No więc zacznę od tego ze od jakiegoś czasu:

Nie mogę włączyć menadżera zadań bo rzekomo “został wyłączony przez administratora sieci” nie mogę włączyć żadnej edycji rejestru z tego samego powodu

nie mogę też włączyć kompa w trybie awaryjnym

ani zainstalować Windowsa w systemie(bo mam Windowsa na dysku tzn taki backup)

Zacznijmy hmmm… najlepiej od początku.Kiedy próbuje instalować windę w systemie pojawia sie

Nie wiem z jakiego powodu.

Później ten nieszczęsny tryb awaryjny podczas ładowania się plików nagle myk i restart.NO i ok edycja rejestru nie działają żadne fixy a próbowałem ich dokładnie 11.OK no to czas na logi.

1 będzie z hajiack’a

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 04:46:40, on 2009-03-01

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\winsys2.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe

C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search Destroy\TeaTimer.exe

C:\DOCUME~1\User\USTAWI~1\Temp\vvra.exe

C:\DOCUME~1\User\USTAWI~1\Temp\dwnpk.exe

C:\WINDOWS\System32\svchost.exe

E:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\Documents and Settings\User\Pulpit\hijackthis.com


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Spybot-SD IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search Destroy\SDHelper.dll

O3 - Toolbar: Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: dlbcserv.lnk = C:\Program Files\Dell Photo Printer 720\dlbcserv.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll (file missing)

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search Destroy\SDHelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{0073F0B5-5BD2-4F91-82D6-4A4E55FBA19B}: NameServer = 217.30.137.200,217.30.129.149

O17 - HKLM\System\CS1\Services\Tcpip\..\{0073F0B5-5BD2-4F91-82D6-4A4E55FBA19B}: NameServer = 217.30.137.200,217.30.129.149

O17 - HKLM\System\CS2\Services\Tcpip\..\{0073F0B5-5BD2-4F91-82D6-4A4E55FBA19B}: NameServer = 217.30.137.200,217.30.129.149

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


--

End of file - 5316 bytes

Teraz podam z combo fixa

ComboFix 09-02-28.01 - User 2006-02-12 14:43:56.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1023.680 [GMT 1:00]

Uruchomiony z: c:\documents and settings\User\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\User\Pulpit\CFScript.txt

AV: avast! antivirus 4.7.1029 [VPS 000763-6] *On-access scanning disabled* (Updated)

 * Utworzono nowy punkt przywracania


FILE ::

C:\iud32.exe

c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\iuhx32.exe

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


D:\Autorun.inf


.

((((((((((((((((((((((((( Pliki utworzone od 2009-01-28 do 2009-02-28 )))))))))))))))))))))))))))))))

.


Nie utworzono żadnych nowych plików w tym okresie


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]

"SW20"="c:\windows\system32\sw20.exe" [2006-12-15 282624]

"SW24"="c:\windows\system32\sw24.exe" [2006-12-15 147456]

"WinSys2"="c:\windows\system32\winsys2.exe" [2006-12-15 286720]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-12 81920]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-27 75128]

"Acronis True Image Monitor"="c:\program files\Acronis\TrueImage\TrueImageMonitor.exe" [2007-08-03 510575]

"Acronis Scheduler2 Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2007-08-03 143360]

"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 c:\windows\RTHDCPL.exe]

"nwiz"="nwiz.exe" [2007-04-12 c:\windows\system32\nwiz.exe]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_3"="advpack.dll" [2004-08-04 c:\windows\system32\advpack.dll]


c:\documents and settings\All Users\Menu Start\Programy\Autostart\

dlbcserv.lnk - c:\program files\Dell Photo Printer 720\dlbcserv.exe [2007-07-27 389120]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"= 1 (0x1)

"DisableRegistryTools"= 1 (0x1)


[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"UacDisableNotify"=dword:00000001


[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"UacDisableNotify"=dword:00000001


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\sw20.exe"=

"c:\\WINDOWS\\system32\\userinit.exe"=

"c:\\WINDOWS\\system32\\CF29066.exe"=


R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2007-07-26 11264]

R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\jhmrh.sys -- c:\windows\system32\drivers\jhmrh.sys [?]

