Po každém startu PC se "restartne" DNS-musím pak ručně nastavit
Ahoj, po každém startu PC se vymažou servery DNS z nastavení ipconfigu. Předvčerejškem jsem "preventivně" dělal full scan NODem a SUPERAntiSpywarem v nouzáku (samozřejmě s vytáhnutým síťovým kabelem). Našlo mi to keylogger 
a trojan "DNS changer". Oba škůdce jsem odstranil a od té doby mám tento problém. Netuším čím by to mohlo být.
P.S. Netuším kde se tam ty potvory vzaly. Na stránky +18 nechodím(aspoň já ne).
Možná ještě nemáš, co se malware týká, dobojováno
Jinak zkus ještě provést Winsockfix (pohodlná cesta jak vyrestovat tcp/ip)
Tak jsem to zkusil a nepomohlo to. Asi to ještě jednou proskenuju a přidám ještě něco speciálně na ten malware.
podívej se ještě na nastavení proxy...
Kam se na to nastavení mám podívat?
do IE.
Žádný proxy server tam není nastavený.
najdi co se ti automaticky spouští po startu, vypisují to utilitky typu starter apod, všechny položky musíš dohledat co jsou zač.
pokud používáš ie, zkontroluj si jaký odpad máš zapnutý ve správci doplňků (různé vyhledávací toolbary a vůbec cokoli co prohlížeč nepotřebuje)
trochu nepřehledně, ale úplně ti tyto věci vypíše hijackthis.
Ještě jednou jsem to projel SAS a Malwarebytes' Anti-Malware. Malware bylo 1-vymazáno, SAS jenom tracking cookie. Tracking cookie je neškodné ne? Stejně už je vymazané.
IE shit nepoužívám. Toolbary mi nesmí do PC. Můžu sem hodit log z hijackthis? Ať si to prohlédnete i vy.
EDIT: http://www.edisk.cz/stahni/38580/hijackthis.log_5.4 2KB.html -ten log
IE shit nepoužívám.![[http://i.smiles2k.net/big_smiles/super_smilies069.g if]](http://i.smiles2k.net/big_smiles/super_smilies069.gif)
Tak to ti holt tím neprůstřelným prohlížečem něco projelo. Že nepoužíváš IE naprosto nic neznamená - váhu by to mělo na Linuxu.
Po příští instalaci Win se chystám na neprivilegovaný účet.
zkus vypnout ten cheatovač C:\WINDOWS\system32\PnkBstrA.exe
a ty mRouter.
EDIT// nod je i firewall?
PunkBuster není cheatovač, je to pro haní CoD na gamepark.cz(staré herní časy). Nod není firewall, pouze antivir.
C:\WINDOWS\system32\PnkBstrA.exe - odkud se ti spouští?
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe ... zabij ve starteru - záložka sevices, nebo v services.msc
tyto zbytečnosti si taky zruš:
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
asi bych ještě zkoumal co má být toto za odpad:
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - fwlink
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5 Controls/en/x86/client/wuweb_site.cab?120342403975 0
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/ V5Controls/en/x86/client/muweb_site.cab?1203767919 4 06
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D82C141-4D0C-4 AEA-B4BB-64E258AE7A0C}: NameServer = 85.255.115.6,85.255.112.108
O18 - Protocol: brx - {9C160F90-74D1-11D3-AB60-0060977C1F29} - C:\Program Files\Common Files\BricsCad\BrxProtIE.dll
Vše opraveno, jenom ne ty DNS servery. Nechápu cos myslel tím zvýrazněním.
nic jsem nemyslel, jen tě na to upozorňuju.
nevím jaké máš dns a jaké máš mít, to musíš vidět ty. nastavení dns je součástí nastavení tcp/ip, není mi jasné proč se o jeho změnu extra snaží nějaký klíč v registrech, hijackthis ale umožňuje tuto položku "fixnout" - je na tobě zda to pro jistotu zazálohuješ (vyexportuješ) z registrů.
ještě poznámka: ve výpisu bylo nějak moc "microsoft update" na můj vkus, i když je to asi v pořádku, z principu na to hledím s nemalým zhnusením.
na odinstalování C:\Program Files\Messenger\msmsgs.exe existuje příkaz:
DNS mám mít: 85.255.115.6 náhradní: 85.255.112.108
Messenger je pryč. Registr zálohovaný a vymazaný z HJT. Pomodlit a restart.
neprivilegovaný účet si můžeš zapnout ihned, nemá nic společného s přeinstalací:
- předpokládám že nepoužíváš účet administrator k automatickému přihlášení; jinak si vyrob jakýkoli nový, a administratorovi nastav heslo, budeš ho potřebovat.
