Pády internetu v síti
Zdravím, již delší dobu zápasím s problémem, PC byl servisu, prý tam něco udělali, ale problém je tu stále. Máme doma router, jeden PC je připojen přímo a dva NTB přes wifi. 2 PC jsou na internetu v pohodě, jeden NTB padá cca po 30 min - 1 hod.
Skype je připojeno. Když okno prohlížeče zavřu a otevřu, internet opět šlape. Ping mi běželo asi 10 minut, občas mezi xxxxx řádky - časový limit vypršel. I když jsem se nemohla připojit, ping OK. Mám WIN XP, nastavení jsem nikde neměnila, občas čistím registry (Uniblue, TuneUp...) Mám Eset Smart Security, po vypnutí ochrany webu spadl stejně.
Nenapadá vás prosím, kde je problém?
Děkuji
Tak jsem tu zas. Nainstalovala jsem prozatím Avast a internet nešel vůbec (ani IE ani Firefox). Jen Skype a emailový klient. Co se těm antivirům v mém PC nelíbí?
pořád to vypadá jako chaos s dns, ale samostatné antiviry (nod, avast) by se o to neměly starat. tyto komplikace jsou typické pro balíky s meganázvy "smart security" apod.
zkontrolovat co se automaticky spouští po startu, lépe řečeno to všechno zakázat. funkční antivir si nějaký svůj updatovač stejně zapne, ale bude lepší přehled co zůstalo.
pak zkontrolovat, že jsou jen povolené záznamy v souboru C:\WINDOWS\system32\drivers\etc\HOSTS - default tam bývá jen localhost.
nechat pc proskenovat na spyware (combofix nebo superantispyware), anebo ručně že není nic škodlivého v logu hijackthis.
nebylo by od věci si vytvořit druhý přihlašovací účet do windows, jestli se to bude chovat stejně.
Hijack byl dle odeslané analýzy online OK. Po nainstalování NOD32 také (přikládám).
Doposud vše šlo, nainstalovala jsem NOD32, Firefox šel, IE né. V NODu jsem zapla i vypla použit proxy, nic se nezměnilo. Spustila jsem VPN klienta, který používá proxy na firemní aplikace a fungovaly všechny stránky.
Není problém v tom localhost.
V Možnosti internetu - připojení - nastavení - u proxy upřesnit je toto: Nepoužívat proxy pro:
localhost;127.0.0.1;*.rdm.cz;x2webserv;webcsc;172. 20.51.122;172.20.56.247;*.tmcz.cz;*.radiomobil.cz; *.detemobil.de;*im.radiomobil.cz;*im.t-mobile.cz;* .tmo
Co je ten localhost?
Combofix už néééé. Udělal mi tu jednou bordel, zničil u některých aplikací licenci.
HOSTS
For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
hosts.20090615-230633.backup
Pýˇklad:
#
# 102.54.94.97 rhino.acme.com # zdrojově server
# 38.25.63.10 x.acme.com # hostitel klient… x
127.0.0.1 localhost
Ted příspěvek nešel vložit, až když jsem vypla VPN klienta. Ale zas nejde IE.
2. účet ještě zkusím
jen stručně, snad se k tomu ještě dostanu:
v tom případě jsi ovšem připojená a surfuješ přes svého zaměstnavatele, což bych doma viděl jako extrémně nežádoucí. pak by i ty problémy a divné hodnoty dns dávaly smysl.
v hosts souboru nerozumím řádku: "hosts.20090615-230633.backup" - mám za to že by tam něla být vždy dvojice záznamů.
a) různí uživatelé mají společné nastavení sítě (tcp/ip), stejný soubor hosts, ale je možné že proxy mohou konfigurovat zvlášť - v tom by byl přínos druhého účtu.
b) jinak bys musela firemní a domácí prostředí od sebe oddělit druhou síťovou kartou - jestli máš notebůů, tak třeba pcmcia síťovkou z výprodeje.
1. na jedné síťovce by bylo nastavení sítě s dns pro tvého zaměstnavatele. na druhé síťovce tvé domácí nastavení nebo dhcp, bez cizích dns serverů.
2. zároveň bys používala vždy jiný internetový prohlížeč: ie s nastavenou proxy pro připojení do firmy, a chytrý firefox bez nastavené proxy pro veškeré domácí surfování.
pokud máš usb modem od tchořmobile, šlo by to (místo pcmcia) používat už teď.
