Problém s účtem

[Spirit]

Měl/mám takovej problem s uživatelským učtem v XP. Neco jsem dělal na kompu a najednou mi uplně zamrz, nereagoval ani na Ctrl-alt-delete. Restartoval jsem ho, a když nabíhal windows tak se objevilo: System windowns nemůže načíst váš účet, pravděpodobně je poškozen, dal jsem OK a objevilo se: Systém windows vás přihlasí pomocí náhradního učtu. nechal jsem to. Když jsem se přihlasil tak se mi objevili windowsi uplně stejně nakonfigurovaný jako byli po formatu hard disku, nebylo tam vůbec nic, žádný soubory ktery jsem měl. Nevíte někdo čim by to mohlo bejt?

[marcucci]

Mrkni do Start->Ovladaci panely->Uzivatelske ucty.Tam si zkus vybrat ten profil ktery jsi mel a pokud to nepujde,tak si vyber ucet Administrator a tam zkus opravit ten tvuj.Mozna by bylo nejlepsi to delat v "Nouzovym rezimu"(tam se ti Administrator nacte jako prvni).

[Spirit]

ja jsem se přihlasil do nouzovyho režimu, vytvořil jsem nový profil ten starý který byl nějak pokažený jsem vymazal, ale uložil jsem všechny programy který v nem byli, a pak jsem se přihlasil do toho novyho uctu a jenom jsem přehral složku ve složce ducuments and settings do novyho učtu a bylo to v pohodě jak to bylo předtim.
Ale mě by zajímalo co by to mohlo způsobit, už se mi to stalo podruhý tento měsíc.

[marcucci]

Tak s tim ti nepomuzu,to tady musi zavitat nekdo zkusenejsi!!!

[mikel]

Neco jsem dělal na kompu a najednou mi uplně zamrz,

Jestli chceš pomoct zjistit, co to způsobuje, budeš muset trochu detailněji popsat to "něco".

[Spirit]

mno, byl jsem na netu, pak jsem vypnul internetovej prohlížeč, chtěl jsem se podívat do icq a najednou komp uplně zamrz, už se mi to stalo v tomhle měsíci dvakrat a s tim učtem byli už taky jednou problémy

[mikel]

No tohle nejsou procesy, které by ti měly vymazat profil. Dej sem log z Hijacku, jestli nemáš nějakého šmejda, který se o to stará.

[Spirit]

Tady to je:

Logfile of HijackThis v1.99.1
Scan saved at 22:02:20, on 6.6.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Spirit\Dokumenty\Smíšeniny\Stahování\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

(možná je trochu delší, protože jsem před tim necleanoval)

[mikel]

Takže je tu několik věcí, které to můžou způsobovat, ale netroufám si říct, co zrovna je to pravé. Fakt je ten, že ten software od Canonu není ani ve spuštěných procesech, ani ve službách, takže nemůže být aktivní. Takže začnem od začátku, protože to bude hodně práce:

1. nemáš nainstalovaný ani SP1 ani SP2
2. v programech po spuštění máš proces Fmctrl.EXE, který by měl patřit ke zvukovce od Geniusu, a zároveň cmicnfg.cpl, který patří k integrované zvukovce. Jestli máš zvukovou kartu, musíš zakázat integrovanou zvukovku v BIOSu, ale jestli ne, tak to může být šmejd.
3. máš spuštěný SiSUSBrg.exe, který je patch pro USB porty. Může ti nějak blokovat komunikaci přes USB, ale není to jisté.
4. může to blokovat Antivir Personal, ale to píšu jenom proto, že ho neznám a nevím, jak funguje.
5. máš tam TROJANA!

Nejdříve je třeba se zbavit šmejda:
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
- tento řádek fixni v Hijacku a soubor zkus najít na počítači (zapni si zobrazování skrytých souborů). Až ho najdeš, zkontroluj ho na Jottiscanu.
Pro jistotu ještě najdi soubor Fmctrl.EXE a taky ho zkontroluj na Jotti.
Jestli ti Jotti napíše, že je infikovaný, tak ho hned smaž. Vypni obnovení systému a vyčisti disk CCleanerem. Restartuj

Pak si hned naistaluj SP1, SP2, antispyware a firewall. Linky najdeš tady. Pak vygeneruj nový log a dej ho sem.

P.S. Kdybys měl problém s odstraněním toho trojana tak se hned ozvi.

[Spirit]

takže jsem fixnul ten řádek jak si řek pak jsem našel ten program- systray.exe a zkontroloval jsem ho v Jottiscanu, tam to hlasilo Status OK. ten další program sjem taky zkontroloval a též OK. Nainstaloval jsem si firewall ZoneAlarm , nevim jestli jsem vybral ten správnej. Hledal jsem na něj i češtinu (nevim jestli jsem hledal dobře) ale nenašel jsem, byli tam jenom pro nižší verze. Ja moc dobře anglicky neumim, tak bych se chtěl zeptat jestli znáš nějakou tu češtinu pro verzi 6.0.631.002
A s tou SP 2/1 , to jsem zatim nehledal.

[mikel]

Promiň, zapomněl jsem napsat, že legální soubor woken systray.exe je v adresáři Windows\system32. Jestli ho najdeš i jinde, tak je to šmejd.

Se Zone Alarmem ti neporadím, protože používám Kerio a to je česky už v základu.

[Spirit]

Myslim že ho nikde jinde nemam, ještě to pořádně všechno prolezu.