Zdravím Vás pánové a dámy,
snažil jsem se problém s aktualizacemi vyřešit přečtením několika témat podobného rázu, ale bezvýsledně. Mám podobný problém jako jeden z dotazujích. Dnes ráno sem zjistil, že mi nejdou aktualizace. Začal sem tedy problém řešit.
První co sem udělal bylo, že sem v nabídce Start...Spustit zadal services.msc a snažil se opravit Automatické aktualizace jejichž činnost je zastavena. Zadal sem typ spouštění automaticky ale stav služby zůstává pořád zastaveno. Odpojil sem tedy internet a projel důkladně avastem. Našel mi asi 8 virů z nichž některé nešli smazat, přesunout, prostě nic. Pak sem zkusil Ad-awere Spybot, taky mi to našlo pár problému, které jsem doufám odstranil a aktualizace stále nejdou.
Vím, že tento podobný problém se tu už řešil, ale opravdu si už nevím rady a prosím Vás moc o pomoc.
Níže ještě posílám screen s chybovým hlášením, kdy sem zkoušel pomocí services.msc v nastavení aktualizací problém vyřešit.
Tak to vypadá, že to stále není ono. Nějaká havěť tam bude stále. Píšete "Našel mi asi 8 virů z nichž některé nešli smazat, přesunout, prostě nic". Jak jste naložil s těmi, co nešly smazat?
Nenaložil sem s nimi nijak. Zkusil sem po Avastu Spybot a Ad-Awere a doufám, že to co sem našel s nimi a odstranil byly ty viry které sem našel s Avastem. Doporučujete tedy provést ještě jednou antivir test? Popřípadě jakým antivirem. Četl sem zde ještě něco o hijackthis. Sem v tomhle pouhopouhým lajkem takže uvítám každou radu. Děkuji.
Ano, otestujte PC ještě jednou antivirem. Klidně AVASTem. Je třeba se těch souborů, které nalezl a nebyl schopen odstranit, zbavit. Spybot a Adaware je taky pravděpodobně neodstraní. Jsou to programy, které jsou určeny pro nalezení jiné kategorie než antivir. O jednotlivých kategoriích pojednávám na jiném místě, takže to tu vynecháme.
Přiložte sem výsledek testu a výpis z hijacthis. Hijack je prográmek, který se neinstaluje, pouze spustí. Vypíše Vám aktivní procesy a seznam klíčů, které se spustí po startu.
O.k. jdu na to, hijackthis sem už zkoušel, takže to sem pošlu vše najdednou. Díky.
Takže projel sem to Avastem, krom těch 8 hajzlíků mi to tam našlo ještě docela dost věcí, zřejmě jak sem dělal s tím Spybotem. Nevím přesně co to má znamenat. Každopádně ty věci od Spybotu co našel Avast šli v pohodě smazat a těch 8 položek ne. Přikládam screeny s výsledkem a s hlášením o nalezení viru.
další screen
Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 19:00:07, on 28.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\OvisLink WL-5480USB WLAN USB\WlanUtil.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\runservice.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\1\Plocha\hijackthis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\8.bin\mwsoemon.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\9.bin\MWSOEMON.EXE
O4 - Startup: Registration .LNK = C:\Program Files\Ubisoft\Demo\Blazing Angels Squadrons of WWII Demo\RegistrationReminder.exe
O4 - Startup: Strong DC++ Ferrari edition.lnk = C:\Strong DC Ferrari edition\StrongDC.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\9.bin\MWSOEMON.EXE
O4 - Global Startup: OvisLink WL-5480USB WLAN USB Utility.lnk = C:\Program Files\OvisLink WL-5480USB WLAN USB\WlanUtil.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: WebTran - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - C:\WINDOWS\WebIE.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - (no file)
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748449} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: &Nastavit překladač - {CC963627-B1DC-40E0-B52A-CF21EE748449} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: &Slovník - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: Přeložit &označený text - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: Přeložit &stránku - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD6B2224-8C20-4C39-9BE6-F58470777AA3}: NameServer = 10.1.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
Vše, co obsahuje mywebsearch fixněte
Jestliže nepoužíváte ICQ, fixněte řádky, které obsahují ICQ
Dále fixněte :
O9 - Extra button: (no name) - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Doporučuji fixnout
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
je to zbytečně obtěžující - jsou to ty hlášky typu snažíte se o změnu registru a pod. Záleží na Vás, já to mám fixlé.