"hosts.20090615-230633.backup" - soubor ve složce drivers/etc
Ale spojení padalo, i když jsem firemní aplikace neměla,
vše funguje bez antiviru, s ním mi IE nejde, Firefox jde.
Pořídím si nový NTB jen na práci a bude. Aspon se nebudu bát, co mi kdy padne a já nebudu moci dělat.
Tak na to dlabem. Je tam nějaký skrytý šotek.
Díky
už chápu. můžeš tuto zálohu smazat, je k ničemu.
ale jestliže nějaký soft dohlíží na nastavení a zálohy, nevrací náhodou zpět i zastaralé, nežádoucí změny?
jsi psala že používáš jakýsi tuneup - to bych viděl jako možného podezřelého z poškození nastavení v registrech.
log hijackthis je dobrý na hledání klasické škodné, ale sám o sobě nestačí na hledání legálního softu, který může svou činností způsobovat problémy. je totiž potřeba interakce uživatele: cos to instaloval, s čím a kdy, odkdy jsou problémy, používáš to k něčemu?
například se po startu spouští: C:\Program Files\Bonjour\mDNSResponder.exe - tuším že bonjour je nějaké dhcp od apple - využíváš? a v paměti běžící program s "dns" v názvu si hraje na co?
cílem by mělo být vykopat z pc ven všechno nekompatibilní co se hádá, co si za mými zády kamsi komunikuje a odesílá ven (všechno od google), co zůstalo zapomenuto ze starých dob, co si nainstalovaly softy jako fízlovací (no dobrá - aktualizační) doplňky - jak po startu, tak bho doplňky do prohlížeče.
s tím taky souvisí vynucené používání dvou prohlížečů, případně i síťových rozhraní: jeden případ pro firemní nastavení, druhé připojení a prohlížeč s čistě domácím nastavením. nemusím připomínat že msie na doma je fuj, opera (a nejspíš i chrome) přebírá nastavení proxy od ie, jen liška podšitá je nej.
čili v tom hijackthis bych prošel všechny řádky, kromě systémových windows a tvého firemního připojení bych nad každým hloubal: potřebuješ ho? proč se automaticky spouští po startu / k čemu je jako doplněk v prohlížeči / jako služba?
spoléhat na jiný pc nemá velkou cenu - nainstaluješ své softy, vytuníš ho, a jsi kdes byla.
kolegové to řešili třeba duální instalací dvou windows na jeden disk - šílený firemní systém (v práci staruje 5 minut) a rychlý domácí kvůli oddělenému internetu a domácím aplikacím - chce to aspoň 10-20gb navíc. různé virtualmachine si obvykle nerozumí s firemní vpn, to nebrat.
Kde se tam vzal Bonjour nevím. Našla jsem, že je to toto:
))). Blbci. Po přeinstalaci chvíli klid a pak to začalo zase, jen už stránky neblikaly. Nenačetly se v IE vůbec. Po zavření prohlíče, po následném otevření, opět chvíli fungoval.
Bonjour for Windows je aplikace určená pro pohodlnou bezobslužnou konfiguraci počítačových IP sítí. Program dokáže automaticky najít a rozpoznat počítače, služby a další zařízení v síti. Aplikace se dříve jmenovala Rendezvous a byla určena pouze pro operační systém Mac OS X .
V aplikacích po startu není, přidat odebrat programy také ne, ukončila jsem ho v běžících procesech a smazala z Programy files.
GPL Ghostscript Lite - a toto se v naintalovaných programech vzalo kde? Může to pryč?
TuneUp používám dlouho a dříve bylo vše bez problémů. Měla jsem System mechanik a brzy nutný přeinstal. Známý TuneUp doporučil, že ho má léta a je spolehlivý.
Mám dva dny Aviru prof. a zatím vše OK.
Našla toto:
Worm/Autorun.cxl - Worm
TR/Dropper.Gen - Trojan (to Nod předevčírem nenašel).
a jen se jí nelíbil keygen.exe k Photoshopu.
Nový PC bych netunila, byl by POUZE na práci.
Muž má 5 let ACER, hlavně na práci a ani jednou nemusel přeinstalovávat. Nic nečistí, pouze jsem mu asi po dvou letech doporučila občas defregmentaci. A stále mu šlape jak kolovrátek.
Znáš nějaký dobrý program na registry?
