PC-HELP.CZ

PC : Krátce po spuštění se objeví hlášení "V aplikaci Generic Host proces for win32 services došlo k problému a je třeba ji zavřít " (ohlásit problém Micrisoftu ....... odeslat zprávu o chybách..... neodesílat)
Pokud dám neodesílat objeví se hlášení že se provede se restart do 1 minuty a odpočítává.
Pokud potvrdím neodesílat tak se provede retart sám do cca 6minut.

Před spuštěním logátorů proveden úklid smetí.
Tady je log z HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 13:46:33, on 12.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\Tata\Plocha\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=61005
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=61005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {50E43D86-A74D-11D0-98CE-004005249458} (AnimatedGif Control) - https://www.mojebanka.cz/jars/confwiz/MVSGif.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A4912FF-A4D6-4C18-BA59-0D0C8EDFD6F5}: NameServer = 77.48.100.254,77.48.254.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A4912FF-A4D6-4C18-BA59-0D0C8EDFD6F5}: NameServer = 77.48.100.254,77.48.254.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A4912FF-A4D6-4C18-BA59-0D0C8EDFD6F5}: NameServer = 77.48.100.254,77.48.254.254
O17 - HKLM\System\CS3\Services\Tcpip\..\{0A4912FF-A4D6-4C18-BA59-0D0C8EDFD6F5}: NameServer = 77.48.100.254,77.48.254.254
O17 - HKLM\System\CS4\Services\Tcpip\..\{0A4912FF-A4D6-4C18-BA59-0D0C8EDFD6F5}: NameServer = 77.48.100.254,77.48.254.254
O17 - HKLM\System\CS5\Services\Tcpip\..\{0A4912FF-A4D6-4C18-BA59-0D0C8EDFD6F5}: NameServer = 77.48.100.254,77.48.254.254
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - (no file)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Program Files\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe


a tady z MWAV
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "smitfraud Browser Hijacker" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "mirar Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "remacc.multiwebsurv Generic Malware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Soubor C:\WINDOWS\system32\efvqakj je infikovaný virem Trojan.Win32.Patched.bb !! Provedené akce: Nic nebylo provedeno.
Soubor C:\WINDOWS\system32\mfipp je infikovaný virem Trojan.Win32.Patched.bb !! Provedené akce: Nic nebylo provedeno.
Soubor C:\WINDOWS\system32\rgtd je infikovaný virem Trojan.Win32.Patched.bb !! Provedené akce: Nic nebylo provedeno.

Pokoušel jsem se tři uvedené soubory odmazat pomocí killboxu ale marně.
Předem díky.

tvůj problém to asi nevyřeší, ale běží ti rezidentně dva antiviry. Avast a WinClamAV (rezidentní štít Spyware Terminátora). Ten u ST vypni a doinstaluj firewall. jinak v logu jsem si nevšiml ničeho špatného jen dwwin.exe je proces Doctora Watsona, který kontroluje a opravuje chyby. To bude asi souviset s tvým problémem.
v logu můžeš fixnout:
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

vítám na PC-HELP

udělej co píše memphisto+nainstaluj tuto záplatu KB921883

Díky za přivítání na fóru.
Tak jsem udělal vše: záplata instalována, spyware terminator odinstalován, fixnuta položka.
Výsledek pořád stejný. Zasílám sken obrazovky. Problém je v tom že restart je rychlejší nežli dokončí scan MWAV, tak nevím zdali je v logu vše. Kopíroval jsem jen věci do doby než to restartlo.
BTW tento problém se vyskytuje i v nouzáku.

nainstaloval jsi ten firewall?

jakmile naskočí ten odpočet,tak ho zkus zastavit tak,
že napíšeš nebo zkopíruješ do Spustit... shutdown -a a enter

jinak,tenhle problém se docela blbě dohledává,připrav se na to

a rovnou teda udělej combofix,pokud se ti nepodaří dodělat ten mwav

Stáhni si ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem klávesy 1
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log, který se ti zobrazí, jinak ho najdeš zde: C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

Firewal jsem doposud neinstaloval. PC není připojen k netu. Ale samosebou doinstaluju.

Shutdown -a funguje ... taky mne mohlo napadnout
Přikládám teď již kompletní log z MWAV a dále z combofixu

Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "smitfraud Browser Hijacker" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "mirar Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "remacc.multiwebsurv Generic Malware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" odkazuje na neplatný objekt ".dbk". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" odkazuje na neplatný objekt "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1". Provedené akce: Nic nebylo provedeno

-------------------------------------------------------------------------------------------------------------------
ComboFix 08-02-12.1 - Tata 2008-02-13 12:21:03.6 - NTFSx86

Running from: C:\Documents and Settings\Tata\Plocha\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((( Files Created from 2008-01-13 to 2008-02-13 )))))))))))))))))))))))))))))))
.