- pokud se přihlašuješ třeba jako vlk56, nastav opět nepoužívanému adminovi heslo a pohledej na netu jak zapnout zobrazování ikony administratora.
- u xp home kde je administrator zablokovaný, si prostě založ nový účet admin, zase s heslem - ať se zobrazuje na úvodní stránce.
- teď stačí z nějakého admošského účtu nastavit svému vlkovi56 jen obyčejná práva.
- pokud za běhu pod omezenými "user" právy potřebuješ něco spustit jako admoš, spustíš to třeba z admošského zástupce souborového manažeru:
aplikace spuštěné pod ním zdědí admošská práva.
Neprivilegovaný účet chci zapnout až po reinstalaci protože by mohl (možná?) vzniknout problém s některými aplikacemi a hrami. Nerad bych se v tom potom nějak dlouho rýpal a řešil to. Zatím to nějak přežijeme.
V HJT mi zbylo po té očistě jen toto: hijackthis.log
Tu položku s DNS servery jsem vymazal, po restartu tam byla znova. Zatím musím pořád ťukat. Do jakého souboru se ty DNS servery ukládají?
dns se klofou jen do registrů.
zkusil jsem si Hijackthis pro porovnání stáhnout a spustit u sebe, ten extra záznam o dns mám ve výpisu taky - a taky na správné adresy, tak se tím nemá cenu zabývat.
tobě se ještě záznamy mění nebo už zůstávají v pořádku?
jinak být tebou ještě vypnu položky:
C:\WINDOWS\system32\wscntfy.exe ... součást nějakého ms spyware - používáš jejich ms defender?
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll ... předpokládám že toolbar skype je zbytečnost, vypnout
Tem proces "wscntfy.exe" jsem vypl a objevil se mi takové to okno "automatické aktualizace jsou vypnuty". MS Defender nepoužívám.
Záznamy už jsou stejné.
znamená to že výpis ipconfig -all (nebo ve vlastnostech tcp/ip) už je v pořádku?
povolené aktualizace poznáš podle běžící služby wuauserv, máš je vypnuté.
nejspíš nepoužíváš síťový protokol ipx/spx, pravděpodobně můžeš fixnout i:
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
Ty záznamy-já myslel z HJT, ne z ipconfigu.
010 nejde odstranit.
EDIT: Chyba:![[http://hosting07.imagecross.com/image-hosting-09/10 2Clipboard01.jpg]](http://hosting07.imagecross.com/image-hosting-09/102Clipboard01.jpg)
Image Hosting
mi nic takového neběží.
ovládací panely - síťová připojení - vlastnosti tvého připojení: máš tam protokol ipx/spx? proč? nejde odinstalovat?
jinak píšou že spybot s&d to může odstranit.
nebo pohodlně vypnout třeba v tom starteru - jde to tam setřídit podle služby. nebo v registrech vyhledat HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\nwprovau - a proměnné "start" dát hodnotu 3.
tím by snad bylo vyčištěno co se spouští po startu.
znovu zkusím dotaz: jinak je nastavení tcp/ip v pořádku, nebo se zase dns mění?
Ve vlastnostech protokol ipx/spx nemám. Ve S&D jsem nepřišel na to, jak to odstranit viz. obrázek.![[http://img33.picoodle.com/img/img33/3/11/2/t_Clipbo ard01m_147f399.jpg]](http://img33.picoodle.com/img/img33/3/11/2/t_Clipboard01m_147f399.jpg)
Nastavení se pořád mění resp. mažou se JEN DNS servery, nikoliv celé nastavení.
zkus nějak "odtrhnout" ty řádky, kde je IPX nebo SPX.
v ovládacích panelech ve vlastnostech tcp/ip máš u dns serverů předpokládám ruční nastavení?
určitě bych zkusil opravu pomocí winsockfix
pokud nepoužíváš ipx/spx (protokol pro sítě novell) - sem tam to někdo zapínal kvůli starým hrám, vrtá mi totiž hlavou kde se bere ten záznam v hijackthis:
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
ale i oprava winsock by tomu mohla pomoct*
opakuju: v tom starteru: v záhlaví to jde setřídit podle služby, ani v registrech [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\] se nevyskytuje služba "nwprovau"? jinak správná vypínací hodnota by byla "start"="4"
*) taky místo přeinstalace windows může pomoct update na vyšší service pack, pokud náhodou nežádoucí změnu provádí zavirovaný soubor, který se servicepackem přepíše.
