Skanowałam się spybotem i znalazł mi to:

Microsoft.Windows.AppFirewallBypass: [sBI $73083ED6] Ustawienia (Wartość rejestru, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\winver.exe

Microsoft.Windows.AppFirewallBypass: [sBI $2593FAE5] Ustawienia (Wartość rejestru, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\winver.exe

Nie wiem czy to usunąć czy nie, i co to jest.

Info ze spybota - prawe okienko

Kompania:

Produkt: Microsoft.Windows.AppFirewallBypass

Szkodliwy: Security

Opis

This is beeing flagged whenever an application is configured to accept incoming connections through the Windows Firewall. Most applications do not need to accept incoming connections like servers do.

wg kasperskiego, mks, avast, plik winver jest czysty, tylko ten spybot

z góry dzięki za pomoc

Moim zdaniem plik jest czysty.

Istnieje jakiś trojan, który posługuje się plikiem winver.exe ale on znowuż robi jego kopię w folderze c:/windows, a ten opisany przez spy bota znajduje się w ~~/system32 czyli tam gdzie powinien.

Rzuć okiem na folder windows czy nie ma tam plików: hosts, winuptade.exe oraz winver.exe, i czy w folderze system32 nie ma pliku internets.exe - jeśli nie znajdziesz żadnego z wymienionych to dobrze (czyt. spy bot się pomylił).

I przeczyść rejestr;)

hmm

mam

hosts ale w c:\windows\system32\drivers\etc

reszty nie ma

jak "przeczyszcza się rejestr:

Najlepiej wrzuć ten plik na Virus Total to będziesz mądrzejszy, oczywiście nie daje to 100% pewności ale jeżeli wszystkie skanery stwierdzą, że jest czysty to raczej tak jest.

A do rejestru CCleaner http://dobreprogramy.pl/index.php?dz=2& … +v2.20.920