Fixněte tedy ten mywebsearch a zkuste odstranit celý adresář smazáním. Potom zkuste aktualizace.
Možná jste si všiml, že do System volume information se jen tak nedostanete. To bychom řešili dále.
Icq používám, měl bych teda i to fixnout a odinstalovat ho nebo to až tak moc nevadí?
Tak je provedeno. Řádky s icq jsem nefixnul. A ten MyWebSearch sem už odpoledne intuitivně odstranil páč dělal neplechu.
Pokud jste testoval Avastem jen při běhu systému, nestačí to. Některé viry se chrání a nejdou při běhu systému smazat. Naplánujte v Avastu test po restartu. Po restartu pc nenaběhne Windows, ale prostředí Avastu a spustí se kontrola na viry. Nalezené soubory by měli jít odstranit. Po dokončení testu naběhne opět prostředí Windows.
Dal sem Start -> Spustit -> services.msc -> automatické aktualizace -> typ spouštění ->automticky a u typ služby při snaze o spuštění stále to chybové hlášení viz v prvním příspěvku.
Aha, tak o tom se vůbec nevěděl. Teď bohužel nevím jak naplánovat spuštění avastu po restartu a jaké testování stačí...mám dát důkladné nebo jen střední?
Joo tak už vim jak ten avast spustit po restartu. Teď sem to tam našel. Noo pravděpodobně na to vlítnu až ráno.
Takže spusťte program Avast. Po testu paměti naskočí rozhraní Avastu. V levém horním rohu je tlačítko s šipkou nahoru. Na to klikněte a rozbalí se menu. V něm vyberte naplánovat test po restartu. Nechte otestovat všechny lokální disky, případně i archivy. S archivy to bude trvat déle, ale test je důkladnější. Dejte naplánovat a povolte restart pc. Až poběží test Avastu, tak pokud najde vir, tak se test zastaví a zeptá se co s daným souborem dělat. Vyskočí volby a k nim čísla kláves. Vyberte volbu smazat, nebo přesunout do truhly. Já dávám přímo smazat. Ale když si nesem jistý o jaká data jde dám příkaz do truhly. Cesta k souboru je v avastu uvedena. V některých případech se bohužel může stát, že jde o zavirovaný systémový soubor a Windows pak nenaběhne. Nestává se to často, ale na riziko musím upozornit. Každopádně to zavirovaný soubor odstraní popř. přesune do truhly.
Nevím jestli tohle info s něčím pomůže, ale od té doby co mi nejdou aktualizace při vypínání počítače vždy naběhne ukončování programu explorer.exe, poté se objeví, že program neodpovídá a hned poté se počítač vypne. Nevím jestli to má nějakou spojitost, každopádně o tom radši informuji. Jinak ráno mi na poprvé nenaběhl Windows, objevila se jen tapeta a spodní lišta bez nabídky start atd. Taky nevím jestli to má s tím něco společného, ale radši taky o tom poinformuji. Jinak jak jste psal, že by Windows po tom testu nenaběhl. Co bych měl dělat pokud by se to stalo?
Jaký je stav nyní? Dostanete se do windows? Třeba alespoň do nouzového režimu?
Havěť je obecně problém. Strategie autorů havěti je jasná. Zajistit, aby se havěť spouštěla při každém startu počítače a zajistit pro ni co nejdelší životnost (např. soubor nejde smazat, nelze stáhnout aktualizace, ...). Z toho plynou i následky. Havěť se klidně usadí do systémových souborů (zajišťuje si spuštění po startu PC). Soubor nemusí jít ani vyléčit ani přesunout. Když se Vám to podaří, přesunete do trezoru systémový soubor, nebo vyléčíte systémový soubor tak, že je nepoužitelný. Pak se dějí nepřístojné věci.
