Problem z nieskończonym Trojanem

Zaku · 21 Październik 2006 21:03

Witam

Mam następójący problem, a raczej mój kolega. Dostał dzisiaj trojana a raczej go odkrył, dowidziałem się o tym ja bo zadzwonił szef naszej osiedlówi że użytkownik **** ma trojana i ,psóje" sieć. Akurat szef był w górach więc nie mógł sie zając tym osobiście, poszedłęm do niego z antywiramy takimy jak Kaspersky Ad-aware i regvac, jakieś dobre 2 godziny walczyliśmy z tymi wirusamy, co dziwnie zanim to usuneliśmi były 3 rzeczy niepokojące 1.:

w menadżerze urządzeń procesów było 53 z czego 20 to był plik o tej samej nazwie(niestety nie mam screena bo sie niedało) jego nazwa była zwązana z słowem windows i jakiś numer początek to 346…jakoś tak tych procesów było 20 o tej samej nazwie

2:

przez jakiś czas żaden z antywirów nie potrafił usunąć wirusów dopiero za 3 skanem uprał się z niemi, po po końcowym skanie te procesy(ad1) znikneły

3:

przec cały czas zamiast tapety, było coś takiego: całe tło było niebieskie a na środku na czryn tle był taki napis

ta tapeta nie znikneła poderzewamy, że po wirusie zostały jakieś pierwaistki czy wie ktoś co to może być jak temu zaradzić, aha i jeszcze jedno podpieliśmy potem neta i gg działa, podczas pobierania auktualizacji pobiera, z expolrem sie nie łączy(bardzo prosiłbym o szybką odopowiedź)

p.s. przepraszam za to, że niema screenów, które bardzo by sie przydały ale to było niewykonalne przy takim stanie kompótera

boczi · 21 Październik 2006 21:07

Wklej logi z HijackThis i Silentrunners.

duce · 21 Październik 2006 21:08

W przypadku

pomoże wwdc dostępny na vortalu

Bieniol · 21 Październik 2006 21:09

Przed tym użyj narzędzia -> SmitFraudFix (w trybie awaryjnym z opcji 2 )

Dopiero później wklej logi. Opis tutaj -> http://forum.dobreprogramy.pl/viewtopic.php?t=36654

duce · 21 Październik 2006 21:11

moze miec problem z wklejeniem loga

Zaku · 21 Październik 2006 21:24

Z logami niema problemu to już robiłem:)

Złączono Posta : 21.10.2006 (Sob) 23:26

Słuhajcie panowie wielkie dzienki tą czyność co podał Beniol wykonam jutro i jutro dam odpowidz czy sie udało

mikrej · 21 Październik 2006 22:15

A tak poza tematem to weź Żaku , skoro tak kochasz Firefox’a, zainstaluj sobie najnowszą wersję tej przeglądarki.

Tam jest taka fajna opcja jak sprawdzanie pisowni przydałaby Ci się

Pozdrawiam

Zaku · 22 Październik 2006 10:39

Logfile of HijackThis v1.99.1 Scan saved at 12:38:48, on 2006-10-22 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\WINDOWS\System32\winalert.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Agata\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell= O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM…\Run: [Windows Update Alert] “C:\WINDOWS\System32\winalert.exe” O4 - HKLM…\Run: [KAVPersonal50] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe” /minimize O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU…\Run: [Winsvr] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstk] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstg] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstw] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstp] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstu] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstc] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsts] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsth] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstx] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstb] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstq] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsti] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsty] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsto] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstd] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstt] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstj] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstz] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winste] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstm] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstr] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstn] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsta] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstv] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstf] C:\WINDOWS\temp\wincss3216384.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O20 - Winlogon Notify: chk - chke.dll (file missing) O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file) O23 - Service: Usługa Kaspersky Anti-Virus (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

o to logi Hijack

przeskanowałem kompa SmitFraundFix i ta dziwna tapeta znkneła Dziękuję

adam9870 · 22 Październik 2006 10:50

Proszę otworzyć Notatnik i wkleić w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT i uruchom go w trybie awaryjnym.

Dzięki temu usuniesz z dysku wszystkie możliwe śmieci, które pokazał HijackThis.

