Mate nekdo Vistu 64b? Potreboval bych HJT log.

Ahoj,

pouzivate nekdo Vistu 64b? Jestli jo, potreboval bych pomoct. Uz dva dny resim problem s timto OS s clovekem z viry.cz(i tady jsem neco castecne resil a vypada to, ze by MM mohl mit pravdu). Ted jsme ve fazi, kdy potrebujeme neco zjistit a nemame a nezname nikoho s vistou 64b. Takze k veci. Pokud tento system nekdo pouzivate a mate par minut cas, tak bych Vas poprosil o udelani logu z HJT http://www.trendsecure.com/portal/en-US/tools/secur ity_tools/hijackthis/download ale z verze 2 a jeho vlozeni sem a nebo pouze o prekontrolovani, jestli se objevuje v logu tahle polozka F2 - REG:system.ini: UserInit=userinit.exe
Nevi se totiz, jestli to tam patri a nebo ne, protoze s vistou 64b pry neni moc zkusenosti v odstranovani smejdu a combo fix tam nejde spustit.

Dik za ochotu.

Předmět	Autor	Datum
Ja to tam mam. Wikan 04.09.2008 12:50	Wikan	04.09.2008 12:50
Ok, dik a mas 100% cisty win a je to uplne presne stejne napsany? Nesmi za tim byt nic dalsiho. A j… Radek 04.09.2008 12:51	Radek	04.09.2008 12:51
dvě hodiny stará instalace s integrovaným SP1, bez ovladačů, ze sw nahozen daemon a diskkeeper Logf… MM_tank 04.09.2008 13:01	MM_tank	04.09.2008 13:01
O1 - Hosts: ::1 localhost O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37… MM_tank 04.09.2008 13:01	MM_tank	04.09.2008 13:01
(file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.… MM_tank 04.09.2008 13:01	MM_tank	04.09.2008 13:01
Dik, takze je to asi v pohode. Jen pro jistotu se zeptam, je to 64b? Prosim te a muzes se podivat, j… Radek 04.09.2008 13:03	Radek	04.09.2008 13:03
je to vista64 Uff ty jsi mi dal:beer: hodinu jsem hledal jak v průzkumníkovi kde se má kliknout aby… MM_tank 04.09.2008 13:57	MM_tank	04.09.2008 13:57
Dik, takze podle vseho to vypada, ze je to normalni. No pruzkumnikem to jde nastavit, ale je to sile… Radek 04.09.2008 15:40	Radek	04.09.2008 15:40
Prosim te jestli to mas jeste u sebe. Zkus prosim te vyhledat userinit.exe a zjistit jeho umisteni.… Radek 04.09.2008 15:52	Radek	04.09.2008 15:52
Ty seš ale šťoural... ;-) host 04.09.2008 15:54	host	04.09.2008 15:54
Ahoj, no musim, protoze jsem dostal strach, ze tam je nejakej vir, kdyz se to chova pokazdy jinak. N… Radek 04.09.2008 16:14	Radek	04.09.2008 16:14
smazal dokonce i IE Pokud smazal kompletně celý IE tak bys byl v háji protože Tridentem se renderuj… marekdrtic 04.09.2008 16:32	marekdrtic	04.09.2008 16:32
Jo, smazal IE, ale aktualizace si ho hned stahla. Radek 04.09.2008 16:35	Radek	04.09.2008 16:35
už to nemám. Když píšu Speed commander 64 bit myslím jedině ten. TC 32 bit to prostě nezobrazí MM_tank 04.09.2008 17:21	MM_tank	04.09.2008 17:21
Neda se nic delat. No stahl jsem ho a nevidim nic jine nez v TC, ale asi nevim co mam hldat. Na co s… Radek 04.09.2008 17:29	Radek	04.09.2008 17:29
v users\jméno jsou soubory lnk které se 32bitovým programům cpou jako klasické systémové složky z Wi… MM_tank 04.09.2008 17:33	MM_tank	04.09.2008 17:33
To tam vidim, ale to samy vidim v TC, kterej je 32b. Nevim co delam blbe. Mne spis vadi, ze tam do n… Radek 04.09.2008 17:41	Radek	04.09.2008 17:41
Nepatří to tam , můžeš fixnout. Vypadá to , že tam máš nějaké nákazy... jaro 26.11.2009 21:38	jaro	26.11.2009 21:38
K těm jakoby fake adresářům. Jsou zamčený adresáře a jsou junction. Na junction ani nešahej- pokazil… kmochna 26.11.2009 22:12	kmochna	26.11.2009 22:12
Kluci jste fakt dobří ale je to rok starý. MM_tank 26.11.2009 22:41	MM_tank	26.11.2009 22:41
ježiš, kdo to vymrtvil? aha jaro. poslední kmochna 26.11.2009 22:43	kmochna	26.11.2009 22:43

Ja to tam mam.