2008-02-13 12:13 . 2008-02-13 12:13 0 --a------ C:\23990098.$$$
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-------- C:\VundoFix Backups
2008-02-13 09:28 . 2008-02-13 09:28 <DIR> d-------- C:\WINDOWS\$hf_mig$
2008-02-12 13:03 . 2008-02-12 13:04 75,172 --a------ C:\zaloha registru.reg
2008-02-12 12:58 . 2008-02-13 10:28 <DIR> d-------- C:\Program Files\CCleaner
2008-02-12 07:38 . 2008-02-13 12:06 26 --a------ C:\WINDOWS\Lic.xxx
2008-02-12 07:37 . 2004-08-17 14:49 147,968 --a------ C:\WINDOWS\R.COM
2008-02-12 07:37 . 2004-08-17 14:49 137,216 --a------ C:\WINDOWS\system32\T.COM
2008-02-07 19:52 . 2008-02-07 19:52 16,896 --a------ C:\Documents and Settings\Tata\winagpl.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-13 10:48 --------- d-----w C:\Program Files\TrojanHunter 5.0
2008-02-13 10:37 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\Spybot - Search & Destroy
2008-02-07 22:05 25,984 ----a-w C:\WINDOWS\system32\drivers\Dkq30.sys
2008-01-04 11:56 --------- d-----w C:\Program Files\Mv2Player
2007-12-25 14:13 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-12-25 14:13 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-12-25 12:53 --------- d-----w C:\Program Files\PDG 4
2007-12-25 12:44 --------- d---a-w C:\Documents and Settings\All Users\Data aplikací\TEMP
2007-12-25 12:01 501 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2007-12-25 11:57 --------- d-----w C:\Documents and Settings\Tata\Data aplikací\Simply Super Software
2007-12-16 20:20 --------- d-----w C:\Documents and Settings\Tata\Data aplikací\Skype
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-11-22 14:49 16,384 ----a-w C:\Documents and Settings\Tata\1.exe
2007-11-17 20:21 1,952,256 ---ha-w C:\WINDOWS\system32\BIT51.tmp
2007-08-28 15:52 17,144 ----a-w C:\Documents and Settings\Tata\Data aplikací\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\cftmon.exe


.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-13 12:22:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-02-13 12:23:21
ComboFix-quarantined-files.txt 2008-02-13 11:22:59


Toť vše.

ty si asi myslíš,že mi jsme věštci.když nejsi na netu,tak jak víš,že máš všechny aktualizace?
jak dlouho je ten problém?
po nějaký instalaci?
Stáhni si Suspicious File Packer
Rozbal ho a spusť ho (soubor sfp.exe)
Do okna které se ti zobrazí zkopíruj a vlož tento tučně označený text:

C:\Documents and Settings\Tata\winagpl.exe
C:\WINDOWS\system32\drivers\Dkq30.sys
C:\Documents and Settings\Tata\1.exe
C:\WINDOWS\system32\BIT51.tmp

pak klikni na tlačítko Continue
Program se ti přepne do druhého okna Step2: Create archive
Zavři program.
Na ploše se ti vytvoří soubor requested-files[2007-07-30_HH_MM].cab (místo 2007-07-30 budeš mít aktuální datum a kde HH - hodina a MM minuty)

Pokud se ti daný soubor vytvoří zabal ho např. do zipu a vlož ho ke svému příspěvku jako přílohu.

Poznámka: Je možné že už dané soubory nebudeš mít na disku, takže se ti nemusí vytvořit archiv.

Špatně jsem napsal že nejsem na netu. Správně jsem měl uvést momentálně nejsem na netu. Vše píšu z jiného PC. Mám zásadu, pokud je nějaký problém odpojím od netu abych eliminoval možnost reinfekce a teprve pak léčím. Jinak aktualizace by měly byt ok. Ono to Pc je mého staršího kolegy, který již vzdal nějaká fóra a raději to svěřil mě protože je s ním daleko větší práce než se mnou.

Soubor nejde odeslat jeho velikost je 1.9MB, povoleno je 0.512MB.
Kam ti ho mám poslat?

neposílej mi ho.já sem myslel,že ten komp je bez netu.
nech ty řádky zkontrolovat tady http://www.virustotal.com/flash/index_en.html