Wyskakujące reklamy po uruchomieniu Windows

Wojtas_16 · 11 Wrzesień 2006 08:03

Usunołem Avire i zainstalowałem triala KIS 6.0 ale program nic nie widzi.

Prosze o sprawdzenie loga bo te reklamy są denerwujące.

Tak to wygląda http://img180.imageshack.us/my.php?image=reklamyvj4.jpg

Logfile of HijackThis v1.99.1 Scan saved at 10:02:01, on 2006-09-11 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe D:\Program Files\BearShare\BearShare.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe D:\Tlen.pl\tlen.exe D:\Phone\Skype.exe C:\WINDOWS\system32\rundll32.exe D:\Microsoft Office 2000 Premium\Office\1045\msoffice.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe D:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM…\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM…\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM…\Run: [bearShare] “D:\Program Files\BearShare\BearShare.exe” /pause O4 - HKLM…\Run: [kis] “C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe” O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKCU…\Run: [Komunikator] “D:\Tlen.pl\tlen.exe” --confdir=home O4 - HKCU…\Run: [skype] “D:\Phone\Skype.exe” /nosplash /minimized O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office 2000 Premium\Office\OSA9.EXE O8 - Extra context menu item: Dodaj do Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 4774321456 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

artide2 · 11 Wrzesień 2006 08:08

sproboj przeskanowac komputer spybotem albo ad-aware se

MaYsTeR · 11 Wrzesień 2006 08:18

Log nic nie wykazał. Jest czysty

Pobierz program, zrób update i przeskanuj

Wklej Loga SilentRunners

Phylby · 11 Wrzesień 2006 08:29

To mi wyglada jak VX2

Podobnie to tego ;

http://www.searchengines.pl/phpbb203/in … 2510&st=30

Daj jeszcze loga z:

Silent Runners

Wojtas_16 · 11 Wrzesień 2006 08:40

Log z Silent Runners

“Silent Runners.vbs”, revision 44, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “Komunikator” = ““D:\Tlen.pl\tlen.exe” --confdir=home” [“o2.pl Sp. z o.o.”] “Skype” = ““D:\Phone\Skype.exe” /nosplash /minimized” [“Skype Technologies S.A.”] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “HP Software Update” = “C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe” [null data] “HPDJ Taskbar Utility” = “C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe” [“HP”] “DeviceDiscovery” = “C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe” [“Hewlett-Packard”] “NvCplDaemon” = “RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup” [MS] “nwiz” = “nwiz.exe /install” [“NVIDIA Corporation”] “NvMediaCenter” = “RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit” [MS] “WheelMouse” = “C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe” [“A4Tech Co.,Ltd.”] “BearShare” = ““D:\Program Files\BearShare\BearShare.exe” /pause” [“Free Peers, Inc.”] “kis” = ““C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe”” [“Kaspersky Lab”] “TkBellExe” = ““C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot” [“RealNetworks, Inc.”] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided) -> {HKLM…CLSID} = “AcroIEHlprObj Class” \InProcServer32(Default) = “D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll” [“Adobe Systems Incorporated”] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = (no title provided) -> {HKLM…CLSID} = “SSVHelper Class” \InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll” [“Sun Microsystems, Inc.”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{21569614-B795-46b1-85F4-E737A8DC09AD}” = “Shell Search Band” -> {HKLM…CLSID} = “Shell Search Band” \InProcServer32(Default) = “C:\WINDOWS\system32\browseui.dll” [MS] “{A70C977A-BF00-412C-90B7-034C51DA2439}” = “NvCpl DesktopContext Class” -> {HKLM…CLSID} = “DesktopContext Class” \InProcServer32(Default) = “C:\WINDOWS\system32\nvcpl.dll” [“NVIDIA Corporation”] “{FFB699E0-306A-11d3-8BD1-00104B6F7516}” = “Play on my TV helper” -> {HKLM…CLSID} = “NVIDIA CPL Extension” \InProcServer32(Default) = “C:\WINDOWS\system32\nvcpl.dll” [“NVIDIA Corporation”] “{1CDB2949-8F65-4355-8456-263E7C208A5D}” = “Desktop Explorer” -> {HKLM…CLSID} = “Desktop Explorer” \InProcServer32(Default) = “C:\WINDOWS\system32\nvshell.dll” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A47}” = “Desktop Explorer Menu” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\WINDOWS\system32\nvshell.dll” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A48}” = “nView Desktop Context Menu” -> {HKLM…CLSID} = “nView Desktop Context Menu” \InProcServer32(Default) = “C:\WINDOWS\system32\nvshell.dll” [“NVIDIA Corporation”] “{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}” = “IZArc DragDrop Menu” -> {HKLM…CLSID} = “IZArc DragDrop Menu” \InProcServer32(Default) = “D:\IZArc\IZArcCM.dll” [null data] “{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}” = “IZArc Shell Context Menu” -> {HKLM…CLSID} = “IZArc Shell Context Menu” \InProcServer32(Default) = “D:\IZArc\IZArcCM.dll” [null data] “{640167b4-59b0-47a6-b335-a6b3c0695aea}” = “Portable Media Devices” -> {HKLM…CLSID} = “Portable Media Devices” \InProcServer32(Default) = “C:\WINDOWS\system32\Audiodev.dll” [MS] “{cc86590a-b60a-48e6-996b-41d25ed39a1e}” = “Portable Media Devices Menu” -> {HKLM…CLSID} = “Portable Media Devices Menu” \InProcServer32(Default) = “C:\WINDOWS\system32\Audiodev.dll” [MS] “{59850401-6664-101B-B21C-00AA004BA90B}” = “Microsoft Office Binder Unbind” -> {HKLM…CLSID} = “Microsoft Office Binder Unbind” \InProcServer32(Default) = “D:\MICROS~1\Office\1045\UNBIND.DLL” [MS] “{0006F045-0000-0000-C000-000000000046}” = “Microsoft Outlook Custom Icon Handler” -> {HKLM…CLSID} = “Rozszerzenie ikon plików programu Outlook” \InProcServer32(Default) = “D:\MICROS~1\Office\OLKFSTUB.DLL” [MS] “{A5110426-177D-4e08-AB3F-785F10B4439C}” = “My Phones” -> {HKLM…CLSID} = “My Phones” \InProcServer32(Default) = “C:\Program Files\Sony Ericsson\Mobile\File Manager\fmgrgui.dll” [“Sony Ericsson Mobile Communications AB”] “{85E0B171-04FA-11D1-B7DA-00A0C90348D6}” = “Ochrona WWW” -> {HKLM…CLSID} = “Ochrona WWW” \InProcServer32(Default) = “C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll” [“Kaspersky Lab”] “{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}” = “Shell Extensions for RealOne Player” -> {HKLM…CLSID} = “RealOne Player Context Menu Class” \InProcServer32(Default) = “C:\Program Files\Real\RealPlayer\rpshell.dll” [“RealNetworks, Inc.”] “{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}” = “UnlockerShellExtension” -> {HKLM…CLSID} = “UnlockerShellExtension” \InProcServer32(Default) = “D:\Unlocker\UnlockerCOM.dll” [null data] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ INFECTION WARNING! “AppInit_DLLs” = “C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll” [“Kaspersky Lab”] HKLM\System\CurrentControlSet\Control\Session Manager\ INFECTION WARNING! “BootExecute” = “autocheck autochk *” [file not found], [MS], [file not found] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! klogon\DLLName = “C:\WINDOWS\system32\klogon.dll” [“Kaspersky Lab”] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}(Default) = “PDF Column Info” -> {HKLM…CLSID} = “PDF Shell Extension” \InProcServer32(Default) = “D:\Acrobat 7.0\ActiveX\PDFShell.dll” [“Adobe Systems, Inc.”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ IZArcCM(Default) = “{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}” -> {HKLM…CLSID} = “IZArc Shell Context Menu” \InProcServer32(Default) = “D:\IZArc\IZArcCM.dll” [null data] Kaspersky Anti-Virus(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\shellex.dll” [“Kaspersky Lab”] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ IZArcCM(Default) = “{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}” -> {HKLM…CLSID} = “IZArc Shell Context Menu” \InProcServer32(Default) = “D:\IZArc\IZArcCM.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\shellex.dll” [“Kaspersky Lab”] UnlockerShellExtension(Default) = “{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}” -> {HKLM…CLSID} = “UnlockerShellExtension” \InProcServer32(Default) = “D:\Unlocker\UnlockerCOM.dll” [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\Documents and Settings\Wojtas\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Startup items in “Wojtas” & “All Users” startup folders: -------------------------------------------------------- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart “Microsoft Office” -> shortcut to: “D:\Microsoft Office 2000 Premium\Office\OSA9.EXE -b -l” [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Kaspersky Internet Security 6.0, AVP, ““C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe” -r” [“Kaspersky Lab”] NVIDIA Display Driver Service, NVSvc, “C:\WINDOWS\system32\nvsvc32.exe” [“NVIDIA Corporation”] Windows User Mode Driver Framework, UMWdf, “C:\WINDOWS\system32\wdfmgr.exe” [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzsnt08\Driver = “hpzsnt08.dll” [“HP”] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer “No” at the first message box. ---------- (total run time: 33 seconds, including 4 seconds for message boxes)

Bieniol · 11 Wrzesień 2006 12:08

Log jest czysty

Wrzuć jeszcze log z l2mfix (wybierasz opcje 1) - ale wątpie, żeby nam coś pokazał :?

