Po přihlášení dojde k automatickému odlášení (vyřešeno)

[Koudy]

Takže jak jsem tam viděl "mssearchnet" hned jsem v nouzáku spoštěl nnncleaner a zdá se, že problém je odstraněn. Všechny podezřelý řádky jak v HJT tak v Autoruns zmizely, nebo se je podařilo odstřelit. Jen tam zůstává

C:\WINDOWS\system32\wuauclt.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

což přesně nrvím co je a zda to není škodlivý.

Jinak to, že jsem se do Compu nemohl přihlásit bylo způsobeno asi tím, že jsem před tím provedl razantní čistku v HJT a a si vymazal něco, co jsem neměl (např. něco od bezpečnostní karty v notebooku, která hlídá neoprávněné přístupy uživatelů). Naštěstí se po reinstalaci Woken vše objevilo tak jak má být.

Pro jistotu posílám ještě výpis z HJT:

Logfile of HijackThis v1.99.1
Scan saved at 10:23:27, on 09.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
C:\WINDOWS\srvany.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\PCard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Instaly\Antiviry\autoruns.exe
C:\Instaly\Antiviry\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [\\A68404\EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P35 "\\A68404\EPSON Stylus CX3600 Series" /O6 "USB002" /M "Stylus CX3600"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BC30B21-E6FE-4EBC-AFDA-31F0145966D5}: NameServer = 212.47.0.4,212.47.1.4
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: PSecret - Unknown owner - C:\WINDOWS\srvany.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

[Reklama]

[Koudy]

Mijajo, ještě jednou díky za rady a podporu. Teď jsem se ještě díval na net a zjistil, že

C:\WINDOWS\system32\wuauclt.exe

je OK, takže už nevím jestli

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

není škodlivý. Ještě jednou Dík

Koudy

[mijaja]

No ještě to nevypadá na úplné vítězství.

Proces C:\WINDOWS\system32\wuauclt.exe ti stahuje záplaty od Microsoftu. Ten je nutný pro automatické aktualizace, tak jej nemaž. Ale je tu pár "podezřelých "procesů. které bys mohl zkontrolovat na Jottiscanu:

C:\WINDOWS\system32\brsvc01a.exe - v jednom topicu byl řádně zavšiven, tak ho raději zkontroluj
C:\WINDOWS\system32\brss01a.exe
C:\Instaly\Antiviry\autoruns.exe - od čeho je toto?


Ten řádek fixni:
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

[Koudy]

Oba soubory brs* označil Jottiscan jako čisté.

autoruns.exe je mnou spuštěná utilitka, která zobrazí přehledně, co se spouští při startu systému a jsou tam občas i věci, které HJT neukáže. Informace najdeš na http://www.sysinternals.com/Utilities/autoruns.html

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
jsem fixnul, ale nevím co to bylo a snad se to tam znova neukáže.

Takže snad jsme zdárně u konce. Může-li, uzavři tuto diskusi jako "vyřešenou" a případně ji přesuň do kategorie "Viry" nebo "výpisy HJT".

Zdar Koudy

[mijaja]

To si modi dají jako vyřešeno, takže do zavirování .

Ten autoruns vypadá zajímavě

[karlos]

Přesně to samé jsem opravoval před 14 dny kamarádovi. Začalo mu to tak, že bliklo okno, resetoval se počítač a všechna hesla se přepsala a nebyla šance se dostat do systému. Po reinstalu jsem našel v rootu disku pár souborů, ve kterých se psalo o hacknutí a přání veselého přeinstalování, teoreticky se tam dalo vystopovat i nové heslo, v souboru, který upravil registr.