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;c:\windows\system32\drivers\atl01_xp.sys [2007-07-26 35712]


--- Inne Usługi/Sterowniki w Pamięci ---


*NewlyCreated* - ABP470N5

*NewlyCreated* - HTTPFILTER

*NewlyCreated* - IPFILTERDRIVER


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]

\Shell\AutoRun\command - G:\LaunchU3.exe


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7b2385e8-4408-11dc-a25e-001a92700432}]

\Shell\AutoRun\command - G:\LaunchU3.exe

.

- - - - USUNIĘTO PUSTE WPISY - - - -


HKCU-Run-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

HKCU-Run-Gadu-Gadu - c:\program files\Gadu-Gadu\gg.exe

HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre1.6.0_02\bin\jusched.exe

SSODL-wJUqXTV-{508E72BA-FA24-D810-74BB-909471DD3C2F} - c:\windows\system32\mhvu.dll



.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.google.pl/

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

TCP: {0073F0B5-5BD2-4F91-82D6-4A4E55FBA19B} = 217.30.137.200,217.30.129.149

.


**************************************************************************


catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-28 14:45:31

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

Czas ukończenia: 2009-02-28 14:46:16

ComboFix-quarantined-files.txt 2009-02-28 13:46:15


Przed: 28 709 904 384 bajtów wolnych

Po: 28,691,578,880 bajtów wolnych


WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer


115

I na dodatek z silent runers’a

"Silent Runners.vbs", revision 59, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"SpybotSD TeaTimer" = "C:\Program Files\Spybot - Search Destroy\TeaTimer.exe" ["Safer Networking Limited"]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."]

"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]

"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]

"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]

"SW20" = "C:\WINDOWS\system32\sw20.exe" [empty string]

"SW24" = "C:\WINDOWS\system32\sw24.exe" [null data]

"WinSys2" = "C:\WINDOWS\system32\winsys2.exe" ["TODO: "]

"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]

"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]

"Acronis*True*Image Monitor (unwritable string)" = ""C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe"" ["Acronis"]

"Acronis Scheduler2 Service" = ""C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"" ["Acronis"]

"TrojanScanner" = "C:\Program Files\Trojan Remover\Trjscan.exe /boot" ["Simply Super Software"]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)

  - {HKLM...CLSID} = "Spybot-SD IE Protection"

                   \InProcServer32\(Default) = "C:\Program Files\Spybot - Search Destroy\SDHelper.dll" ["Safer Networking Limited"]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  - {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  - {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"

  - {HKLM...CLSID} = "DesktopContext Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"

  - {HKLM...CLSID} = "NVIDIA CPL Extension"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"

  - {HKLM...CLSID} = "Desktop Explorer"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"

  - {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"

  - {HKLM...CLSID} = "nView Desktop Context Menu"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"

  - {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"

  - {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"

  - {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"

  - {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"

  - {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  - {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"

  - {HKLM...CLSID} = "Trojan Remover Shell Extension"

                   \InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]


HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"

  - {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]


HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

  - {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"

  - {HKLM...CLSID} = "Trojan Remover Shell Extension"

                   \InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  - {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  - {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

  - {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"

  - {HKLM...CLSID} = "Trojan Remover Shell Extension"

                   \InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  - {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]



Default executables:

--------------------


 HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile"



Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------


Note: detected settings may not have any effect.


HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\


"NoDrives" = (REG_DWORD) dword:0x00000000

{unrecognized setting}


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\


"NoDrives" = (REG_DWORD) dword:0x00000000

{unrecognized setting}


HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\


"DisableTaskMgr" = (REG_DWORD) dword:0x00000001

{User Configuration|Administrative Templates|System|Ctrl+Alt+Del Options|

Remove Task Manager}


"DisableRegistryTools" = (REG_DWORD) dword:0x00000001

{User Configuration|Administrative Templates|System|

Prevent access to registry editing tools}


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\


"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}


"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}


"EnableLUA" = (REG_DWORD) dword:0x00000000

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

User Account Control: Run All Administrators In Admin Approval Mode}



Active Desktop and Wallpaper:

-----------------------------


Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp"


Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp"



Windows Portable Device AutoPlay Handlers

-----------------------------------------


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\


Jasc Paint Shop Photo AlbumShowPicturesOnArrivalHandler\

"Provider" = "Jasc Paint Shop Photo Album"

"InvokeProgID" = "JascPaintShopPhotoAlbumAlbum"

"InvokeVerb" = "OpenPCCard"

HKLM\SOFTWARE\Classes\JascPaintShopPhotoAlbumAlbum\shell\OpenPCCard\command\(Default) = "C:\PROGRA~1\JASCSO~1\PAINTS~1\pspa.exe -pccardlaunch" ["Jasc Software"]



Startup items in "User" "All Users" startup folders:

------------------------------------------------------


C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

"dlbcserv" - shortcut to: "C:\Program Files\Dell Photo Printer 720\dlbcserv.exe" [null data]



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05



Toolbars, Explorer Bars, Extensions:

------------------------------------


Toolbars


HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"

  - {HKLM...CLSID} = "Google"

                   \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" [file not found]


HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)

  - {HKLM...CLSID} = "Google"

                   \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" [file not found]


Extensions (Tools menu items, main toolbar menu buttons)


HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Console"

"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"

  - {HKCU...CLSID} = "Java Plug-in 1.6.0_02"

                   \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll" [file not found]

  - {HKLM...CLSID} = "Java Plug-in 1.6.0_02"

                   \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll" [file not found]


{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\

"MenuText" = "Spybot - Search Destroy Configuration"

"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"

  - {HKLM...CLSID} = "Spybot-SD IE Protection"

                   \InProcServer32\(Default) = "C:\Program Files\Spybot - Search Destroy\SDHelper.dll" ["Safer Networking Limited"]



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


Acronis Scheduler2 Service, AcrSch2Svc, ""C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe"" ["Acronis"]

LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]

NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]



Print Monitors:

---------------


HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\

Dell Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]



---------- (launch time: 2009-03-01 04:27:59)

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 167 seconds.

---------- (total run time: 208 seconds)

I pamietajcei jestescie moja ostatnia szansa xD

Nie ma potrzeby na razie szukać czegoś innego.

To jest jedna z wersji wirusa “SALITY/SECTOR”, który zaraża wszystkie pliki \ *.exe.

Użyj > Dr. Web CureIt! > http://www.speedyshare.com/392524813.html - od razu przy ściąganiu zapisz go pod taką nazwą, jaką mu nadałam (“purre.com”)

Napisz, co wykrył.

EDIT:

Jeśli wykryty zostanie “SECTOR”, to możesz od razu użyć jakiegoś skanera Antivirusowego online, ale tylko takiego, który oprócz wykrywania ma także opcję usuwania.

Wybierz:

>http://www.searchengines.pl/index.php?showtopic=6694

Z załączonego obrazka wynika, że na płytce zamiast SYSTEMU masz jakieś śmieci, stąd więc nie zainstalujesz Windowsa.

jessi

Kupoludek ,

Proszę zapoznać się z tematem Ważny komunikat dotyczący tytułowania tematów i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty - proszę użyć przycisku Edytuj przy poście otwierającym ten temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

W związku ze zmianą, jaka obowiązuje przy wklejaniu logów na forum - przeczytaj i zastosuj się do Tematu

Proszę poprawić pisownię w opisie problemu.

prosze oto taport z anty vira

ArcaMicroScan - Raport ze skanowania [2009.03.01 10:20:11]

Data bazy wirusów : 2009.02.28 20:41:23

[skanowanie : C:]

C:\dialer.exe <- Heur.W32 : Brak akcji

C:\purre.com.exe <- Heur.W32 : Brak akcji

C:\ComboFix\CF29066.exe <- Heur.W32 : Brak akcji

C:\Documents and Settings\User\Ustawienia lokalne\temp\winvkmai.exe:winvkmai.exe <- Trojan.Agent.Ateq : Kasowanie -> Brak akcji