Winsockfix bylo to první, co jsem zkoušel. Ve starteru to nikde není. Dal jsem v registrech hledat "nwprovau" a našlo mi to tohle:
![[http://img34.picoodle.com/img/img34/3/11/2/t_Clipbo ard01m_b4f22c3.jpg]](http://img34.picoodle.com/img/img34/3/11/2/t_Clipboard01m_b4f22c3.jpg)
Ten protokol nepoužívám, ale občas hraju s kámošema přes Hamachi Stronghold Crusader a tam ten protokol je možné použít... Jinak mě už jiné využití nenapadá...
do registrů na winsock jsem se díval, nic takového tam nemám.
- buď můžeš nastavit proměnnou "enabled" nastavit na 0, a restart,
- nebo raději použít karlův odkaz kde je link na ms záplatu: http://www.microsoft.com/cze/technet/security/bulle tin/ms06-066.mspx a zalátat si systém (servicepack 3 nejspíš touto vadou už netrpí),
- nebo je na téže stánce odkaz na LSPFix.exe
čili viděl bych to na zalátání, a když se tak chystáš na provoz pod user právy (vřele doporučuju), rovnou na systému se sp3.
Jde vám ta záplata stáhnout? Mně teda ne...
![[http://img29.picoodle.com/img/img29/3/11/2/t_Clipbo ard01m_eda5df6.jpg]](http://img29.picoodle.com/img/img29/3/11/2/t_Clipboard01m_eda5df6.jpg)
Když to nepůjde ani vám, zkusím LSPFix.exe
http://www.microsoft.com/downloads/details.aspx?dis playlang=cs&FamilyID=2f54258f-1071-467b-80a2-e4dbf c 050667
Klikneš na stáhnout. Nic? Je to pro Windows XP SP2 CZ.
Nebo rovnou:
http://download.microsoft.com/download/8/0/3/803c1e 7e-9adc-44bd-821a-733695456174/WindowsXP-KB923980-x 86-CSY.exe
Jasně že kliknu
. Hodí to tu chybu co jsem uvedl výše. Kdyžtak mi to prosím dej na eDisk.cz.
Přidal jsem link na stažení, taky nic? Ani přes pravé tlačítko?
Nic. Přes pravé tlačítko->Uložit odkaz jako:
Máš to rozbitý. Další pokus:
19111
http://www.edisk.cz/stahni/10486/WindowsXP-KB923980 -x86-CSY.exe_671.8KB.html
Karle, mně to opravdu nejde. Netuším proč. Mohl bys mi to prosím nahrát na nějaký jiný server? (eDisk.cz) Už jsem to zkoušel i v Opeře a IE. Pořád nic.
EDIT: Děkuju za reupload.
Takže jsem to nainstaloval. Restart. Pořád stejné. Spustil jsem LSPFix.exe a fixnul NWPROVAU. V HJT už NWPROVAU nebylo, nebylo co fixovat. Restart. Pořád stejné.
HJT současný log: hijackthis.log
Něco o nwprovau.dll:
http://www.pchell.com/support/nwprovau_dll_file.sht ml
A tady ještě co se spouští po startu:
![[http://www.freeimagehosting.net/uploads/cc7fc1d30b. jpg]](http://www.freeimagehosting.net/uploads/cc7fc1d30b.jpg)
vyhoď minimálně DLCDCATS a pro jistotu bych (alespoň dočasně) típnul i mRouterConfig (i když ten asi používáš)
Zatím dělám vše co se mi radí, ale pořád to nefunguje
. Tak jsem to vypl+reset a nic, pořád stejný problém.
Jako poslední možnosti mám 1. bod obnovení 2. reinstal systému
v třetím logu nevidím žádný konflikt antispyware, ze síťových věcí vidím mRouterConfig pro mobil, qip (předpokládám neškodný) a skype - ten je podezřelý vždy.
zkus je pro jednou všechny deaktivovat, ať už pomocí starteru, msconfig.exe nebo hijackthis.
pokud bys věděl přesný název a něco o tom dohledal, možná že by byla zmínka zda to postihuje nějaké knihovny.
podle f-secure - že by měla v registrech hodnota "nameserver" vadná přístupová práva a vadnou hodnotu? zkontroloval bych i větev ControlSet002 a currentControlSet.
pak už by zbýval jedině vir: že je nakažený nějaký program, který dělá co nemá. taky update na sp3 by mohlo pomoct.
Problém jsem vyřešil přeinstalováním Windows. Zároveň jsem aktualizoval na SP3(integroval jsem si ho do instalačky) a zavedl neprivilegovaný účet. I přes to díky Brtníku za snahu
.