Čistil jsem počítač od havěti a výsledek byl, že po startu počítače naběhla jen plocha s pozadím. Bez ikon, bez systray, bez čehokoliv jiného. Pak následovala opravná instalace.
Po restartu mi Windows už naběhl normálně. Teď se chystám jít na antivir test po restartu jak mi výše radil kolega. Jinak známý mi říkal, že bych si měl znovu stáhnout a nainstalovat avast a k tomu ještě AVG Internet Security. Je to dobrá volba? Někde sem tu četl, že kombinace Avastu a AVG není to pravé ořechové. Tak teď nevím.
Joo a ještě sem zapomněl. V případě že by po tom testu Windows nenaběhl. Co bych měl přesně udělat. Neměl bych totiž už možnost se zeptat jak pokračovat dál. Díky:-)
Tak sem provedl kontrolu antivirem po restartu. Zde je výpis z avastu
30.12.2008 14:43
Testují se všechny lokální disky
Soubor C:\System Volume Information\_restore{C00E049A-2EE8-4C68-8651-7AE36C52C554}\RP575\A0281797.dll je infikován virem Win32:Trojan-gen {Other}, Smazán
Soubor C:\WINDOWS\Temp\unp24162.tmp\swuimi.dll Chyba 42127 {Archiv CAB je poškozen.}
Počet prohledaných složek: 9165
Počet testovaných souborů: 487151
Počet infikovaných souborů: 1
U toho druhého souboru jsem se podle cesty díval co je to zač a za prvé je tam jen ten unp24162.tmp a to swuimi.dll už nikde a další věc která mi byla podezřelá že tento soubor má 107 MB. Nevím jestli je to běžné aby měl takovou velikost když ostatní mají velikost jen pár kB. Dále bych potřeboval poradit co s ním protože při kontrole avastem se mi tento soubor nenabídl k žádné akci (smázání, přesunutí...).
Zde ještě je log Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 18:41:50, on 30.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OvisLink WL-5480USB WLAN USB\WlanUtil.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\runservice.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\1\Plocha\hijackthis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [3c03a6f1] rundll32.exe "C:\WINDOWS\system32\tgcawimd.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Registration .LNK = C:\Program Files\Ubisoft\Demo\Blazing Angels Squadrons of WWII Demo\RegistrationReminder.exe
O4 - Startup: Strong DC++ Ferrari edition.lnk = C:\Strong DC Ferrari edition\StrongDC.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OvisLink WL-5480USB WLAN USB Utility.lnk = C:\Program Files\OvisLink WL-5480USB WLAN USB\WlanUtil.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: WebTran - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - C:\WINDOWS\WebIE.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748449} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: &Nastavit překladač - {CC963627-B1DC-40E0-B52A-CF21EE748449} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: &Slovník - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: Přeložit &označený text - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: Přeložit &stránku - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD6B2224-8C20-4C39-9BE6-F58470777AA3}: NameServer = 10.1.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
Moc prosím tatika aby mrknul logy a popřípadě poradil co a jak. Mockrát díky všem.
Ad AVG a AVAST : vřele nedoporučuji. Syn v rámci zabezpečení PC zkoušel kombinaci zmiňovaných antivirů a výsledkem bylo, že jsem nakonec Windows přeinstaloval.
Ad C:\WINDOWS\Temp\unp24162.tmp\swuimi.dll : soubor smažte. Do adresáře temp by se měly ukládat soubory, které mají dočasný charakter (rozbalení instalace, log a pod.)
Ad log : fixněte
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
máte v adresáři Windows soubor WebIE.dll ? Pokud ne, fixněte všechny věty, které to obsahují.