C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe <- Heur.W32 : Brak akcji

C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe <- Heur.W32 : Brak akcji

C:\Program Files\Dell Photo Printer 720\dlbcserv.exe <- Heur.W32 : Brak akcji

C:\Program Files\Dell Photo Printer 720\dlbcunst.exe <- Heur.W32 : Brak akcji

C:\Program Files\Dell Photo Printer 720\dlbcvwer.exe <- Heur.W32 : Brak akcji

C:\Program Files\ffdshow\uninstall.exe <- Heur.W32 : Brak akcji

C:\Program Files\InstallShield Installation Information{1F698102-5739-441E-96F0-74F4EA540F06}\setup.exe <- Heur.W32 : Brak akcji

C:\Program Files\InstallShield Installation Information{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe <- Heur.W32 : Brak akcji

C:\Program Files\Jasc Software Inc\Paint Shop Photo Album\ConvertDB.exe <- Heur.W32 : Brak akcji

C:\Program Files\Jasc Software Inc\Paint Shop Photo Album\player.exe <- Heur.W32 : Brak akcji

C:\Program Files\Jasc Software Inc\Paint Shop Photo Album\pspa.exe <- Heur.W32 : Brak akcji

C:\Program Files\Jasc Software Inc\Paint Shop Photo Album\scandrv.exe <- Heur.W32 : Brak akcji

C:\Program Files\Jasc Software Inc\Paint Shop Pro 8\Paint Shop Pro.exe <- Heur.W32 : Brak akcji

C:\Program Files\Jasc Software Inc\Paint Shop Pro 8\Learning Center\Product_Tour.exe <- Heur.W32 : Brak akcji

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe <- Heur.W32 : Brak akcji

C:\Program Files\Java\jre1.5.0_06\bin\keytool.exe <- Heur.W32 : Brak akcji

C:\Program Files\Java\jre1.5.0_06\bin\policytool.exe <- Heur.W32 : Brak akcji

C:\Program Files\Java\jre1.5.0_06\bin\rmiregistry.exe <- Heur.W32 : Brak akcji

C:\Program Files\Java\jre1.5.0_06\bin\servertool.exe <- Heur.W32 : Brak akcji

C:\Program Files\Malwarebytes’ Anti-Malware\mbam.exe <- Heur.W32 : Brak akcji

C:\Program Files\Malwarebytes’ Anti-Malware\mbamservice.exe <- Heur.W32 : Brak akcji

C:\Program Files\OpenOffice.org 2.2\program\python-core-2.3.4\lib\distutils\command\wininst.exe <- Heur.W32 : Brak akcji

C:\Program Files\Realtek\InstallShield\Alcmtr.exe <- Heur.W32 : Brak akcji

C:\Program Files\Winamp\winampa.exe <- Heur.W32 : Brak akcji

C:\WINDOWS\Kopia system32\nvcplui.exe <- Heur.W32 : Brak akcji

C:\WINDOWS\system32\nvcplui.exe <- Heur.W32 : Brak akcji

[skanowanie : D:]

D:\Alcohol 120\Steam.exe <- Heur.W32 : Brak akcji

D:\Alcohol 120\uninst.exe <- Heur.W32 : Brak akcji

D:\Alcohol 120\StarWind\StarWindServiceAE.exe <- Heur.W32 : Brak akcji

A więc jest źle, bo widać, że to same \ *.exe. Szkoda, że najpierw nie użyłeś “Dr.WebCureIt”, bo on potrafi naprawiać zarażone pliki, a nie tylko je usuwać. Po usunięciu będzie potem ich brakować.

jessi

no wlasnie ze nie moge pobrac Dr.WebCureIt nie wiem dlaczego

Nie możesz z tej strony, którą podałam?

To dziwne.

Ze strony producenta raczej na pewno nie pobierzesz, bo wirus blokuje pobieranie ze stron producentów Antivirusów.

jessi