Dříve jsem měla Operu a IE. Opera šla, IE při načítání stránek broblikával (stránka se zobrazila, zmizala a tak dokola. Bud naskočila nebo ne). V servisu mi řekli, at tedy používám jen Operu
Tak zatím vše šlape, asi tvůj některý doporučený krok zabral.
bonjour se ti spouštěl jako služba (jde zakázat v msconfig.exe, services.msc nebo v oblíbeném starteru):
snad to mohlo být kdysi parazitní součástí itunes nebo jiného softu od apple.
ajaj, tak takhle odinstalace nevypadá. začínám chápat nutnost uklízet systém tuneupem apod.
čištění registrů: kromě regedit nepoužívám nic. pokud už je třeba něco násilně odstranit co nemá odinstalátor, vyhledám v registrech všechny záznamy týkající se jména programu a výrobce, každý záznam ještě kontroluju o co jde, a to mažu.
automaticky spouštěné procesy a služby stačí kontrolovat starterem. výskyt programu v registrech bývá v klíčích: hkml\sw\výrobce, hkcu\sw\výrobce, hku\.defaults\sw\výrobce. součásti a asociace ještě jinde.
čili ruční práce, korektní odinstalace, a tušit co a proč tam mám.
různé wormy už dnes bývají povinnou součástí keygenů a cracků - ať víš odkud se to bere.
pokud si vyměňuješ flashku/cd se zdroji, které taky používají cracklý sw, zakaž si autorun.
Ghostscript Lite - bude pdf "tiskárna". buď sis to instalovala sama, nebo to může být součástí programů od adobe. nechal bych to - export do pdf se hodí.
nefunkční ie: zkontrolovat vše co souvisí s nastavením sítě + proxy, zakázat zbytečné/nevyžádané doplňky v ie (v logu hijackthis začínají "O2 - BHO", "O3 - Toolbar"), přečíst si zaznamy v prohlížeči událostí které se mohou týkat ie, a mít odvirováno a odspywarováno. pokud to jde, updatnout na poslední verzi/service pack.
V registrech v softwaru jsem našla plno složek od programů, které v PC již nemám.
Ty jsem smazala, ale jinak se v registrech nevyznám, tak raději moc neštourat.
Dokonce běželo i od Eset ekrn, i když je odinstalován.
Nějaká služba getPlus_Helper.dll byla spuštěna a je ve složce NOS. To také nevím co je.
Pro tisk do pfd používám Bullzip, ale v celém PC nic s ázvem GPL nebylo nalezeno. Třeba to patří k Bullzip.
Hijack: 1x O2 - BHO - Java, 1x O3 - Toolbar Google
Tak snad vše již OK
Děkuji za plno tipů a získání nových zkušeností
Avira je nějak aktivní a našla udajně trojany (viz příloha).
Jsou v karanténě, ale najednou ikony pps, rtf, doc a xls vypadají, že nejdou otevřít (není program k otevření), ale soubour otevřu. V možnostech složky je přidělen správný soubor.
Jen některé stránky nyní neotevřu ani v IE ani v Firefoxu. Pokud vypnu ochranu webu, vše OK.
"getPlus_Helper.dll" - najdeš ten soubor - pravým myšem vlastnosti - záložka verze: tam bývá někdy popis. pokud je běžící v paměti a starter ho zobrazuje, ukáže popis taky.
"1x O3 - Toolbar Google" - pokud nepotřebuješ, zakázal bych nebo odinstaloval. pokud je špatná jazyková verze, dělá potíže. a beztak se chová jako spyware.
avira a trojani: u adresáře C:\WINDOWS\Installer\{90110405... zkontroluj datum založení, rozpomeň se co se mohlo instalovat. jestli má dnešní datum, nemá to nejspíš význam, protože tam třeba denně něco ukládá.
jako podezřelé to neoznačil ani hijackthis v logu, ale avira může mít pravdu - zvlášť pokud je to instalačka z netu.
pps, rtf, doc a xls ručně asociuj znovu: pravým myšem na tom - otevřít v programu - vyhledat soft - zatrženo "vždy použít vybraný program".
windows se bohužel chová zmateně a dokáže asociace v registrech nastavovat na více místech - je to blbost ms a skvělá pomoc virům.
aha - "V možnostech složky je přidělen správný soubor" - potom by to mohlo znamenat že k danému typu souboru je předvoleno více akcí, ale defaultní z nich (bývá zobrazena tučně, obvykle otevřít v office) je nahrazena něčím jiným virovým vadným, viz názvy co odstranila avira: pptico.exe, wordicon.exe, xlicons.exe, ...
čili jsi si jistá že otevření souborů vede na správné programy v C:\Program Files\Microsoft Office\OFFICE11\... ?
avira taky sluje podobně zvrhlým nastavením? nebo ti ještě běží část předchozího antiviru - tuším ten eset? odstranit.