S tímto si nevím rady :
O4 - HKLM\..\Run: [3c03a6f1] rundll32.exe "C:\WINDOWS\system32\tgcawimd.dll",b jsem to ani nikde nevygooglil. Otestujte tento soubor na www.virustotal.com
C:\WINDOWS\Temp\unp24162.tmp\swuimi.dll tento soubor jsem smazal.
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
V adresáři Windows soubor WebIE.dll mám, ale pokud teda by mohl být s tím icq problém nemám ho pro sichr odinstalovat a fixnout teda vše co obsahuje icq?
O4 - HKLM\..\Run: [3c03a6f1] rundll32.exe "C:\WINDOWS\system32\tgcawimd.dll",b
Zmíněný soubor jsem chtěl otestovat,ale jak jsem se snažil sebevíc nikde jsem ho nenašel, zdá se mi to nějaké čudné:-/
Zkoušel jsem tedy alespoň po smazání tamtoho souboru obnovit aktualizace,ale bohužel. Takže provedu zase test AVASTem po restartu. Popřípadě prosím o jakoukoli radu. Díky.
Ještě mě něco napadlo. Od doby co řeším problém s těmi aktualizacemi se mi tu a tam někdy po naběhnutí Windowsu objeví toto hlášení. Nevím přesně co si o tom mám myslet jelikož připojení k internetu je v pořádku.
Tak sem provedl opět test a výsledkem bylo 0 infikovaných. Mám provést další testy něčím jiným, popř čím. Nebo není problém už jen s tím jak správně nastavit to aby už ty aktualizace šly?
Tak sem dnes přijel po víkendu domu a něžná pohlaví se mnou obydlí sdílející mi nahlásila, že tam mam prej nějakej vir. Že to radši zavřely. Takže sem ihned spustil antivir. Našlo to dva infikovaný soubory, které jsem vymazal. Zkusil opět přes nabídku Start -> Spustit -> services.msc nastavit automatické aktualizace...při kliknutí na Spustit nastala změna a to taková, že to vypadalo, že aktualizace běží, ale pokud běžely tak necelou vteřinu. Ihned poté mi naskočilo jiné chybové hlášení než vždycky a to viz přidaný screen. Takže jsem dal Ok a zkusil aktualizace spustit znovu a pak už se zobrazila zase ta stejná klasika viz první příspěvek v tomto tématu. Takže zůstává otázka z předešlého příspěvku a to jestli není třeba nastavit i nějaké služby v services.msc které by mohly ovlivňovat automatické aktualizace? Popřípadě jaké? Pokud mám poslat screen s nastavením všech služeb atd v services.msc tak ho pošlu pokud to pomůže. A nebo jestli tedy mám opět pokračovat v testu antivirem a poslat log HiJackThis? Díky za odpověď.
P.S. Opožděně přeji vše nej v roce 2009 a úspěšný vstup do prvního pracovního týdne:-)
Zkusil bych klasiku - antivir, adaware, spybot. Zkuste aktualizaci antiviru stáhnout do PC a nainstalovat odtud. Přiložte log z hijacku a viděl bych to na spuštění "něčeho silnějšího" - Combofixu.
Takže sem vše opět projel antivirem, adawarem, spybotem. Ještě se chci zeptat...odkud si můžu stáhnout ten Avast, nevíte nějaký link. Jednou za půl roku nebo za rok (teď přesně nevím) si od Avastu musím zažádat o klíč kterej mi pak přijde na meil. Jak sem psal, už přesně nevím. Jinak posílam ještě log z HiJackThis
Logfile of HijackThis v1.99.1
Scan saved at 19:44:43, on 7.1.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OvisLink WL-5480USB WLAN USB\WlanUtil.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\runservice.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\1\Plocha\hijackthis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [3c03a6f1] rundll32.exe "C:\WINDOWS\system32\vvckkpvl.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Registration .LNK = C:\Program Files\Ubisoft\Demo\Blazing Angels Squadrons of WWII Demo\RegistrationReminder.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OvisLink WL-5480USB WLAN USB Utility.lnk = C:\Program Files\OvisLink WL-5480USB WLAN USB\WlanUtil.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: WebTran - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - C:\WINDOWS\WebIE.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748449} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: &Nastavit překladač - {CC963627-B1DC-40E0-B52A-CF21EE748449} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: &Slovník - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: Přeložit &označený text - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: Přeložit &stránku - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD6B2224-8C20-4C39-9BE6-F58470777AA3}: NameServer = 10.1.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
Na www.avast.cz se dozvíte vše potřebné.
