ


Fixni:

O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe


Tyhle tři klíče se mi jeví také jako zbytečnosti - Monitoring USB portů kvůli flashce si myslím není v XPčkách vůbec nutný
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\System32\UMonit2k.exe
O4 - HKLM\..\Run: [HI-SPEED USB DEVICE Coinstaller] PL15Co2K.exe - tady si nejsem zcela jistý potřebností. To uvaž sám.

Jestli nevyužíváš "výhody" Windows messengeru, tak mám v linku Důležité.... návod na jeho odstranění.

[Raziel00]

Windows messengeru jsem se zbavil a vše vypsané fixnul, ale počítám, že to můj problém nijak neřeší. Napadá mě, nemůže to mít souvislost se Starforce ? (před nějakou dobou jsem ho nevědomky nainstaloval se hrou, ale po odinstalování po něm nezbyla jediná stopa...)

Jinak díky za dosavadní rady.

[mijaja]

Mohou tam být pozůstatky v registrech, které navenek nejsou v HJT vidět. Zkus vyčistit komp CCleanerem a udělej sken MWAVem podle návodů v podpisu.

[Raziel00]

Tady je část logu z MWAV, něco se tam přece jen objevilo:




Fri Jun 02 12:27:54 2006 => Offending Folder found: C:\Program Files\vvsn
Fri Jun 02 12:28:31 2006 => Object "whenu.weathercast Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jun 02 12:28:31 2006 => Offending file found: C:\DOCUME~1\Raziel0\LOCALS~1\Temp\war3_install.exe
Fri Jun 02 12:28:31 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.

Fri Jun 02 12:28:39 2006 => Offending file found: C:\Documents and Settings\Raziel0\Local Settings\temp\war3_install.exe
Fri Jun 02 12:28:39 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.



Fri Jun 02 12:47:02 2006 => ***** Scanning complete. *****

Fri Jun 02 12:47:02 2006 => Total Objects Scanned: 31966
Fri Jun 02 12:47:02 2006 => Total Critical Objects: 3
Fri Jun 02 12:47:02 2006 => Total Disinfected Objects: 0
Fri Jun 02 12:47:02 2006 => Total Objects Renamed: 0
Fri Jun 02 12:47:02 2006 => Total Deleted Objects: 0
Fri Jun 02 12:47:02 2006 => Total Errors: 5
Fri Jun 02 12:47:02 2006 => Time Elapsed: 00:19:52
Fri Jun 02 12:47:03 2006 => Virus Database Date: 6/2/2006
Fri Jun 02 12:47:03 2006 => Virus Database Count: 197894

Fri Jun 02 12:47:03 2006 => Scan Completed.

[mijaja]

No tak tento soubor určutě zlikviduj:

C:\DOCUME~1\Raziel0\LOCALS~1\Temp\war3_install.exe

A tohle je dost divné:
C:\Program Files\vvsn - to je soubor bez koncovky, nebo adresář? Raději ho taky zlikviduj.

WheenUSave se tahá popři hodně programech, takže možná i při StarForce.
Jinak tedy po stránce softu by to už být nemělo.

Ještě se podívej po těch souborech, které mwav označil jako chybné - mělo by jich být 5. Taky mohou zapříčiňovat chybu s restartem.

[Raziel00]

Děkuju moc za tvojí pomoc a rady.

[Raziel00]

Tady jsou ještě ty chyby, na které jsem posledně zapoměl:



Fri Jun 02 12:27:38 2006 => ERROR!!! Invalid Entry avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.

Fri Jun 02 12:27:38 2006 => ERROR!!! Invalid Entry UMonit = C:\WINDOWS\System32\umonit.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.

Fri Jun 02 12:27:38 2006 => ERROR!!! Invalid Entry Gene USB Monitor = C:\WINDOWS\System32\UMonit2k.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.

Fri Jun 02 12:27:38 2006 => ERROR!!! Invalid Entry HI-SPEED USB DEVICE Coinstaller = PL15Co2K.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.

[mijaja]

Píšeš, že jsi všechno fixnul, takže tď musíš tyhle záznamy v registrech vymazat. Dej Nabídku Start >> Spustit > do okénka napiš regedit a dej OK. Otevře se ti systémový registr a v něm se v levém okně proklikej až k tomuhle klíči:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Počítám, že v každém bude něco z toho. No a když se ti na pravé straně tyto klíče otevřou, najdi v nich ty záznamy s umonit.exe, UMonit2k.exe a PL15Co2K.exe klikni na ně pravým myšítkem a dej odstranit.

[Raziel00]

Udělal jsem jak píšeš, všechno je to pryč.