"getPlus_Helper.dll" - něco od adobe i s certifikátem
Avira už také pryč, v registrech zlikvidováno vše se slovy NOD32, Avira, Avast i Kaspersky.
Hledáme problém s Esetem, chtěli ComboFix a našel nějaké viry, v karanténě toto:
C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{ 4F11ACBB-393F-4C86-A214-FF3D0D155CC3}.reg.dat
C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
C:\Qoobox\Quarantine\catchme.log
C:\Qoobox\Quarantine\C\WINDOWS\Installer\16bf396.m si.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\oem58.inf. vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\oem0.inf.v ir
C:\Qoobox\Quarantine\C\WINDOWS\system32\axaltocm.d ll.vir
To co našla Avira a já to zlikvidovala, to bylo asi něco z regisrtů. V regisrtech v softu jsem tyto položky našla. Cesty jsou správné, jen ikony už jiné, ale né klasické.
Nyní zatím Eset sm. sec., Firefox fachá, IE tak napůl. Opět cca u sedmého odkazu končím.
Ale bez antiviru vše v naprostém pořádku.
K čemu je prosím Microsoft.NET Framework? V aktualizaci bylo v popisu něco pro vývojáře....
A ještě jeden problém:
pokud v Google nastavím otvírání stránek v novém okně, po zavření IE se nastavení resetuje na výchozí. Už asi týden, dříve v poho.
normální součást dnešních windows. opět má ms bordel ve verzích: které tam musí být a co obsahují starší/novější, a které service packy...
nejsem programátor, jen laicky: ať se programátoři nemusí drbat s celou aplikací, a snad taky pro podporu spolupráce různých aplikací - tak jim ms nabízí jakési pomocné prostředky. některé sw to dnes vyžadují.
co mě zaujalo v logu z combofixu:
"StylXP-KS_Assault2_RC2.exe" ... nějaký tunič vzhledu, stažený z netu? nevěřím v neškodnost.
"MyWebSearch Plugin"=rundll32 c:\progra~1\MyWebSearch\bar\1.bin\M3PLUGIN.DLL,UPF ... vyhodit
"hpWirelessAssistant"=c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe ... hp svými ovladači patří dávno k čínské kvalitě. určitě bych nepoužíval jejich program pro nastavení připojení wifi, ale normální "výběr bezdrátových sítí" z windows.
cituju: "c:\windows\vsnpstd.exe is a process bundled with Olidata WebCam and LG USB WebCams" ... exe pohozený v adresáři windows, už víme že je to od kamery. to muselo programovat prase.
[HKLM\~\services\sharedaccess\parameters\firewallp olicy\standardprofile]
"EnableFirewall"= 0 (0x0) ... no, mnoho štěstí s esetem. bohužel mám pocit že tvůj systém je nabořen různými viry, a teď se bude hledat za co z toho může integrovaný firewall v antiviru a blokovač webového obsahu, a co je poškození zaviněné viry.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp ... to je co? do čeho se zas tuneup se.. (montuje)?
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=1061 5&gct=&gc=1&q= ... ven.
myslíš google chrome? máš poslední verzi 3? řešením bude jedině nová verze windows, která umožní zakázat paskvil ie. anebo googlit po světě, jestli někdo nemá stejný problém.
jinak podobně si navzájem ničí nastavení oken msie a adobe reader.
Vše provedeno, na externí webku jsem hledala ovladače já, je také pryč.
Firewall jsem vypla před ComboFixem.
- nevím
Toolbar ASK také pryč.
Nastavení vyhledávání v Google v IE.
Provedeny též kroky dle Esetu:
Dobrý den,
je potřeba smazat tento soubor a veškeré klíče v registrech na který se váže. Použít můžete např. The Avenger http://www.spyware.cz/go.php?p=spyware&t=aplikace& id=35 a do okna zkopírujte celý text:
Files to delete:
c:\windows\iun6002.exe
klikněte na tlačítko Execute.
a pošlete mi ještě log z Sysinspectora viz.
Postup ESET SysInspector:
- aplikaci stáhněte odsud: http://download.eset.com/download/sysinspector/32/ ENU/SysInspector.exe
- uložte ji například na plochu
- z plochy spusťte soubor SysInspector.exe
- je potřeba odsouhlasit lic. ujednání. Posuňte posuvník až dolu na konec textu - následně stisknete AGREE
- po naběhnuti aplikace (může trvat několik minut) zvolte vpravo nahoře menu FILE -> SAVE LOG
- opět vyberte plochu a nechte protokol uložit (SAVE)
- vznikne .ZIP soubor s protokolem, který zašlete zpět v příloze
sorry za zpoždění, měl jsem nějaké záležitosti.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp ... to je co?