Ok, dik a mas 100% cisty win a je to uplne presne stejne napsany? Nesmi za tim byt nic dalsiho.

A jeste neco, dostanes se k otevreni slozky (myslim jako admin)
c:\users\tvoje jmeno uzivatele\application data
c:\users\tvoje jmeno uzivatele\local settings
c:\users\tvoje jmeno uzivatele\recent

atd.? Proste do skrytych a systemovych slozek, ktere maji takovou tu sipku pres ikonku. Nedostanu se do zadne s sipkou. Zapomnel jsem dodat, ze se tam nedostanu s explorerem.

dvě hodiny stará instalace s integrovaným SP1, bez ovladačů, ze sw nahozen daemon a diskkeeper

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56:12, on 4.9.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = fwlink
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = fwlink
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = fwlink
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = fwlink
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = fwlink
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = fwlink
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe

O1 - Hosts: ::1 localhost
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe

(file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 5203 bytes

jů to se to tapetuje
zapomněl sem na opice 2007

Dik, takze je to asi v pohode. Jen pro jistotu se zeptam, je to 64b?
Prosim te a muzes se podivat, jestli se jako admin dostanes do tech souboru, o kterych jsem psal vys?

je to vista64
Uff ty jsi mi dal hodinu jsem hledal jak v průzkumníkovi kde se má kliknout aby šlo nastavit vidění skrytých souborů. To co popisuješ jsou odkazy .lnk které průzkumník ukáže ale zřejmě když jsou prázdné nebo spíš nevytvořené tak napíše ten přístup nepovolen. Třeba do recent se dostanu protože už je asi vytvořený, do ostatních ne. Stáhni si speed commander verzi pro 64bit a uvidíš ten bordel jak je to celé zprasené(niččím jiným ne)

Dik, takze podle vseho to vypada, ze je to normalni. No pruzkumnikem to jde nastavit, ale je to sileny.
Ja se do recent nedostanu. Tak je to divny, tak sakra, ze by tam fakt byl nejakej vir? Ja jsem se sem driv nedostal.
Nemam speed commander, mam TC. Vypada to tam stejne(aha, asi ne jak se ted divam) nebo ho mam stahnout?

Prosim te jestli to mas jeste u sebe. Zkus prosim te vyhledat userinit.exe a zjistit jeho umisteni.
ja ho mam:
C:\windows\system32
C:\windows\syswow64
C:\wi ndiws\prefetch
tam asi ma byt, ale mam ho jeste tady a tam asi byt nema, musim jeste pohledat po netu
C:\windows\winsxs a tam je v nekolika slozkach, ktere zacinaji amd64xxxxxxxxxxxxx a x86_microsoft_xxxxxxx

Ty seš ale šťoural...

Ahoj, no musim, protoze jsem dostal strach, ze tam je nejakej vir, kdyz se to chova pokazdy jinak. No a asi neni. Taky by ses asi stoural, kdyby ti NAV nasel 46 infekci v registrech a smazal dokonce i IE. Asi poznal, ze to do PC nepatri

smazal dokonce i IE

Pokud smazal kompletně celý IE tak bys byl v háji protože Tridentem se renderuje myslím i průzkumník a všechno v PC

Jo, smazal IE, ale aktualizace si ho hned stahla.

už to nemám. Když píšu Speed commander 64 bit myslím jedině ten. TC 32 bit to prostě nezobrazí

Neda se nic delat.
No stahl jsem ho a nevidim nic jine nez v TC, ale asi nevim co mam hldat. Na co se mam soustredit?

v users\jméno jsou soubory lnk které se 32bitovým programům cpou jako klasické systémové složky z Winxp. zapni si vidění skrytých soub.

To tam vidim, ale to samy vidim v TC, kterej je 32b. Nevim co delam blbe. Mne spis vadi, ze tam do neceho vlezes a vylezes uplne jinde.

Nepatří to tam , můžeš fixnout. Vypadá to , že tam máš nějaké nákazy...

K těm jakoby fake adresářům. Jsou zamčený adresáře a jsou junction. Na junction ani nešahej- pokazilo by se to. Viz Document and settings. To co tank prochází, neexistuje. W7 64b, předpokládám u vist to samý.

[2352-doc-setting-junction-png]