Jaká je situace s aktualizacemi?
Log vypadá dobře. Jsou nějaké problémy?
Aktualizace stále nic. Dneska sem se je pokoušel opět spustit přes services.msc a výjímečně opět se zase rozeběhly, ale po vteřině zase hned vyply. O.K. mrknu se na ty stránky. Jinak co se týká problémů, když sem na netu tak se mi občas otevře druhé okno a nabízí mi buď antivirus 2009. Myslím že se tu psalo, že je to vir, který se takto vnucuje nebo tak nějak podobně. Naštěstí stránka nenaběhne a objeví se hlášení podobné jako když např nejde net. Ještě se mi sem tam občas zobrazí okno který taky nenaběhne páč to prohlížeč utne, ale v řádku pro internetovou adresu se objeví zřejmě adresa obsahující IP číslo.
Znáte Combofix ?
Bohužel, něco málo sem zkouknul na netu když jste o tom prvně psal, ale jak píšu mrknul sem na to jedním okem, takže budu rád, když mě zasvětíte.
ComboFix je program speciálně vyvinutý pro odstranění viru pod názvem Antivirus 2009. Do počítače jej stáhnete a spustíte kontrolu. PC to projede a odstraní zavirované soubory. Je dobré, předtím, než provedete čištění tímto programem zazálohovat důležitá data. Mě na Vistě to proběhlo spolehlivě, dokonce se mi i zrychlil systém, ale známému u XP to sice vir odstranilo, ale pc se mu zpomalilo. Každopádně vir byl vždy úspěšně zlikvidován.
Informace najdete také na http://www.spyware.cz/go.php?p=spyware&t=aplikace&id=54 kde je i link na stažení.
Combofix odložíme. antivirus 2009 bude vir. Takže ho zkusíme nejdříve odstranit jinými prostředky.
Stáhněte si z mbam
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.h...
Nainstalujte a spusťte. Po spuštění nabídne možnost aktualizace, potvrďte. Dejte rychlý sken. Čekejte.
Pokud by jste chtěl urychlit test, vymažte v prohlížeči "koláčky" a temporely internet files.
Jak to dopadlo?
Noo já anitivirus 2009 ale nestáhl. Jen se mi občas nabídne když sem zrovna na netu. Jinak nainstaloval jsem ten Anti-Malware jak jste doporučil. Při skenu se mi několikrát zobrazilo avastovský hlášení o viru viz screen a dále posílam screen s výsledky Anti-Malware a čekám na další pokyny. Mám infikované věci smazat?
Zde je výsledek z Anti-Malware
Noo a teď se mi nabídla aktualizace na Mozillu Firefox, ale radši sem dal odložit protože si nejsem jistý jestli se nejedná o vir.
Tak sem nakonec nečekal na odpověď a infikované věci programem který jste mi doporučil smazal. Některé šli smazat až po restartu, ale našlo to některé mršky ve složce Windows/system32...zkusil sem aktualizace a běží...pokud můžu poprosit neuzavírejte toto téma ještě, kdyby náhodou akualizace nešly. Pokud by na konci víkendu s nimi nebyl problém ozvu se a téma můžete uzavřít. Prozatím mocrát děkuju.
Udělal jste dobře s tím smazáním. Jména souborů v system32 jsou prapodivná. Ohnivou lišku si zaktualizujte. Verze 3.0.5 skutečně existuje.
Takže aktualizace stále běží. Děkuju za rady a hlavně za pomoc.
Rádo se stalo. Od toho jsme tady.