Wojtas_16 · 11 Wrzesień 2006 14:20

Log:

L2MFIX find log 032106 These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] “Asynchronous”=dword:00000000 “Impersonate”=dword:00000000 “DllName”=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 “Logoff”=“ChainWlxLogoffEvent” [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] “Asynchronous”=dword:00000000 “Impersonate”=dword:00000000 “DllName”=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 “Logoff”=“CryptnetWlxLogoffEvent” [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] “DLLName”=“cscdll.dll” “Logon”=“WinlogonLogonEvent” “Logoff”=“WinlogonLogoffEvent” “ScreenSaver”=“WinlogonScreenSaverEvent” “Startup”=“WinlogonStartupEvent” “Shutdown”=“WinlogonShutdownEvent” “StartShell”=“WinlogonStartShellEvent” “Impersonate”=dword:00000000 “Asynchronous”=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon] “Asynchronous”=dword:00000000 “Impersonate”=dword:00000000 “DllName”=“C:\WINDOWS\system32\klogon.dll” “Logon”=“WLEventStop” “Startup”=“WLEventStart” “Lock”=“WLEventStart” “Unlock”=“WLEventStop” “Logoff”=“WLEventStart” @="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] “DLLName”=“wlnotify.dll” “Logon”=“SCardStartCertProp” “Logoff”=“SCardStopCertProp” “Lock”=“SCardSuspendCertProp” “Unlock”=“SCardResumeCertProp” “Enabled”=dword:00000001 “Impersonate”=dword:00000001 “Asynchronous”=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] “Asynchronous”=dword:00000000 “DllName”=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 “Impersonate”=dword:00000000 “StartShell”=“SchedStartShell” “Logoff”=“SchedEventLogOff” [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] “Logoff”=“WLEventLogoff” “Impersonate”=dword:00000000 “Asynchronous”=dword:00000001 “DllName”=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] “DLLName”=“WlNotify.dll” “Lock”=“SensLockEvent” “Logon”=“SensLogonEvent” “Logoff”=“SensLogoffEvent” “Safe”=dword:00000001 “MaxWait”=dword:00000258 “StartScreenSaver”=“SensStartScreenSaverEvent” “StopScreenSaver”=“SensStopScreenSaverEvent” “Startup”=“SensStartupEvent” “Shutdown”=“SensShutdownEvent” “StartShell”=“SensStartShellEvent” “PostShell”=“SensPostShellEvent” “Disconnect”=“SensDisconnectEvent” “Reconnect”=“SensReconnectEvent” “Unlock”=“SensUnlockEvent” “Impersonate”=dword:00000001 “Asynchronous”=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] “Asynchronous”=dword:00000000 “DllName”=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 “Impersonate”=dword:00000000 “Logoff”=“TSEventLogoff” “Logon”=“TSEventLogon” “PostShell”=“TSEventPostShell” “Shutdown”=“TSEventShutdown” “StartShell”=“TSEventStartShell” “Startup”=“TSEventStartup” “MaxWait”=dword:00000258 “Reconnect”=“TSEventReconnect” “Disconnect”=“TSEventDisconnect” [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] “DLLName”=“wlnotify.dll” “Logon”=“RegisterTicketExpiredNotificationEvent” “Logoff”=“UnregisterTicketExpiredNotificationEvent” “Impersonate”=dword:00000001 “Asynchronous”=dword:00000001 ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] “SV1”="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] “{00022613-0000-0000-C000-000000000046}”=“Karta waciwoci pliku multimedialnego” “{176d6597-26d3-11d1-b350-080036a75b03}”=“ZarzĄdzanie skanerem ICM” “{1F2E5C40-9550-11CE-99D2-00AA006E086C}”=“Strona zabezpieczeä NTFS” “{3EA48300-8CF6-101B-84FB-666CCB9BCD32}”=“Strona waciwoci OLE Docfile” “{40dd6e20-7c17-11ce-a804-00aa003ca9f6}”=“Rozszerzenia powoki dla udost©pniania zasob˘w” “{41E300E0-78B6-11ce-849B-444553540000}”=“PlusPack CPL Extension” “{42071712-76d4-11d1-8b24-00a0c9068ff3}”=“Rozszerzenie CPL karty graficznej” “{42071713-76d4-11d1-8b24-00a0c9068ff3}”=“Rozszerzenie CPL monitora wywietlania” “{42071714-76d4-11d1-8b24-00a0c9068ff3}”=“Rozszerzenie CPL kadrowania wywietlania” “{4E40F770-369C-11d0-8922-00A024AB2DBB}”=“Strona zabezpieczeä usugi DS” “{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}”=“Strona zgodnoci” “{56117100-C0CD-101B-81E2-00AA004AE837}”=“Program obsugi danych wycinkowych powoki” “{59099400-57FF-11CE-BD94-0020AF85B590}”=“Rozszerzenie Disc Copy” “{59be4990-f85c-11ce-aff7-00aa003ca9f6}”=“Rozszerzenia powoki dla obiekt˘w Microsoft Windows Network” “{5DB2625A-54DF-11D0-B6C4-0800091AA605}”=“ZarzĄdzanie monitorem ICM” “{675F097E-4C4D-11D0-B6C1-0800091AA605}”=“ZarzĄdzanie drukarkĄ ICM” “{764BF0E1-F219-11ce-972D-00AA00A14F56}”=“Rozszerzenia powoki dla kompresji plik˘w” “{77597368-7b15-11d0-a0c2-080036af3f03}”=“Rozszerzenie powoki drukarek sieci Web” “{7988B573-EC89-11cf-9C00-00AA00A14F56}”=“Disk Quota UI” “{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}”=“Menu kontekstowe szyfrowania” “{85BBD920-42A0-1069-A2E4-08002B30309D}”=“Akt˘wka” “{88895560-9AA2-1069-930E-00AA0030EBC8}”=“Rozszerzenie ikony HyperTerminalu” “{BD84B380-8CA2-1069-AB1D-08000948F534}”=“Fonts” “{DBCE2480-C732-101B-BE72-BA78E9AD5B27}”=“Profil ICC” “{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}”=“Strona zabezpieczeä drukarek” “{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}”=“Rozszerzenia powoki dla udost©pniania zasob˘w” “{f92e8c40-3d33-11d2-b1aa-080036a75b03}”=“Display TroubleShoot CPL Extension” “{7444C717-39BF-11D1-8CD9-00C04FC29D45}”=“Rozszerzenie Crypto PKO” “{7444C719-39BF-11D1-8CD9-00C04FC29D45}”=“Rozszerzenie Crypto Sign” “{7007ACC7-3202-11D1-AAD2-00805FC1270E}”=“PoĄczenia sieciowe” “{992CFFA0-F557-101A-88EC-00DD010CCC48}”=“PoĄczenia sieciowe” “{E211B736-43FD-11D1-9EFB-0000F8757FCD}”="&Skanery i aparaty fotograficzne" “{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}”="&Skanery i aparaty fotograficzne" “{905667aa-acd6-11d2-8080-00805f6596d2}”="&Skanery i aparaty fotograficzne" “{3F953603-1008-4f6e-A73A-04AAC7A992F1}”="&Skanery i aparaty fotograficzne" “{83bbcbf3-b28a-4919-a5aa-73027445d672}”="&Skanery i aparaty fotograficzne" “{F0152790-D56E-4445-850E-4F3117DB740C}”=“Remote Sessions CPL Extension” “{5F327514-6C5E-4d60-8F16-D07FA08A78ED}”=“Auto Update Property Sheet Extension” “{60254CA5-953B-11CF-8C96-00AA00B8708C}”=“Rozszerzenia powoki dla hosta skrypt˘w systemu Windows” “{2206CDB2-19C1-11D1-89E0-00C04FD7A829}”=“Microsoft Data Link” “{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}”=“Tasks Folder Icon Handler” “{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}”=“Tasks Folder Shell Extension” “{D6277990-4C6A-11CF-8D87-00AA0060F5BF}”=“Zaplanowane zadania” “{0DF44EAA-FF21-4412-828E-260A8728E7F1}”=“Pasek zadaä i menu Start” “{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}”=“Wyszukaj” “{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}”=“Pomoc i obsuga techniczna” “{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}”=“Pomoc i obsuga techniczna” “{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}”=“Uruchom…” “{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}”=“Internet” “{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}”=“E-mail” “{D20EA4E1-3957-11d2-A40B-0C5020524152}”=“Czcionki” “{D20EA4E1-3957-11d2-A40B-0C5020524153}”=“Narz©dzia administracyjne” “{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}”=“Audio Media Properties Handler” “{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}”=“Video Media Properties Handler” “{E4B29F9D-D390-480b-92FD-7DDB47101D71}”=“Wav Properties Handler” “{87D62D94-71B3-4b9a-9489-5FE6850DC73E}”=“Avi Properties Handler” “{A6FD9E45-6E44-43f9-8644-08598F5A74D9}”=“Midi Properties Handler” “{c5a40261-cd64-4ccf-84cb-c394da41d590}”=“Video Thumbnail Extractor” “{5E6AB780-7743-11CF-A12B-00AA004AE837}”=“Pasek narz©dzi programu Microsoft Internet” “{22BF0C20-6DA7-11D0-B373-00A0C9034938}”=“Stan pobierania” “{91EA3F8B-C99B-11d0-9815-00C04FD91972}”=“Folder powoki zwi©kszonej” “{6413BA2C-B461-11d1-A18A-080036B11A03}”=“Folder powoki zwi©kszonej 2” “{F61FFEC1-754F-11d0-80CA-00AA005B4383}”=“BandProxy” “{7BA4C742-9E81-11CF-99D3-00AA004AE837}”=“Pasek przeglĄdarki Microsoft” “{30D02401-6A81-11d0-8274-00C04FD5AE38}”=“Pasek wyszukiwania” “{32683183-48a0-441b-a342-7c2a440a9478}”=“Pasek multimedi˘w” “{169A0691-8DF9-11d1-A1C4-00C04FD75D13}”=“Wyszukiwanie w okienku” “{07798131-AF23-11d1-9111-00A0C98BA67D}”=“Wyszukiwanie w sieci Web” “{AF4F6510-F982-11d0-8595-00AA004CD6D8}”=“Narz©dzie opcji drzewa rejestru” “{01E04581-4EEE-11d0-BFE9-00AA005B4383}”="&Adres" “{A08C11D2-A228-11d0-825B-00AA005B4383}”=“Pole edycji adresu” “{00BB2763-6A77-11D0-A535-00C04FD7D062}”=“Autouzupenianie Microsoft” “{7376D660-C583-11d0-A3A5-00C04FD706EC}”=“Wyodr©bnianie obraz˘w Trident” “{6756A641-DE71-11d0-831B-00AA005B4383}”=“Lista autouzupeniania MRU” “{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}”=“Niestandardowa lista autouzupeniania MRU” “{7e653215-fa25-46bd-a339-34a2790f3cb7}”=“Dost©pny” “{acf35015-526e-4230-9596-becbe19f0ac9}”=“Pasek podr©czny ledzenia” “{E0E11A09-5CB8-4B6C-8332-E00720A168F2}”=“Analizator paska adresu” “{00BB2764-6A77-11D0-A535-00C04FD7D062}”=“Lista autouzupeniania historii Microsoft” “{03C036F1-A186-11D0-824A-00AA005B4383}”=“Lista autouzupeniania folderu powoki Microsoft” “{00BB2765-6A77-11D0-A535-00C04FD7D062}”=“Kontener wielu list autouzupeniania Microsoft” “{ECD4FC4E-521C-11D0-B792-00A0C90312E1}”=“Menu witryny paska powoki” “{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}”=“Shell DeskBarApp” “{ECD4FC4C-521C-11D0-B792-00A0C90312E1}”=“Pasek pulpitu powoki” “{ECD4FC4D-521C-11D0-B792-00A0C90312E1}”=“Shell Rebar BandSite” “{DD313E04-FEFF-11d1-8ECD-0000F87A470C}”=“Pomoc dla uľytkownika” “{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}”=“Globalne ustawienia folder˘w” “{EFA24E61-B078-11d0-89E4-00C04FC9E26E}”=“Favorites Band” “{0A89A860-D7B1-11CE-8350-444553540000}”=“Shell Automation Inproc Service” “{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}”=“Shell DocObject Viewer” “{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}”=“Microsoft Browser Architecture” “{FBF23B40-E3F0-101B-8488-00AA003E56F8}”=“InternetShortcut” “{3C374A40-BAE4-11CF-BF7D-00AA006946EE}”=“Microsoft Url History Service” “{FF393560-C2A7-11CF-BFF4-444553540000}”=“Historia” “{7BD29E00-76C1-11CF-9DD0-00A0C9034933}”=“Tymczasowe pliki internetowe” “{7BD29E01-76C1-11CF-9DD0-00A0C9034933}”=“Tymczasowe pliki internetowe” “{CFBFAE00-17A6-11D0-99CB-00C04FD64497}”=“Microsoft