A poniższe wpisy skasuj w hijacku (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

F2 - REG:system.ini: Shell= O4 - HKLM…\Run: [Windows Update Alert] “C:\WINDOWS\System32\winalert.exe” O4 - HKCU…\Run: [Winsvr] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstk] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstg] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstw] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstp] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstu] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstc] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsts] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsth] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstx] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstb] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstq] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsti] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsty] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsto] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstd] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstt] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstj] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstz] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winste] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstm] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstr] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstn] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsta] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstv] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstf] C:\WINDOWS\temp\wincss3216384.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O20 - Winlogon Notify: chk - chke.dll (file missing) O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file)

Po wykonaniu w/w dajesz nowy log z HijackThis plus z SilentRunners.

Zaku · 22 Październik 2006 11:40

Logi HiJack:

Logfile of HijackThis v1.99.1 Scan saved at 13:35:48, on 2006-10-22 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Documents and Settings\Agata\Pulpit\Programy\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM…\Run: [KAVPersonal50] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe” /minimize O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O23 - Service: Usługa Kaspersky Anti-Virus (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Slent Runners

“Silent Runners.vbs”, revision 49, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “CTFMON.EXE” = “C:\WINDOWS\System32\ctfmon.exe” [MS] “Gadu-Gadu” = ““C:\Program Files\Gadu-Gadu\gg.exe” /tray” [“Gadu-Gadu Sp. z oo”] “NvMediaCenter” = “RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “NvCplDaemon” = “RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup” [MS] “nwiz” = “nwiz.exe /install” [“NVIDIA Corporation”] “Smapp” = “C:\Program Files\Analog Devices\SoundMAX\SMTray.exe” [“Analog Devices, Inc.”] “KAVPersonal50” = ““C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe” /minimize” [“Kaspersky Lab”] HKLM\Software\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}(Default) = (no title provided) \StubPath = ““C:\WINDOWS\System32\rundll32.exe” “C:\Program Files\Messenger\msgsc.dll”,ShowIconsUser” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided) -> {HKLM…CLSID} = “AcroIEHlprObj Class” \InProcServer32(Default) = “C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll” [“Adobe Systems Incorporated”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{BB7DF450-F119-11CD-8465-00AA00425D90}” = “Microsoft Access Custom Icon Handler” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\Program Files\Microsoft Office\Office\soa800.dll” [MS] “{59850401-6664-101B-B21C-00AA004BA90B}” = “Microsoft Office Binder Explode” -> {HKLM…CLSID} = “Microsoft Office Binder Explode” \InProcServer32(Default) = “C:\Program Files\Microsoft Office\Office\UNBIND.DLL” [MS] “{1CDB2949-8F65-4355-8456-263E7C208A5D}” = “Eksplorator pulpitów” -> {HKLM…CLSID} = “Eksplorator pulpitów” \InProcServer32(Default) = “C:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A47}” = “Desktop Explorer Menu” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”] “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}(Default) = “PDF Column Info” -> {HKLM…CLSID} = “PDF Shell Extension” \InProcServer32(Default) = “C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll” [“Adobe Systems, Inc.”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll” [“Kaspersky Lab”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll” [“Kaspersky Lab”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “shutdownwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} “undockwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ “Wallpaper” = “C:\Documents and Settings\Agata\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\Documents and Settings\Agata\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ “SCRNSAVE.EXE” = “C:\WINDOWS\System32\logon.scr” [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 12 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ “{EF99BD32-C1FB-11D2-892F-0090271D4F88}” -> {HKLM…CLSID} = “Yahoo! Toolbar” \InProcServer32(Default) = “C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll” [“Yahoo! Inc.”] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ “{EF99BD32-C1FB-11D2-892F-0090271D4F88}” = (no title provided) -> {HKLM…CLSID} = “Yahoo! Toolbar” \InProcServer32(Default) = “C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll” [“Yahoo! Inc.”] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ NVIDIA Driver Helper Service, NVSvc, “C:\WINDOWS\System32\nvsvc32.exe” [“NVIDIA Corporation”] SoundMAX Agent Service, SoundMAX Agent Service (default), “C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe” [“Analog Devices, Inc.”] Usługa Kaspersky Anti-Virus, kavsvc, ““C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe”” [“Kaspersky Lab”] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer “No” at the first message box and “Yes” at the second message box. ---------- (total run time: 106 seconds, including 24 seconds for message boxes)

Myszak · 22 Październik 2006 11:53

Już ok.

Zaku · 22 Październik 2006 12:25

Bardzo dziękuję wszytkim użytkownikom co dali mi rady :mrgreen: :mrgreen:

fugas761 · 22 Październik 2006 13:06

MOzesz sprawdzic moj log

Myszak · 22 Październik 2006 13:11

fugas761 postaw własny temat i opisz problem. I wklej tego loga. Wtedy ktoś napewno Ci sprawdzi.