Prosim o kontrolu logu

[dapos1]

Duvod: Chytil jsem vira, ale podle antiviru je vylecen. Nicmene, WinXP pri nabihani chvili chroustaji a kdyz by mela nabehnout obrazovka s prihlasenim, tak je pouze cerna asi 4 minuty a pak restart a stale dokola. Nouzovy rezim bezi.

Diky moc


--------------------------------


Logfile of HijackThis v1.99.1
Scan saved at 10:53:10, on 21.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\Macromedia\FreeHand 9\FreeHand 9.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.031\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - C:\Program Files\QualityCodec\isaddon.dll (file missing)
O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Program Files\AOL Security Toolbar\AOL_security_toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Program Files\AOL Security Toolbar\AOL_security_toolbar.dll
O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - C:\Program Files\QualityCodec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\msconfig.exe /auto
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A3BF5A2-DE78-492B-8886-C7118B555C0F}: NameServer = 10.152.101.1
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\system32\okkmtv.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

[Reklama]

[mijaja]

V první řadě odinstaluj C:\Program Files\QualityCodec - je to jen jeden z mnoha názvů stejného šmejda.

Stáhni si SmitFraudFix a nachystej na použití - rozbal na ploše.

Restartuj do nouzového režimu, odpoj se od internetu - nejlépe i kabel z síťovky.

Spustíš SmitFraudFix - objeví se modrá obrazovka aplikace a stiskneš volbu 2.
Nechej proskenovat počítač.
Pokud budeš dotázán, zda povolíš čištění registrů (Do you want to clean the registry ?), stiskni klávesu Y (pozor na záměnu Y a Z na klávesnici)
Pokud budeš dotázán na odstranění zavirovaných souborů z počítače (Replace infected file ?), stiskneš opět klávesu Y.

Potom restartuj a dej nový log na dočištění.

[dapos1]

Logfile of HijackThis v1.99.1
Scan saved at 11:42:04, on 21.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Maxthon\Maxthon.exe
C:\Documents and Settings\Fire Family\Dokumenty\Work\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Program Files\AOL Security Toolbar\AOL_security_toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Program Files\AOL Security Toolbar\AOL_security_toolbar.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\msconfig.exe /auto
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A3BF5A2-DE78-492B-8886-C7118B555C0F}: NameServer = 10.152.101.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

-------------------------------------------------

Kodeky jsem smazal. Jista zmena nastala, ted uz po obrazovce WinXP neni cerna, ale modra obrazovka :)

[mijaja]

Tenhle log máš dělaný v nouzáku? Protože máš dost málo spuštěných procesů potřebných pro běžný chod windows a v položkách O4 - což jsou aplikace, které mají nabíhat po startu woken (systémové), nebo jsi jim to určil při instalaci - jsou jen dvě:
msconfig, který není potřebný (pokud teda nestartuješ ještě v nouzáku) a Yahoo - ten už je zcela zbytečný. Jestli teda dělals tento log v nouzovém systému, restartuj a zkus už udělat log v normálním režimu.

Jestli ale je toto už log normálu, tak musím konstatovat, že ti tam chybí firewall, antispyware, AOL antivir se mi zdá nedostačující.
Chybí ovladače grafiky, zvukovky

Nevypnul jsi to v tom msconfigu?

Fixni v HJT:

R3 - Default URLSearchHook is missing - jinak tam už nic není

Znáš tohle IP nebo doménu?

10.152.101.1

[dapos1]

No, tohle je stale nouzovy rezim, protoze do normalniho se nedostanu. Jak jsem psal, po nabehnuti loga WinXP se misto prihlasovaci obrazovky objevi ted uz modra obrazovka (predtim cerna) a po 4 minutach restart :(

[dapos1]

A IP by melo byt normalni (v ramci sitovyho pripojeni), nic podezreleho :)

[sakiri]

zkus to projet MWAVem

[mijaja]

Tak to není dobré. Vyzkoušej přes msconfig (Start >Spustit - do okénka napiš msconfig a dej OK.

V tabulce na kartě Po spuštění zaškrtni všechna políčka, které tam jsou, tak aby s woknama startovala.
Sakra, teď jsu na 98čkách v práci a tady msconfig není, tak co píšu, je z hlavy.

Na některé kartě je nabídka na spuštění - nastav tam normální. Anebo jestli to nepřevezme teď někdo jiný, kdo teď jede na XPčkách, tak raději počkej, až budu doma - asi v 15.30

[sakiri]

nejsem si jistej ale na 98čkách je příkaz msconfig

[mijaja]

Je, ale trochu jinší než na XPčkách - jde mi o to, aby bylo Daposovi znázorněno, které procesy jedou v normálním režimu na XP. Potom by si je mohl zkusit v Taskmanageru spustit, aby mu všechny naběhly - takový pseudonormální režim. Protože si myslím, že ani msconfig v nouzáku neukáže všechny procesy, které by měly jet v normálu, aby je mohl zaškrtnout a nastavit tam potom normální spouštění. Takhle se mu tam mohou jako běžící už objevit. V msconfigu by měl zkontrolovat soubor boot.ini - případně jej vytvořit v notepadu a uložit - ale v 98čkách je zase jiný, než standartní v XP, takže mu tady nemohu dát syntaxi.

Samozřejmě by asi bylo nejlepší zkusit Obnovu systému do doby před zavirováním.

[dapos1]

No, ja pockam, az budes na XPckach, bo jinak se moc nechytam :) V Po spusteni mam akorat nVidii, antivir, Yahoo messengera...

[mijaja]

Já se omlouvám za zpoždění, ale cestou z práce mě odchytila a zneužila drahá polovička a já musel nosit tašky od obchodu k obchodu.

No ale už jsu tu. Tak co jsi zjistil? jde ti spustit ten msconfig? Nebo už jsi zkoušel Obnovu systému?