- nevím
já mám v registrech u proměnné svchost vyjmenovaných asi 20 služeb o jejichž komunikaci se nakonec stará proces svchost, ověřeno teď na 2 pc. jestli tam máš opravdu jen "UxTuneUp" nebo je to na prvním místě, je to dobrý důvod proč svinstvo tuneup nikdy nepouštět do pc. korektně ho odinstaluj a doufej že už to nebude horší.
ad eset: Files to delete: c:\windows\iun6002.exe
já si toho souboru ve tvém výpisu combofix nevšim, ale určitě mají pravdu. přímo v adresáři c:\windows\ je minimum .exe programů, a blbost s divným "počitatelným" názvem tam normálně určitě není (viry si občas názvem rozlišují verzi nákazy). znič ho.
Tak už mě to nebaví.
Eset je odinstalován, vrácená Avira a zatím vše šlape.
Už jen vybrat nějaký solidní antivir.
Nod32 také zablokoval firemní aplikaci a ani vyjímky či vypnutí ochrany nepomohlo.
UxTuneUp nalezen zde (viz příloha). V Svchost - NetSvcs není.
Co je prosím enum? Ta aplikace mi házela tuto hlášku (příloha chyba aplikace)
Díky
hláška citrix clienta: podíval bych se do prohlížeče událostí jestli k tomu není delší popis, je tam kopírovací tlačítko: poslat to firmě které vpn klient na notebuka nainstalovala, ať řeknou v čem je bota.
UxTuneUp: zkontroloval bych jestli neběží služba UxTuneUp - z příkazového řádku:
nežádoucí služba jde zakázat v services.msc, pomocí msconfig.exe, starterem ...
osobně žádné tzv. "čističe" a "udělátka" typu tuneup v pc nesnáším.
Příkazový žádek - net start - jen problikne a zhasne
Ve službách byla jedna služba od TuneUp zastavena, Ale objevilo se tam toto:
##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# #,
cesta "C:\Program Files\Bonjour\mDNSResponder.exe"
Mám dojem, že to tam dřív nabylo. V Program Files již složku Bonjour nemám.
V Prohlížeči událostí-aplikace - od 24 (co jsem odinstalovala ESET) vše OK, jen pár info, jediná chybná informace:
Nelze nalézt popis ID události ( 0 ) ve zdroji ( btwdins ). Místní počítač možná nemá informace registru nebo soubory knihovny DLL se zprávami potřebné pro zobrazení zpráv ze vzdáleného počítače. K získání tohoto popisu můžete použít parametr /AUXSOURCE=flag. Další informace naleznete v nápovědě. Součástí události jsou následující informace: Service started.
Dříve "Application Error" bylo dost, ale nepoznám, co patří k aplikaci Citrix, nic se na to nejeví. Většina vypadá na odinstalovanou Aviru.
Škoda, že nejsi z ČB. V servisu si tenkrát vzali 700 Kč a nic se nezměnilo.
Takto zdarma pomáhat na dálku....
příkazový řádek je až: start - spustit - cmd.exe: tady v okně spustit příkaz
je možné jestli jsi tuneup nebo něco jiného korektně odinstalovala, že program po sobě vrací různá nastavení do původního stavu, a tím i staré odkazy co už nemají smysl. zakaž/smaž ten řádek, a mysli si o tom programu svoje.
googlil jsem: "btwdins.exe is a part of the Microsoft Windows Operating System which deals with Bluetooth functionality and should not be terminated." ... podobný popis by třeba ukázal kurzor na této službě ve starteru. čili nechat, bude se hodit.
ale protože to nechává chyby, pohledej novější ovladač na webu výrobce ntb, nebo jim napiš na cz support co to znamená.
ad citrix: ptala ses na enum.asp, to chybové okno má v záhlaví "citrix client". v prohlížeči událostí (systém i aplikace) buď sledovat zdroj, nebo čas zapínání windows.
kromě stejného textu jako na chybovém okně tam toho může být ještě víc. to by mohlo být pro instalační firmu zajímavé, přece jen s tím připojením a možnými chybami mají praxi.
OT: nic proti ČB, ale myslím že tam dělají sladké pivo. zůstanu věrný radegastovi.