Nieoczekiwany restart, wklejam loga

IP: 213.17.150.* 17.07.06, 21:48
Komputer rodziców sam się restartuje w momencie uruchamiania Internet
Explorera i Worda (przy innych aplikacjach nie było problemów, np. Opera
chodzi ładnie). Co może byc przyczyną?
Przejrzałam wątki z podobnymi problemami. Może to być przegrzanie albo
przeładowanie procesora (Athlon 2000), choć wydaje mi się to wątpliwe. Trzeba
będzie chyba sprawdzić jakimś programem diagnozującym? Znalazłam w jednym z
wątków namiar na Everest, ściagnęłam, ale nijak nie mogę tam znależć
temperatury CPU.

Na razie wklejam loga na wszelki wypadek, może tam coś siedzi, o czym nie
wiem:

Logfile of HijackThis v1.99.1
Scan saved at 13:36:38, on 2006-07-17
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOCUME~1\asia\USTAWI~1\Temp\Rar$EX00.843\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.gazeta.pl/0,0.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini:
Shell=explorer.exe
"C:\Program Files\Common
Files\Microsoft Shared\Web Folders\ibm00047.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07
\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} -
C:\Program Files\IrfanView\Ebay\Ebay.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
software-dl.real.com/05d0b71d8099e8d64406/netzip/RdxIE601.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) -
67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program
Files\MKS\Bin\mksmonsv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program
Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

    • Gość: Kolobos Re: Nieoczekiwany restart, wklejam loga IP: *.warszawa.sdi.tpnet.pl 17.07.06, 22:16
      W Everest -> Komputer -> Plyta -> Czujniki (pisze z pamieci wiec moge sie mylic
      ale jak poszukasz to znajdziesz).

      Sciagnij:
      users.telenet.be/marcvn/tools/haxfix.exe
      Wybierz opcje 3 jako nazwe do kasacji wpisz: drct
      Log z usuwania wklej na forum (c:\haxfix.txt).

      Jak widac masz piracki windows bez aktualizacji:
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Zamknij porty w wwdc.exe i nie uzywaj IE.

      W hjt usun:
      F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common
      Files\Microsoft Shared\Web Folders\ibm00047.exe" <- plik ibm... usun z dysku.
      F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
      O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe <- plik usun z dysku.
      O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

      Usluga do ksacji (opis w przyklejonym poscie):
      O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program
      Files\MKS\Bin\mksmonsv.exe (file missing)

      Przesknauj system przy pomocy ewido (link w przyklejonym).
      Wywal nortona i zainstaluj AntyVir PE (znajdziesz na google).
      • Gość: wasa Re: Nieoczekiwany restart, wklejam loga IP: 193.151.26.* 18.07.06, 12:25
        W Everest -> Komputer -> Plyta -> Czujniki (pisze z pamieci wiec mo
        > ge sie mylic
        > ale jak poszukasz to znajdziesz).
        Znalazłam: procesor 50 st., płyta 35

        Sciagnij:
        > users.telenet.be/marcvn/tools/haxfix.exe
        > Wybierz opcje 3 jako nazwe do kasacji wpisz: drct
        Sciągnęłam, zrobiłam, co trzeba, ale miałam komunikat, ze "no matching
        haxdoorkeys found", może dlatego, że uruchomiłam wcześniej ewido i to wyrzucił.

        > Log z usuwania wklej na forum (c:\haxfix.txt).
        Nic w tym logu nie było.

        > Zamknij porty w wwdc.exe i nie uzywaj IE.
        Ściagnęlam ten program, ale nie otwiera mi się link z instrukcją obsługi w
        przyklejonym i nie jestem pewna, co zrobić. Pokazują mi się w tym programie
        trzy czerwone kółeczka z krzyzykami, jest napisane DISABLE (1) i CLOSE (2). mam
        na to kliknąc?

        > W hjt usun:
        > F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common
        > Files\Microsoft Shared\Web Folders\ibm00047.exe" <- plik ibm... usun z dysk
        > u.
        > F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
        > O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe <- plik usun z dysku.
        > O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
        >
        > Usluga do ksacji (opis w przyklejonym poscie):
        > O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program
        > Files\MKS\Bin\mksmonsv.exe (file missing)
        Zrobione.

        > Przesknauj system przy pomocy ewido (link w przyklejonym).
        Zrobilam, ale ten drct ciągle wraca. To przez te niezamknięte porty może?

        > Wywal nortona i zainstaluj AntyVir PE
        Zrobię jak najszybciej, a póki co wklejam nowego loga:

        Logfile of HijackThis v1.99.1
        Scan saved at 12:26:26, on 2006-07-18
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\Winamp\winampa.exe
        C:\Program Files\QuickTime\qttask.exe
        C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
        C:\WINDOWS\System32\nvsvc32.exe
        C:\WINDOWS\System32\wuauclt.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Program Files\ewido anti-spyware 4.0\guard.exe
        C:\Program Files\ewido anti-spyware 4.0\ewido.exe
        C:\Program Files\hijackthis\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.gazeta.pl/0,0.html
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
        O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
        Files\Java\jre1.5.0_07\bin\ssv.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
        \NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
        Shared\Security Center\UsrPrmpt.exe
        O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
        atboottime
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07
        \bin\jusched.exe
        O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
        O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0
        \ewido.exe" /minimized
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
        res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
        C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
        00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
        O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} -
        C:\Program Files\IrfanView\Ebay\Ebay.htm
        O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
        software-dl.real.com/05d0b71d8099e8d64406/netzip/RdxIE601.cab
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
        skaner.mks.com.pl/SkanerOnline.cab
        O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) -
        67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab
        O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
        O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. -
        C:\Program Files\ewido anti-spyware 4.0\guard.exe
        O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
        C:\WINDOWS\System32\nvsvc32.exe
        O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program
        Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