Url Search Hook” “{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}”=“Ekran powitalny pakietu IE4” “{67EA19A0-CCEF-11d0-8024-00C04FD75D13}”=“CDF Extension Copy Hook” “{131A6951-7F78-11D0-A979-00C04FD705A2}”=“ISFBand OC” “{9461b922-3c5a-11d2-bf8b-00c04fb93661}”=“Search Assistant OC” “{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}”=“Internet” “{871C5380-42A0-1069-A2EA-08002B30309D}”=“Internet Name Space” “{EFA24E64-B078-11d0-89E4-00C04FC9E26E}”=“Pasek eksploratora” “{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}”=“Sendmail service” “{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}”=“Sendmail service” “{88C6C381-2E85-11D0-94DE-444553540000}”=“Folder pami©ci podr©cznej ActiveX” “{E6FB5E20-DE35-11CF-9C87-00AA005127ED}”=“WebCheck” “{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}”=“Subscription Mgr” “{F5175861-2688-11d0-9C5E-00AA00A45957}”=“Folder subskrypcji” “{08165EA0-E946-11CF-9C87-00AA005127ED}”=“WebCheckWebCrawler” “{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}”=“WebCheckChannelAgent” “{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}”=“TrayAgent” “{7D559C10-9FE9-11d0-93F7-00AA0059CE02}”=“Code Download Agent” “{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}”=“ConnectionAgent” “{D8BD2030-6FC9-11D0-864F-00AA006809D9}”=“PostAgent” “{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}”=“WebCheck SyncMgr Handler” “{352EC2B7-8B9A-11D1-B8AE-006008059382}”=“Menedľer aplikacji powoki” “{0B124F8F-91F0-11D1-B8B5-006008059382}”=“Wyliczanie zainstalowanych aplikacji” “{CFCCC7A0-A282-11D1-9082-006008059382}”=“Publikator aplikacji Darwin” “{e84fda7c-1d6a-45f6-b725-cb260c236066}”=“Shell Image Verbs” “{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}”=“Shell Image Data Factory” “{3F30C968-480A-4C6C-862D-EFC0897BB84B}”=“GDI+program wyodr©bniajĄcy miniatury plik˘w” “{9DBD2C50-62AD-11d0-B806-00C04FD706EC}”=“Informacje podsumowujĄce obsugi miniatur (DOCFILES)” “{EAB841A0-9550-11cf-8C16-00805F1408F3}”=“Wyodr©bnianie miniatur HTML” “{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}”=“Shell Image Property Handler” “{CC6EEFFB-43F6-46c5-9619-51D571967F7D}”=“Kreator publikacji w sieci Web” “{add36aa8-751a-4579-a266-d66f5202ccbb}”=“Zamawianie odbitek w sieci Web” “{6b33163c-76a5-4b6c-bf21-45de9cd503a1}”=“Obiekt powoki kreatora publikacji” “{58f1f272-9240-4f51-b6d4-fd63d1618591}”=“Kreator uzyskiwania profilu usugi Passport” “{7A9D77BD-5403-11d2-8785-2E0420524153}”=“Konta uľytkownik˘w” “{BD472F60-27FA-11cf-B8B4-444553540000}”=“Compressed (zipped) Folder Right Drag Handler” “{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}”=“Compressed (zipped) Folder SendTo Target” “{f39a0dc0-9cc8-11d0-a599-00c04fd64433}”=“Plik kanau” “{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}”=“Skr˘t kanau” “{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}”=“Obiekt obsugi kanau” “{f3da0dc0-9cc8-11d0-a599-00c04fd64437}”=“Channel Menu” “{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}”=“Channel Properties” “{63da6ec0-2e98-11cf-8d82-444553540000}”=“FTP Folders Webview” “{883373C3-BF89-11D1-BE35-080036B11A03}”=“Microsoft DocProp Shell Ext” “{A9CF0EAE-901A-4739-A481-E35B73E47F6D}”=“Microsoft DocProp Inplace Edit Box Control” “{8EE97210-FD1F-4B19-91DA-67914005F020}”=“Microsoft DocProp Inplace ML Edit Box Control” “{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}”=“Microsoft DocProp Inplace Droplist Combo Control” “{6A205B57-2567-4A2C-B881-F787FAB579A3}”=“Microsoft DocProp Inplace Calendar Control” “{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}”=“Microsoft DocProp Inplace Time Control” “{8A23E65E-31C2-11d0-891C-00A024AB2DBB}”=“Directory Query UI” “{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}”=“Shell properties for a DS object” “{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}”=“Directory Object Find” “{F020E586-5264-11d1-A532-0000F8757D7E}”=“Directory Start/Search Find” “{0D45D530-764B-11d0-A1CA-00AA00C16E65}”=“Directory Property UI” “{62AE1F9A-126A-11D0-A14B-0800361B1103}”=“Directory Context Menu Verbs” “{ECF03A33-103D-11d2-854D-006008059367}”=“MyDocs Copy Hook” “{ECF03A32-103D-11d2-854D-006008059367}”=“MyDocs Drop Target” “{4a7ded0a-ad25-11d0-98a8-0800361b1103}”=“MyDocs Properties” “{750fdf0e-2a26-11d1-a3ea-080036587f03}”=“Offline Files Menu” “{10CFC467-4392-11d2-8DB4-00C04FA31A66}”=“Offline Files Folder Options” “{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}”=“Folder plik˘w trybu offline” “{143A62C8-C33B-11D1-84FE-00C04FA34A14}”=“Microsoft Agent Character Property Sheet Handler” “{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}”=“DfsShell” “{60fd46de-f830-4894-a628-6fa81bc0190d}”="%DESC_PublishDropTarget%" “{7A80E4A8-8005-11D2-BCF8-00C04F72C717}”=“MMC Icon Handler” “{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}”=".CAB file viewer" “{32714800-2E5F-11d0-8B85-00AA0044F941}”="&Do os˘b…" “{8DD448E6-C188-4aed-AF92-44956194EB1F}”=“Windows Media Player Play as Playlist Context Menu Handler” “{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}”=“Windows Media Player Burn Audio CD Context Menu Handler” “{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}”=“Windows Media Player Add to Playlist Context Menu Handler” “{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}”=“Set Program Access and Defaults” “{596AB062-B4D2-4215-9F74-E9109B0A8153}”=“Previous Versions Property Page” “{9DB7A13C-F208-4981-8353-73CC61AE2783}”=“Previous Versions” “{692F0339-CBAA-47e6-B5B5-3B84DB604E87}”=“Extensions Manager Folder” “{21569614-B795-46b1-85F4-E737A8DC09AD}”=“Shell Search Band” “{A70C977A-BF00-412C-90B7-034C51DA2439}”=“NvCpl DesktopContext Class” “{FFB699E0-306A-11d3-8BD1-00104B6F7516}”=“Play on my TV helper” “{1CDB2949-8F65-4355-8456-263E7C208A5D}”=“Desktop Explorer” “{1E9B04FB-F9E5-4718-997B-B8DA88302A47}”=“Desktop Explorer Menu” “{1E9B04FB-F9E5-4718-997B-B8DA88302A48}”=“nView Desktop Context Menu” “{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}”=“IZArc DragDrop Menu” “{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}”=“IZArc Shell Context Menu” “{640167b4-59b0-47a6-b335-a6b3c0695aea}”=“Portable Media Devices” “{cc86590a-b60a-48e6-996b-41d25ed39a1e}”=“Portable Media Devices Menu” “{59850401-6664-101B-B21C-00AA004BA90B}”=“Microsoft Office Binder Unbind” “{0006F045-0000-0000-C000-000000000046}”=“Microsoft Outlook Custom Icon Handler” “{D3796116-94D3-4009-96D7-51578411CC7D}”=“Outpost Shell Extension” “{A5110426-177D-4e08-AB3F-785F10B4439C}”=“My Phones” “{45AC2688-0253-4ED8-97DE-B5370FA7D48A}”=“Shell Extension for Malware scanning” “{85E0B171-04FA-11D1-B7DA-00A0C90348D6}”=“Ochrona WWW” “{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}”=“Shell Extensions for RealOne Player” “{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}”=“UnlockerShellExtension” ********************************************************************************** HKEY ROOT CLASSIDS: ********************************************************************************** Files Found are not all bad files: C:\WINDOWS\SYSTEM32\ browseui.dll Fri 2006-06-23 13:16:56 A… 1 022 976 999,00 K cdfview.dll Fri 2006-06-23 13:16:56 A… 151 552 148,00 K cmuda.dll Fri 2006-06-16 1:03:48 A… 172 032 168,00 K cpuinf32.dll Sat 2006-08-05 17:12:58 A… 9 216 9,00 K danim.dll Fri 2006-06-23 13:16:56 A… 1 055 744 1,00 M divx.dll Mon 2006-07-03 23:40:50 A… 620 180 605,64 K dnsapi.dll Mon 2006-06-26 19:45:40 A… 148 480 145,00 K dxtmsft.dll Fri 2006-06-23 13:16:56 A… 357 888 349,50 K dxtrans.dll Fri 2006-06-23 13:16:56 A… 205 312 200,50 K extmgr.dll Fri 2006-06-23 13:16:56 … 55 808 54,50 K ff_vfw.dll Wed 2006-07-05 20:02:34 A… 5 120 5,00 K hlink.dll Fri 2006-07-21 10:29:02 A… 72 704 71,00 K iepeers.dll Fri 2006-06-23 13:16:56 A… 251 392 245,50 K inetcomm.dll Thu 2006-07-27 15:26:46 A… 679 424 663,50 K inseng.dll Fri 2006-06-23 13:16:56 A… 96 768 94,50 K jsproxy.dll Fri 2006-06-23 13:16:56 A… 16 384 16,00 K kernel32.dll Wed 2006-07-05 12:56:46 A… 1 012 736 989,00 K libdivx.dll Wed 2006-06-21 12:42:58 A… 1 044 480 1020,00 K mplvpx.dll Sat 2006-08-05 17:13:06 A… 245 760 240,00 K mshtml.dll Fri 2006-07-28 13:29:18 A… 3 075 072 2,93 M mshtmled.dll Fri 2006-06-23 13:16:56 A… 448 512 438,00 K msrating.dll Fri 2006-06-23 13:16:56 A… 146 432 143,00 K mstime.dll Fri 2006-06-23 13:16:58 A… 532 480 520,00 K netapi32.dll Fri 2006-07-14 17:41:10 A… 332 288 324,50 K ogg.dll Mon 2006-08-28 17:30:38 A… 45 056 44,00 K oggds.dll Mon 2006-08-28 17:31:28 A… 237 568 232,00 K pncrt.dll Wed 2006-08-30 10:37:20 A… 278 528 272,00 K pndx5016.dll Wed 2006-08-30 10:37:22 A… 6 656 6,50 K pndx5032.dll Wed 2006-08-30 10:37:22 A… 5 632 5,50 K pngfilt.dll Fri 2006-06-23 13:16:58 A… 39 424 38,50 K rasadhlp.dll Mon 2006-06-26 19:45:40 A… 8 192 8,00 K rasmans.dll Thu 2006-06-22 12:54:46 A… 181 248 177,00 K shdocvw.dll Fri 2006-06-23 13:16:58 A… 1 494 016 1,42 M shell32.dll Thu 2006-07-13 15:36:26 A… 8 482 304 8,09 M shlwapi.dll Fri 2006-06-23 13:16:58 A… 474 112 463,00 K skaner~1.dll Tue 2006-07-25 10:40:44 A… 677 888 662,00 K ssldivx.dll Wed 2006-06-21 12:42:58 A… 200 704 196,00 K urlmon.dll Tue 2006-07-25 22:41:42 A… 614 912 600,50 K vorbis.dll Mon 2006-08-28 17:30:46 A… 188 416 184,00 K vorbis~1.dll Mon 2006-08-28 17:31:20 A… 921 600 900,00 K wininet.dll Fri 2006-06-23 13:16:58 A… 661 504 646,00 K wmv9vcm.dll Sat 2006-08-05 17:14:22 A… 1 415 680 1,35 M x264vfw.dll Thu 2006-08-17 14:46:16 A… 591 890 578,02 K xacten~4.dll Fri 2006-07-28 9:30:32 A… 236 824 231,27 K xinput~3.dll Fri 2006-07-28 9:30:14 A… 62 744 61,27 K xpsp3res.dll Fri 2006-06-23 10:53:56 A… 25 600 25,00 K xvid.dll Mon 2006-08-28 17:29:56 A… 626 688 612,00 K xvidcore.dll Mon 2006-08-28 17:30:20 A… 679 936 664,00 K xvidvfw.dll Mon 2006-08-28 17:30:28 A… 155 648 152,00 K 49 items found: 49 files, 0 directories. Total of file sizes: 30 071 510 bytes 28,68 M Locate .tmp files: No matches found. ********************************************************************************** Directory Listing of system files: Wolumin w stacji C nie ma etykiety. Numer seryjny woluminu: B02C-8BD0 Katalog: C:\WINDOWS\System32 2006-08-28 17:30 2006-08-03 19:04 0 plik(˘w) 0 bajt˘w 2 katalog(˘w) 12˙066˙197˙504 bajt˘w wolnych