        • Gość: Kolobos Re: Nieoczekiwany restart, wklejam loga IP: *.warszawa.sdi.tpnet.pl 18.07.06, 13:10
          > Znalazłam: procesor 50 st., płyta 35

          To nie tak duzo. Komputer moze sie resetowac z winy uszkodzonego ramu (sprawdz
          memtestem -> www.memtest.org - sciagnij obraz dyskietki, testuj z 1-2 godziny)
          lub uszkodzonego zasilacza, jezeli masz mozliwosc to podmien na inny.

          > Sciągnęłam, zrobiłam, co trzeba, ale miałam komunikat, ze "no matching
          > haxdoorkeys found", może dlatego, że uruchomiłam wcześniej ewido i to
          > wyrzucił.

          Wybierz opcje nr 1 haxfix i wklej log, ktory sie utworzy.

          > Ściagnęlam ten program, ale nie otwiera mi się link z instrukcją obsługi

          O tak ma wygladac:
          oswiecenia.compower.pl/images/wwdc13.jpg
          Miales nie uzywac Internet Explorera, jezeli dalej bedziesz to zaraz bedzie to
          samo albo i cos gorszego.

          W logu zostalo tylko to:
          O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
          Ale tego recznie nie usuniesz.
          • Gość: wasa Re: Nieoczekiwany restart, wklejam loga IP: 193.151.26.* 19.07.06, 12:01

            > Wybierz opcje nr 1 haxfix i wklej log, ktory sie utworzy:

            HAXFIX logfile - by Marckie
            ______________
            version 3.07
            2006-07-19 11:50:02,52

            checking for haxdoor
            --------------------
            checking for a3d files....
            a3d files found
            ps.a3d

            checking for matching notify keys....
            matching notify keys found
            drct

            checking for matching services....
            matching services found
            Aspi32
            vdmt16

            checking for matching safeboot services....
            no matching safeboot services found


            Checking for goldun
            -------------------
            checking for notify keys....
            no notify keys found

            checking for services....
            no services found


            Finished

            > O tak ma wygladac:
            > oswiecenia.compower.pl/images/wwdc13.jpg

            Zrobilam, tak właśnie wyglądało, tyle, że dostęp do sieci został odcięty. Takie zabezpieczenie mnie nie urządza ;-) więc pootwierałam na nowo i internet znów działa.

            Kłopoty z restartem się skończyły. Muszę jeszcze zainstalować tego AntiVira (to taki z czerwoną parasolką? mam go u siebie) i przekonać mame do używania opery, co nie będzie łatwe, bo jest trudniejsza w obsłudze niż IE (dla mamy).

            Jeszcze log z hijacka:
            Logfile of HijackThis v1.99.1
            Scan saved at 11:59:40, on 2006-07-19
            Platform: Windows XP (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 (6.00.2600.0000)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\system32\logonui.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\WINDOWS\Explorer.EXE
            C:\Program Files\Winamp\winampa.exe
            C:\Program Files\QuickTime\qttask.exe
            C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
            C:\Program Files\Gadu-Gadu\gg.exe
            C:\WINDOWS\System32\nvsvc32.exe
            C:\WINDOWS\System32\wuauclt.exe
            C:\Program Files\Opera\Opera.exe
            C:\Program Files\hijackthis\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.gazeta.pl/0,0.html
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
            O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
            O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
            O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
            O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
            O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
            O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
            O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
            O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
            O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
            O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
            O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - software-dl.real.com/05d0b71d8099e8d64406/netzip/RdxIE601.cab
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - skaner.mks.com.pl/SkanerOnline.cab
            O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - 67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab
            O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
            O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

            Wywaliłam ręcznie to drct16.dll i w tym katalogu tego nie widać, przeszukałam całość i nie znalazło. To skąd to w logu? No i jak wywalić?
            • Gość: Kolobos Re: Nieoczekiwany restart, wklejam loga IP: *.warszawa.sdi.tpnet.pl 19.07.06, 13:03
              Zrob tak: Start->Uruchom->cmd i tam:
              sc stop vdmt16
              sc delete vdmt16
              sc stop winlow
              sc delete winlow
              regsvr32.exe /u C:\WINDOWS\SYSTEM32\drct16.dll
              del C:\WINDOWS\SYSTEM32\drct16.dll
              del C:\WINDOWS\SYSTEM32\vdmt16.sys
              del C:\WINDOWS\system32\winlow.sys

              W razie problemow uruchom konsole odzyskiwania z plyty instalacyjnej i tam usun
              pliki tak jak napisalem (ale zamiast sc wpisujesz disable winlow oraz disable
              vdmt16 i pomijasz regsvr32) W razie problemow poczytaj:
              www.searchengines.pl/phpbb203/lofiversion/index.php/t47782.html
              > Zrobilam, tak właśnie wyglądało, tyle, że dostęp do sieci został
              > odcięty. Takie zabezpieczenie mnie nie urządza ;-) więc pootwierałam
              > na nowo i internet znów działa.

              Zostaw tylko netbios otwarty i zobacz czy internet bedzie dzialal.
Pełna wersja