Bieniol · 11 Wrzesień 2006 14:24

Ten log również jest czysty…

adam9870 · 11 Wrzesień 2006 14:34

Dziwne…

Trzy logi nic nie wykazały więc może to coś poważniejszego (bardziej ukrywającego się?).

Dlatego proszę pokazać jeszcze logi z Gmera z takimi opcjami:

1. Zakładka Rootkit -> Zaznacz wszystko oprócz Pokaż wszystko -> Kliknij Szukaj -> Po skończeniu Kopiuj -> Wklej do posta (np. skrótem CRTL+V)

2. Zakładka Rootkit -> Zaznacz tylko Pokaż wszystko oraz Usługi -> Kliknij Szukaj -> Po skończeniu Kopiuj -> Wklej do posta (np. skrótem CRTL+V)

Prawdę mówiąc wątpię aby coś znalazł ale chyba nic więcej nam nie pozostaje 8)

Wojtas_16 · 11 Wrzesień 2006 15:17

Po wykonaniu tego punktu i otwieraniu przeglądarki Firefox system się automatycznie wyłączył i uruchomił na nowo. Po uruchomieniu się systemu nie pojawił się żaden komunikat o błędzie.

I co teraz ?

Bieniol · 11 Wrzesień 2006 15:35

Wejdź w dziennik zdarzeń:

Start --> uruchom --> eventvwr i sprawdź, czy nie masz błędów zaznaczonych kolorem czerwonym - jeżeli są to wrzuć ich screeny

Jak wstawić zrzut pulpitu?

Wojtas_16 · 11 Wrzesień 2006 16:14

W aplikacje czy w system ?

Bieniol · 11 Wrzesień 2006 16:16

Najlepiej i w tym i w tym

Ale wydaje mi się, że ten ostatni restart będzie w aplikacjach

Wojtas_16 · 11 Wrzesień 2006 17:02

http://img131.imageshack.us/img131/5669/1zb9.jpg

http://img452.imageshack.us/my.php?image=2rk4.jpg

http://img452.imageshack.us/img452/1323/3rc0.jpg

http://img131.imageshack.us/img131/843/4go8.jpg

http://img182.imageshack.us/img182/2866/5cc7.jpg

http://img131.imageshack.us/img131/8651/6ls1.jpg

http://img182.imageshack.us/img182/1599/7nz2.jpg

http://img182.imageshack.us/img182/2170/8sz2.jpg

http://img452.imageshack.us/img452/1880/9py4.jpg

To wszystko co znalazłem.

Cynique · 11 Wrzesień 2006 22:32

Po przeczytaniu twoich misternie wklepanych wypocin stwierdzam, ze:

XXXXXXX

Reszta do wiadomości Admina

Asterisk

Wojtas_16 · 12 Wrzesień 2006 06:38

Sory Phylby chyba miałem dać jeszcze tego loga:

PsService v1.1 - local and remote services viewer/controller Copyright © 2001-2003 Mark Russinovich Sysinternals - http://www.sysinternals.com SERVICE_NAME: Alerter Powiadamia wybranych użytkowników i komputery o alertach administracyjnych. Jeśli ta usługa zostanie zatrzymana, programy korzystające z alertów administracyjnych nie będą ich odbierać. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 4 DISABLED ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Urządzenie alarmowe DEPENDENCIES : LanmanWorkstation SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: ALG Zapewnia obsługę dodatków protokołów innych firm dla Udostępniania połączenia internetowego i Zapory systemu Windows. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\alg.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługa bramy warstwy aplikacji DEPENDENCIES : SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: AppMgmt Zapewnia usługi związane z instalacją oprogramowania, takie jak Przypisz, Opublikuj i Usuń. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Zarządzanie aplikacjami DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: AudioSrv Zarządza urządzeniami audio dla programów dla systemu Windows. Jeśli ta usługa zostanie zatrzymana, urządzenia audio i efekty nie będą działały właściwie. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : AudioGroup TAG : 0 DISPLAY_NAME : Windows Audio DEPENDENCIES : PlugPlay : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: AVP Zapewnia ochronę komputera przed wirusami, oprogramowaniem spywarem atakami hakerów, cyberprzestępców oraz spamem. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : “C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe” -r LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Kaspersky Internet Security 6.0 DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: BITS Przesyła pliki w tle przy użyciu niewykorzystanej przepustowości sieci. Jeśli ta usługa zostanie zatrzymana, funkcje takie jak Windows Update i MSN Explorer nie będą mogły automatycznie pobierać programów i innych informacji. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne mogą przestać przesyłać pliki, jeśli nie mają mechanizmu obsługi awarii dla przesyłania plików za pomocą programu IE w przypadku, gdy wyłączono BITS. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługa inteligentnego transferu w tle DEPENDENCIES : Rpcss SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 0 seconds FAILURE_ACTIONS : Restart DELAY: 60000 seconds : Restart DELAY: 60000 seconds : Restart DELAY: 60000 seconds SERVICE_NAME: Browser Utrzymuje aktualną listę komputerów w sieci i dostarcza ją do komputerów wyznaczonych jako przeglądarki. Jeśli ta usługa zostanie zatrzymana, lista nie będzie aktualizowana ani zachowywana. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Przeglądarka komputera DEPENDENCIES : LanmanWorkstation : LanmanServer SERVICE_START_NAME: LocalSystem SERVICE_NAME: cisvc Indeksuje zawartość i właściwości plików na komputerach lokalnych i zdalnych; zapewnia szybki dostęp do plików dzięki elastycznemu językowi wykonywania kwerend. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\cisvc.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługa indeksowania DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: ClipSrv Umożliwia Podglądowi Wieloschowka przechowywanie informacji i udostępnianie ich komputerom zdalnym. Jeśli ta usługa zostanie zatrzymana, Podgląd Wieloschowka nie będzie udostępniał informacji komputerom zdalnym. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 4 DISABLED ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\clipsrv.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : ClipBook DEPENDENCIES : NetDDE SERVICE_START_NAME: LocalSystem SERVICE_NAME: COMSysApp Zarządza konfiguracją i śledzeniem składników opartych na modelu Component Object Model (COM)+. Jeżeli usługa zostanie zatrzymana, większość składników opartych na modelu COM+ nie będzie działać właściwie. Jeżeli usługa ta zostanie wyłączona, wszystkie usługi od niej zależne nie będą mogły zostać uruchomione. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Aplikacja systemowa modelu COM+ DEPENDENCIES : rpcss SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 30 seconds FAILURE_ACTIONS : Restart DELAY: 1000 seconds : Restart DELAY: 5000 seconds : None DELAY: 1000 seconds SERVICE_NAME: CryptSvc Zapewnia trzy usługi zarządzania: Usługę bazy danych wykazu, która potwierdza podpisy plików systemu Windows, Usługę chronionego magazynu głównego, która dodaje i usuwa certyfikaty zaufanego głównego urzędu certyfikacji z tego komputera i Usługę kluczy, która pomaga zarejestrować ten komputer dla certyfikatów. Jeśli ta usługa zostanie zatrzymana, te usługi zarządzania nie będą działać właściwie. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługi kryptograficzne DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: DcomLaunch Zapewnia funkcje uruchamiania dla usług DCOM. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost -k DcomLaunch LOAD_ORDER_GROUP : Event Log TAG : 0 DISPLAY_NAME : Program uruchamiający proces serwera DCOM DEPENDENCIES : SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 0 seconds FAILURE_ACTIONS : Reboot DELAY: 60000 seconds SERVICE_NAME: Dhcp Zarządza konfiguracją sieci poprzez rejestrację i aktualizację adresów IP i nazw DNS. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TDI TAG : 0 DISPLAY_NAME : Klient DHCP DEPENDENCIES : Tcpip : Afd : NetBT SERVICE_START_NAME: LocalSystem SERVICE_NAME: dmadmin Konfiguruje dyski twarde i woluminy. Usługa działa tylko dla procesów konfiguracyjnych, a następnie zatrzymuje się. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\dmadmin.exe /com LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługa administracyjna Menedżera dysków logicznych DEPENDENCIES : RpcSs : PlugPlay : DmServer SERVICE_START_NAME: LocalSystem SERVICE_NAME: dmserver Wykrywa i monitoruje nowe dyski twarde i wysyła informacje o woluminach do usługi administracyjnej Menedżera dysków logicznych w celu konfiguracji. Jeśli ta usługa zostanie zatrzymana, informacje o stanie i konfiguracji dysków dynamicznych mogą stać się nieaktualne. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Menedżer dysków logicznych DEPENDENCIES : RpcSs : PlugPlay SERVICE_START_NAME: LocalSystem SERVICE_NAME: Dnscache Rozpoznaje i buforuje nazwy systemu Domain Name System (DNS). Jeśli ta usługa zostanie zatrzymana, ten komputer nie będzie mógł rozpoznawać nazw DNS ani lokalizować kontrolerów domen w usłudze Active Directory. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 4 DISABLED ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k NetworkService LOAD_ORDER_GROUP : TDI TAG : 0 DISPLAY_NAME : Klient DNS DEPENDENCIES : Tcpip SERVICE_START_NAME: NT AUTHORITY\NetworkService SERVICE_NAME: ERSvc Umożliwia raportowanie błędów dla usług i aplikacji działających w niestandardowych środowiskach. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługa raportowania błędów DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: Eventlog Umożliwia wyświetlanie w Podglądzie zdarzeń komunikatów dziennika zdarzeń pochodzących od programów dla systemu Windows i składników. Tej usługi nie można zatrzymać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe LOAD_ORDER_GROUP : Event log TAG : 0 DISPLAY_NAME : Dziennik zdarzeń DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: EventSystem Obsługuje usługę zawiadamiania o zdarzeniu systemowym (SENS, System Event Notification Service), która zapewnia automatyczną dystrybucję zdarzeń do subskrybowania składników modelu COM (Component Object Model). Jeżeli usługa zostanie zatrzymana, usługa SENS zostanie zamknięta i nie będzie mogła dostarczać informacji o logowaniu i wylogowaniu. Jeżeli usługa ta zostanie wyłączona, wszystkie usługi, które od niej zależą, nie będą mogły zostać uruchomione. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : Network TAG : 0 DISPLAY_NAME : System zdarzeń COM+ DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: FastUserSwitchingCompatibility Zapewnia zarządzanie aplikacjami, które wymagają pomocy w środowisku wielu użytkowników. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Zgodność szybkiego przełączania użytkowników DEPENDENCIES : TermService SERVICE_START_NAME: LocalSystem SERVICE_NAME: helpsvc Umożliwia działanie Centrum pomocy i obsługi technicznej na tym komputerze. Jeśli ta usługa zostanie zatrzymana, Centrum pomocy i obsługi technicznej będzie niedostępne. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Pomoc i obsługa techniczna DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 86400 seconds FAILURE_ACTIONS : Restart DELAY: 100 seconds : Restart DELAY: 100 seconds : None DELAY: 100 seconds SERVICE_NAME: HidServ Umożliwia rodzajowy dostęp do urządzeń interfejsu HID, który uaktywnia i obsługuje używanie wstępnie zdefiniowanych przycisków akcji na klawiaturze i innych urządzeń multimedialnych. Jeśli ta usługa zostanie zatrzymana, przyciski akcji sterowane przez tę usługę nie będą działać. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 4 DISABLED ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Dostęp do urządzeń interfejsu HID DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: hpdj (null) TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS START_TYPE : 4 DISABLED ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : hpdj DEPENDENCIES : Spooler SERVICE_START_NAME: LocalSystem SERVICE_NAME: HTTPFilter Ta usługa implementuje protokół HTTPS dla usługi HTTP przy użyciu protokołu SSL. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k HTTPFilter LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : HTTP SSL DEPENDENCIES : HTTP SERVICE_START_NAME: LocalSystem SERVICE_NAME: ImapiService Zarządza nagrywaniem dysków CD za pomocą interfejsu IMAPI (ang. Image Mastering Applications Programming Interface). Jeśli ta usługa zostanie zatrzymana, nie będzie można nagrywać dysków CD na tym komputerze. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\imapi.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługa COM nagrywania dysków CD IMAPI DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: lanmanserver Oferuje udostępnianie w sieci plików, drukarek i potoków dla tego komputera. Jeśli ta usługa zostanie zatrzymana, te funkcje staną się niedostępne. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Serwer DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: lanmanworkstation Tworzy i zachowuje połączenia sieciowe klientów z serwerami zdalnymi. Jeśli ta usługa zostanie zatrzymana, połączenia te staną się niedostępne. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : NetworkProvider TAG : 0 DISPLAY_NAME : Stacja robocza DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: LmHosts Włącza obsługę systemu NetBIOS w usłudze TCP/IP (NetBT) i rozpoznawanie nazw systemu NetBIOS. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService LOAD_ORDER_GROUP : TDI TAG : 0 DISPLAY_NAME : Pomoc TCP/IP NetBIOS DEPENDENCIES : NetBT : Afd SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: Messenger Przesyła wiadomości usług net send i Urządzenie alarmowe między klientami i serwerami. Ta usługa nie jest powiązana z usługą Windows Messenger. Jeśli ta usługa zostanie zatrzymana, wiadomości Urządzenia alarmowego nie będą przesyłane. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 4 DISABLED ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Posłaniec DEPENDENCIES : LanmanWorkstation : NetBIOS : PlugPlay : RpcSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: mnmsrvc Umożliwia autoryzowanym użytkownikom zdalne uzyskiwanie dostępu do Twojego pulpitu Windows, za pomocą programu NetMeeting. TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\mnmsrvc.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : NetMeeting Remote Desktop Sharing DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: MSDTC Koordynuje transakcje obejmujące kilku menedżerów zasobów, takich jak bazy danych, kolejki wiadomości i systemy plików. Jeżeli ta usługa zostanie zatrzymana, transakcje te nie zostaną przeprowadzone. Jeżeli usługa ta zostanie wyłączona, wszystkie usługi, które od niej zależą, nie będą mogły zostać uruchomione. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\msdtc.exe LOAD_ORDER_GROUP : MS Transactions TAG : 0 DISPLAY_NAME : Distributed Transaction Coordinator DEPENDENCIES : RPCSS : SamSS SERVICE_START_NAME: NT AUTHORITY\NetworkService SERVICE_NAME: MSIServer Dodaje, modyfikuje i usuwa aplikacje dostarczane jako pakiet Instalatora Windows (*.msi). Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\msiexec.exe /V LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Instalator Windows DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: NetDDE Zapewnia transport sieciowy i zabezpieczenia dla procesu dynamicznej wymiany danych (DDE - Dynamic Data Exchange) dla programów na tym samym lub innym komputerze. Jeśli ta usługa zostanie zatrzymana, transport DDE i zabezpieczenia będą niedostępne. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 4 DISABLED ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe LOAD_ORDER_GROUP : NetDDEGroup TAG : 0 DISPLAY_NAME : DDE sieci DEPENDENCIES : NetDDEDSDM SERVICE_START_NAME: LocalSystem SERVICE_NAME: NetDDEdsdm Zarządza udziałami sieciowymi DDE (Dynamic Data Exchange). Jeśli ta usługa zostanie zatrzymana, udziały sieciowe DDE będą niedostępne. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 4 DISABLED ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : DSDM DDE sieci DEPENDENCIES : : EGrLocalSystem : DSDM DDE sieci SERVICE_START_NAME: LocalSystem SERVICE_NAME: Netlogon Obsługuje uwierzytelnienie przekazujące zdarzeń logowania na konta w komputerach domeny. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe LOAD_ORDER_GROUP : RemoteValidation TAG : 0 DISPLAY_NAME : Logowanie do sieci DEPENDENCIES : LanmanWorkstation SERVICE_START_NAME: LocalSystem SERVICE_NAME: Netman Zarządza obiektami w folderze Połączenia sieciowe i telefoniczne, w którym można wyświetlać zarówno połączenia sieci lokalnej (LAN), jak i połączenia zdalne. TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Połączenia sieciowe DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: Nla Zbiera i magazynuje informacje o konfiguracji sieci i lokalizacji sieciowej, powiadamiając aplikacje o zmianach tych informacji. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Rozpoznawanie lokalizacji w sieci (NLA) DEPENDENCIES : Tcpip : Afd SERVICE_START_NAME: LocalSystem SERVICE_NAME: NtLmSsp Zapewnia zabezpieczenia dla programów korzystających z usługi zdalnego wywoływania procedury (RPC) i używają transportu innego niż potoki nazwane. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługa NT LM Security Support Provider DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: NtmsSvc (null) TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Magazyn wymienny DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: NVSvc Provides system and desktop level support to the NVIDIA display driver TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\nvsvc32.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : NVIDIA Display Driver Service DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: PlugPlay Umożliwia komputerowi rozpoznawanie i adaptowanie zmian sprzętu bez udziału lub przy nieznacznym udziale użytkownika. Zatrzymanie lub wyłączenie tej usługi spowoduje niestabilność systemu. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe LOAD_ORDER_GROUP : PlugPlay TAG : 0 DISPLAY_NAME : Plug and Play DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: PolicyAgent Zarządza zasadami zabezpieczeń IP i uruchamia sterownik ISAKMP/Oakley (IKE) i sterownik zabezpieczeń IP. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługi IPSEC DEPENDENCIES : RPCSS : Tcpip : IPSec SERVICE_START_NAME: LocalSystem SERVICE_NAME: ProtectedStorage Zapewnia chroniony magazyn dla wrażliwych danych, takich jak klucze prywatne, w celu ich ochrony przed dostępem niepowołanych usług, procesów lub użytkowników. TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Magazyn chroniony DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: RasAuto Tworzy połączenie do sieci zdalnej za każdym razem, gdy dowolny program odwołuje się do nazwy lub adresu zdalnego systemu DNS lub NetBIOS. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Menedżer autopołączenia dostępu zdalnego DEPENDENCIES : RasMan : Tapisrv SERVICE_START_NAME: LocalSystem SERVICE_NAME: RasMan Tworzy połączenie sieciowe. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Menedżer połączeń usługi Dostęp zdalny DEPENDENCIES : Tapisrv SERVICE_START_NAME: LocalSystem SERVICE_NAME: RDSessMgr Zarządza i steruje usługą Pomoc zdalna. Jeśli ta usługa zostanie zatrzymana, Pomoc zdalna stanie się niedostępna. Przed zatrzymaniem usługi zobacz kartę Zależności w oknie dialogowym Właściwości. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\sessmgr.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Menedżer sesji pomocy pulpitu zdalnego DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: RemoteAccess Oferuje usługi routingu firmom w środowiskach sieci lokalnych i rozległych. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 4 DISABLED ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Routing i dostęp zdalny DEPENDENCIES : RpcSS : +NetBIOSGroup SERVICE_START_NAME: LocalSystem SERVICE_NAME: RpcLocator Zarządza bazą danych usługi nazw RPC. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\locator.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Lokalizator usługi zdalnego wywołania procedury (RPC) DEPENDENCIES : LanmanWorkstation SERVICE_START_NAME: NT AUTHORITY\NetworkService SERVICE_NAME: RpcSs Zapewnia program mapowania punktów końcowych i rozmaite inne usługi RPC. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost -k rpcss LOAD_ORDER_GROUP : COM Infrastructure TAG : 0 DISPLAY_NAME : Zdalne wywoływanie procedur (RPC) DEPENDENCIES : SERVICE_START_NAME: NT Authority\NetworkService FAIL_RESET_PERIOD : 0 seconds FAILURE_ACTIONS : Reboot DELAY: 60000 seconds SERVICE_NAME: RSVP Zapewnia możliwość ustawienia sygnalizacji i kontroli ruchu lokalnego dla programów korzystających z technologii QoS i apletów kontrolujących. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\rsvp.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : QoS RSVP DEPENDENCIES : TcpIp : Afd : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: SamSs Przechowuje informacje o zabezpieczeniach dla kont użytkowników lokalnych. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe LOAD_ORDER_GROUP : LocalValidation TAG : 0 DISPLAY_NAME : Menedżer kont zabezpieczeń DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: SCardSvr Zarządza dostępem do kart inteligentnych czytanych przez ten komputer. Jeśli ta usługa zostanie zatrzymana, ten komputer nie będzie mógł czytać kart inteligentnych. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\System32\SCardSvr.exe LOAD_ORDER_GROUP : SmartCardGroup TAG : 0 DISPLAY_NAME : Karta inteligentna DEPENDENCIES : PlugPlay SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: Schedule Umożliwia użytkownikowi konfigurowanie i planowanie automatycznych zadań na tym komputerze. Jeśli ta usługa zostanie zatrzymana, zadania te nie będą uruchamiane o wyznaczonej godzinie. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : SchedulerGroup TAG : 0 DISPLAY_NAME : Harmonogram zadań DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: seclogon Umożliwia uruchamianie procesów z użyciem alternatywnych poświadczeń. Jeśli ta usługa zostanie zatrzymana, ten typ dostępu poprzez logowanie stanie się niedostępny. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Logowanie pomocnicze DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: SENS Śledzi zdarzenia systemowe, takie jak zdarzenia związane z logowaniem do systemu Windows, siecią i zasilaniem. Zawiadamia o tych zdarzeniach subskrybentów systemu zdarzeń COM+. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : Network TAG : 0 DISPLAY_NAME : Zawiadomienie o zdarzeniu systemowym DEPENDENCIES : EventSystem SERVICE_START_NAME: LocalSystem SERVICE_NAME: SharedAccess Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Zapora systemu Windows/Udostępnianie połączenia internetowego DEPENDENCIES : Netman : WinMgmt SERVICE_START_NAME: LocalSystem SERVICE_NAME: ShellHWDetection (null) TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : ShellSvcGroup TAG : 0 DISPLAY_NAME : Wykrywanie sprzętu powłoki DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: Spooler Ładuje pliki do pamięci w celu późniejszego wydrukowania. TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\spoolsv.exe LOAD_ORDER_GROUP : SpoolerGroup TAG : 0 DISPLAY_NAME : Bufor wydruku DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 86400 seconds FAILURE_ACTIONS : Restart DELAY: 60000 seconds : Restart DELAY: 60000 seconds : None DELAY: 0 seconds SERVICE_NAME: srservice Wykonuje funkcje przywracania systemu. Aby zatrzymać usługę, wyłącz Przywracanie systemu na karcie Przywracanie systemu w Mój komputer->Właściwości TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługa przywracania systemu DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: SSDPSRV Włącza odnajdywanie urządzeń UPnP w tej sieci domowej. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługa odnajdywania SSDP DEPENDENCIES : HTTP SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: stisvc Zapewnia usługi pozyskiwania obrazów dla skanerów i aparatów fotograficznych. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k imgsvc LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Windows Image Acquisition (WIA) DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: SwPrv Zarządza kopiami woluminów w tle opartymi na oprogramowaniu, wykonanymi przez Usługę kopiowania woluminów w tle. Jeżeli usługa jest zatrzymana, nie można zarządzać kopiami woluminów w tle opartymi na oprogramowaniu. Jeżeli ta usługa jest wyłączona, uruchomienie każdej usługi jawnie od niej zależnej nie powiedzie się. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{4D96589A-3C23-4EB5-89A7-4E595556AC8F} LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : MS Software Shadow Copy Provider DEPENDENCIES : rpcss SERVICE_START_NAME: LocalSystem SERVICE_NAME: SysmonLog Zbiera dane dotyczące wydajności z komputerów lokalnych i zdalnych w oparciu o wstępnie skonfigurowane parametry harmonogramu, a następnie zapisuje dane do dziennika lub wywołuje alert. Jeśli ta usługa zostanie zatrzymana, informacje o wydajności nie będą zbierane. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\smlogsvc.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Dzienniki wydajności i alerty DEPENDENCIES : SERVICE_START_NAME: NT Authority\NetworkService SERVICE_NAME: TapiSrv Zapewnia obsługę telefonii API (TAPI) dla programów sterujących urządzeniami telefonii i połączeniami głosowymi opartymi na protokole IP na komputerze lokalnym i, za pośrednictwem sieci LAN, na serwerach, na których działa ta usługa. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Telefonia DEPENDENCIES : PlugPlay : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: TermService Pozwala wielu użytkownikom na interaktywne połączenia z komputerem oraz na wyświetlanie pulpitów i aplikacji na komputerach zdalnych. Podstawa dla pulpitu zdalnego (w tym pulpitu zdalnego dla administratorów), szybkiego przełączania użytkowników, pomocy zdalnej i serwera terminali. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost -k DComLaunch LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługi terminalowe DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: Themes Zapewnia zarządzanie kompozycjami obsługiwanymi przez użytkownika. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : UIGroup TAG : 0 DISPLAY_NAME : Kompozycje DEPENDENCIES : SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 86400 seconds FAILURE_ACTIONS : Restart DELAY: 60000 seconds : Restart DELAY: 60000 seconds : None DELAY: 0 seconds SERVICE_NAME: TrkWks Konserwuje łącza między plikami systemu NTFS w komputerze lub komputerach w domenie sieciowej. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Klient śledzenia łączy rozproszonych DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: UMWdf Enables Windows user mode drivers. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\wdfmgr.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Windows User Mode Driver Framework DEPENDENCIES : RpcSs SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: upnphost Zapewnia obsługę urządzeń hosta typu Universal Plug and Play. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Host uniwersalnego urządzenia Plug and Play DEPENDENCIES : SSDPSRV : HTTP SERVICE_START_NAME: NT AUTHORITY\LocalService FAIL_RESET_PERIOD : -1 seconds FAILURE_ACTIONS : Restart DELAY: 0 seconds SERVICE_NAME: UPS Zarządza zasilaczem awaryjnym (UPS) podłączonym do komputera. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\ups.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Zasilacz awaryjny (UPS) DEPENDENCIES : SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: VSS Zarządza i implementuje kopie woluminów w tle używane dla kopii zapasowej i do innych celów. Jeśli ta usługa zostanie zatrzymana, kopie w tle będą niedostępne dla kopii zapasowej, co może spowodować błąd kopii zapasowej. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\vssvc.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Kopiowanie woluminów w tle DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: W32Time Zachowuje synchronizację daty i godziny na wszystkich klientach i serwerach w sieci. Jeśli ta usługa zostanie zatrzymana, synchronizacja daty i godziny stanie się niedostępna. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługa Czas systemu Windows DEPENDENCIES : SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 5 seconds FAILURE_ACTIONS : Restart DELAY: 60000 seconds : Restart DELAY: 60000 seconds SERVICE_NAME: WebClient Umożliwia programom dla systemu Windows tworzenie, dostęp i modyfikowanie plików w Internecie. Jeśli ta usługa zostanie zatrzymana, funkcje te będą niedostępne. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService LOAD_ORDER_GROUP : NetworkProvider TAG : 0 DISPLAY_NAME : WebClient DEPENDENCIES : MRxDAV SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: winmgmt Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Instrumentacja zarządzania Windows DEPENDENCIES : RPCSS : Eventlog SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 86400 seconds FAILURE_ACTIONS : Restart DELAY: 60000 seconds : Restart DELAY: 60000 seconds SERVICE_NAME: WmdmPmSN Pobiera numer seryjny dowolnego odtwarzacza przenośnego podłączonego do tego komputera. Jeśli usługa ta jest zatrzymana, chroniona zawartość może nie zostać pobrana do urządzenia. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługa numeru seryjnego multimediów przenośnych DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: WmiApSrv Udostępnia informacje biblioteki wydajności uzyskane do dostawców WMI HiPerf. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\wbem\wmiapsrv.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Karta wydajności WMI DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: wscsvc Monitoruje ustawienia zabezpieczeń i konfiguracje systemu. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Centrum zabezpieczeń DEPENDENCIES : RpcSs : winmgmt SERVICE_START_NAME: LocalSystem SERVICE_NAME: wuauserv Umożliwia pobieranie oraz instalowanie aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, ten komputer nie będzie mógł używać funkcji Aktualizacje automatyczne lub witryny sieci Web Windows Update. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Aktualizacje automatyczne DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: WZCSVC Zapewnia automatyczną konfigurację kart 802.11 TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TDI TAG : 0 DISPLAY_NAME : Konfiguracja zerowej sieci bezprzewodowej DEPENDENCIES : RpcSs : Ndisuio SERVICE_START_NAME: LocalSystem SERVICE_NAME: xmlprov Zarządza plikami konfiguracyjnymi XML na bazie domeny w celu automatycznego dostarczania sieci. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Usługa dostarczania sieci DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem

Złączono Posta : 12 Wrzesień 2006, 10:23:56

adam9870 poradziłem sobie z Gmerem

GMER 1.0.10.10122 - http://www.gmer.net Rootkit 2006-09-12 09:28:21 Windows 5.1.2600 Dodatek Service Pack 2 ---- System - GMER 1.0.10 ---- SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwClose SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcess SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcessEx SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSection SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSymbolicLinkObject SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateThread SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteValueKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDuplicateObject SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwFlushKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwInitializeRegistry SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey2 SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwNotifyChangeKey SSDT kl1.sys ZwOpenFile SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenProcess SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenSection SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryMultipleValueKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryValueKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwReplaceKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwRestoreKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwResumeThread SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSaveKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetContextThread SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationFile SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationProcess SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetSecurityObject SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetValueKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSuspendThread SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwTerminateProcess SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwUnloadKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwWriteVirtualMemory SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[284] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[285] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[286] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[287] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[288] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[289] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[290] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[291] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[292] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[293] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[294] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[295] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[296] ---- Files - GMER 1.0.10 ---- File C:\System Volume Information\MountPointManagerRemoteDatabase File C:\System Volume Information\tracking.log File C:\System Volume Information_restore{4B2BE745-92E6-48C5-AED9-7D9C62017F65} File D:\System Volume Information\catalog.wci File D:\System Volume Information\MountPointManagerRemoteDatabase File D:\System Volume Information\tracking.log File D:\System Volume Information_restore{4B2BE745-92E6-48C5-AED9-7D9C62017F65} File D:\System Volume Information_restore{B2332794-8BC3-45DA-91AB-CD729A62862B} ---- EOF - GMER 1.0.10 ----

Złączono Posta : 12 Wrzesień 2006, 10:42:00

adam9870 nie mogę dać 2 loga bo post nie chce się wysłać

Co mam zrobić ?

adam9870 · 12 Wrzesień 2006 13:12

Witam,

Otrzymałem dziś na PW log z Gmera. Poniżej je prezentuję aby jakiś ekspert mógł jego sprawdzić ponieważ wygląda mi trochę podejrzanie a ja nie znam się za bardzo na Gmerze.

Log 1:

GMER 1.0.10.10122 - http://www.gmer.net Rootkit 2006-09-12 09:44:44 Windows 5.1.2600 Dodatek Service Pack 2 ---- System - GMER 1.0.10 ---- SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwClose <-- ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcess – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcessEx – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSection – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSymbolicLinkObject – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateThread – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteValueKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDuplicateObject – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwFlushKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwInitializeRegistry – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey2 – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwNotifyChangeKey – ROOTKIT ! SSDT kl1.sys ZwOpenFile – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenProcess – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenSection – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryMultipleValueKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryValueKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwReplaceKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwRestoreKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwResumeThread – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSaveKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetContextThread – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationFile – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationProcess – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetSecurityObject – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetValueKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSuspendThread – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwTerminateProcess – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwUnloadKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwWriteVirtualMemory – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[284] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[285] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[286] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[287] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[288] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[289] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[290] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[291] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[292] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[293] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[294] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[295] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[296] – ROOTKIT ! INT 0x00 \WINDOWS\system32\ntoskrnl.exe 804DF350 INT 0x01 \WINDOWS\system32\ntoskrnl.exe 804DF4CB INT 0x03 \WINDOWS\system32\ntoskrnl.exe 804DF89D INT 0x04 \WINDOWS\system32\ntoskrnl.exe 804DFA20 INT 0x05 \WINDOWS\system32\ntoskrnl.exe 804DFB81 INT 0x06 \WINDOWS\system32\ntoskrnl.exe 804DFD02 INT 0x07 \WINDOWS\system32\ntoskrnl.exe 804E036A INT 0x09 \WINDOWS\system32\ntoskrnl.exe 804E078F INT 0x0A \WINDOWS\system32\ntoskrnl.exe 804E08AC INT 0x0B \WINDOWS\system32\ntoskrnl.exe 804E09E9 INT 0x0C \WINDOWS\system32\ntoskrnl.exe 804E0C42 INT 0x0D \WINDOWS\system32\ntoskrnl.exe 804E0F38 INT 0x0E \WINDOWS\system32\ntoskrnl.exe 804E164F INT 0x0F \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x10 \WINDOWS\system32\ntoskrnl.exe 804E1A99 INT 0x11 \WINDOWS\system32\ntoskrnl.exe 804E1BCE INT 0x12 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x13 \WINDOWS\system32\ntoskrnl.exe 804E1D34 INT 0x14 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x15 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x16 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x17 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x18 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x19 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x1A \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x1B \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x1C \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x1D \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x1E \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x1F \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x2A \WINDOWS\system32\ntoskrnl.exe 804DEB92 INT 0x2B \WINDOWS\system32\ntoskrnl.exe 804DEC95 INT 0x2C \WINDOWS\system32\ntoskrnl.exe 804DEE34 INT 0x2D \WINDOWS\system32\ntoskrnl.exe 804DF77C INT 0x2E \WINDOWS\system32\ntoskrnl.exe 804DE631 INT 0x2F \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x30 \WINDOWS\system32\hal.dll 806F2D50 INT 0x32 \WINDOWS\system32\ntoskrnl.exe 804DDD04 INT 0x36 \WINDOWS\system32\ntoskrnl.exe 804DDD2C INT 0x37 \WINDOWS\system32\ntoskrnl.exe 804DDD36 INT 0x38 \WINDOWS\system32\hal.dll 806ECEF0 INT 0x3D \WINDOWS\system32\ntoskrnl.exe 804DDD72 INT 0x40 \WINDOWS\system32\ntoskrnl.exe 804DDD90 INT 0x41 \WINDOWS\system32\ntoskrnl.exe 804DDD9A INT 0x42 \WINDOWS\system32\ntoskrnl.exe 804DDDA4 INT 0x43 \WINDOWS\system32\ntoskrnl.exe 804DDDAE INT 0x44 \WINDOWS\system32\ntoskrnl.exe 804DDDB8 INT 0x45 \WINDOWS\system32\ntoskrnl.exe 804DDDC2 INT 0x46 \WINDOWS\system32\ntoskrnl.exe 804DDDCC INT 0x47 \WINDOWS\system32\ntoskrnl.exe 804DDDD6 INT 0x48 \WINDOWS\system32\ntoskrnl.exe 804DDDE0 INT 0x49 \WINDOWS\system32\ntoskrnl.exe 804DDDEA INT 0x4A \WINDOWS\system32\ntoskrnl.exe 804DDDF4 INT 0x4B \WINDOWS\system32\ntoskrnl.exe 804DDDFE INT 0x4C \WINDOWS\system32\ntoskrnl.exe 804DDE08 INT 0x4D \WINDOWS\system32\ntoskrnl.exe 804DDE12 INT 0x4E \WINDOWS\system32\ntoskrnl.exe 804DDE1C INT 0x4F \WINDOWS\system32\ntoskrnl.exe 804DDE26 INT 0x50 \WINDOWS\system32\ntoskrnl.exe 804DDE30 INT 0x51 \WINDOWS\system32\ntoskrnl.exe 804DDE3A INT 0x52 \WINDOWS\system32\ntoskrnl.exe 804DDE44 INT 0x53 \WINDOWS\system32\ntoskrnl.exe 804DDE4E INT 0x54 \WINDOWS\system32\ntoskrnl.exe 804DDE58 INT 0x55 \WINDOWS\system32\ntoskrnl.exe 804DDE62 INT 0x56 \WINDOWS\system32\ntoskrnl.exe 804DDE6C INT 0x57 \WINDOWS\system32\ntoskrnl.exe 804DDE76 INT 0x58 \WINDOWS\system32\ntoskrnl.exe 804DDE80 INT 0x59 \WINDOWS\system32\ntoskrnl.exe 804DDE8A INT 0x5A \WINDOWS\system32\ntoskrnl.exe 804DDE94 INT 0x5B \WINDOWS\system32\ntoskrnl.exe 804DDE9E INT 0x5C \WINDOWS\system32\ntoskrnl.exe 804DDEA8 INT 0x5D \WINDOWS\system32\ntoskrnl.exe 804DDEB2 INT 0x5E \WINDOWS\system32\ntoskrnl.exe 804DDEBC INT 0x5F \WINDOWS\system32\ntoskrnl.exe 804DDEC6 INT 0x60 \WINDOWS\system32\ntoskrnl.exe 804DDED0 INT 0x61 \WINDOWS\system32\ntoskrnl.exe 804DDEDA INT 0x62 \WINDOWS\system32\ntoskrnl.exe 804DDEE4 INT 0x63 \WINDOWS\system32\ntoskrnl.exe 804DDEEE INT 0x64 \WINDOWS\system32\ntoskrnl.exe 804DDEF8 INT 0x65 \WINDOWS\system32\ntoskrnl.exe 804DDF02 INT 0x66 \WINDOWS\system32\ntoskrnl.exe 804DDF0C INT 0x67 \WINDOWS\system32\ntoskrnl.exe 804DDF16 INT 0x68 \WINDOWS\system32\ntoskrnl.exe 804DDF20 INT 0x69 \WINDOWS\system32\ntoskrnl.exe 804DDF2A INT 0x6A \WINDOWS\system32\ntoskrnl.exe 804DDF34 INT 0x6B \WINDOWS\system32\ntoskrnl.exe 804DDF3E INT 0x6C \WINDOWS\system32\ntoskrnl.exe 804DDF48 INT 0x6D \WINDOWS\system32\ntoskrnl.exe 804DDF52 INT 0x6E \WINDOWS\system32\ntoskrnl.exe 804DDF5C INT 0x6F \WINDOWS\system32\ntoskrnl.exe 804DDF66 INT 0x70 \WINDOWS\system32\ntoskrnl.exe 804DDF70 INT 0x71 \WINDOWS\system32\ntoskrnl.exe 804DDF7A INT 0x72 \WINDOWS\system32\ntoskrnl.exe 804DDF84 INT 0x73 \WINDOWS\system32\ntoskrnl.exe 804DDF8E INT 0x74 \WINDOWS\system32\ntoskrnl.exe 804DDF98 INT 0x75 \WINDOWS\system32\ntoskrnl.exe 804DDFA2 INT 0x76 \WINDOWS\system32\ntoskrnl.exe 804DDFAC INT 0x77 \WINDOWS\system32\ntoskrnl.exe 804DDFB6 INT 0x78 \WINDOWS\system32\ntoskrnl.exe 804DDFC0 INT 0x79 \WINDOWS\system32\ntoskrnl.exe 804DDFCA INT 0x7A \WINDOWS\system32\ntoskrnl.exe 804DDFD4 INT 0x7B \WINDOWS\system32\ntoskrnl.exe 804DDFDE INT 0x7C \WINDOWS\system32\ntoskrnl.exe 804DDFE8 INT 0x7D \WINDOWS\system32\ntoskrnl.exe 804DDFF2 INT 0x7E \WINDOWS\system32\ntoskrnl.exe 804DDFFC INT 0x7F \WINDOWS\system32\ntoskrnl.exe 804DE006 INT 0x80 \WINDOWS\system32\ntoskrnl.exe 804DE010 INT 0x81 \WINDOWS\system32\ntoskrnl.exe 804DE01A INT 0x82 \WINDOWS\system32\ntoskrnl.exe 804DE024 INT 0x83 \WINDOWS\system32\ntoskrnl.exe 804DE02E INT 0x84 \WINDOWS\system32\ntoskrnl.exe 804DE038 INT 0x85 \WINDOWS\system32\ntoskrnl.exe 804DE042 INT 0x86 \WINDOWS\system32\ntoskrnl.exe 804DE04C INT 0x87 \WINDOWS\system32\ntoskrnl.exe 804DE056 INT 0x88 \WINDOWS\system32\ntoskrnl.exe 804DE060 INT 0x89 \WINDOWS\system32\ntoskrnl.exe 804DE06A INT 0x8A \WINDOWS\system32\ntoskrnl.exe 804DE074 INT 0x8B \WINDOWS\system32\ntoskrnl.exe 804DE07E INT 0x8C \WINDOWS\system32\ntoskrnl.exe 804DE088 INT 0x8D \WINDOWS\system32\ntoskrnl.exe 804DE092 INT 0x8E \WINDOWS\system32\ntoskrnl.exe 804DE09C INT 0x8F \WINDOWS\system32\ntoskrnl.exe 804DE0A6 INT 0x90 \WINDOWS\system32\ntoskrnl.exe 804DE0B0 INT 0x91 \WINDOWS\system32\ntoskrnl.exe 804DE0BA INT 0x92 \WINDOWS\system32\ntoskrnl.exe 804DE0C4 INT 0x93 \WINDOWS\system32\ntoskrnl.exe 804DE0CE INT 0x94 \WINDOWS\system32\ntoskrnl.exe 804DE0D8 INT 0x95 \WINDOWS\system32\ntoskrnl.exe 804DE0E2 INT 0x96 \WINDOWS\system32\ntoskrnl.exe 804DE0EC INT 0x97 \WINDOWS\system32\ntoskrnl.exe 804DE0F6 INT 0x98 \WINDOWS\system32\ntoskrnl.exe 804DE100 INT 0x99 \WINDOWS\system32\ntoskrnl.exe 804DE10A INT 0x9A \WINDOWS\system32\ntoskrnl.exe 804DE114 INT 0x9B \WINDOWS\system32\ntoskrnl.exe 804DE11E INT 0x9C \WINDOWS\system32\ntoskrnl.exe 804DE128 INT 0x9D \WINDOWS\system32\ntoskrnl.exe 804DE132 INT 0x9E \WINDOWS\system32\ntoskrnl.exe 804DE13C INT 0x9F \WINDOWS\system32\ntoskrnl.exe 804DE146 INT 0xA0 \WINDOWS\system32\ntoskrnl.exe 804DE150 INT 0xA1 \WINDOWS\system32\ntoskrnl.exe 804DE15A INT 0xA2 \WINDOWS\system32\ntoskrnl.exe 804DE164 INT 0xA3 \WINDOWS\system32\ntoskrnl.exe 804DE16E INT 0xA4 \WINDOWS\system32\ntoskrnl.exe 804DE178 INT 0xA5 \WINDOWS\system32\ntoskrnl.exe 804DE182 INT 0xA6 \WINDOWS\system32\ntoskrnl.exe 804DE18C INT 0xA7 \WINDOWS\system32\ntoskrnl.exe 804DE196 INT 0xA8 \WINDOWS\system32\ntoskrnl.exe 804DE1A0 INT 0xA9 \WINDOWS\system32\ntoskrnl.exe 804DE1AA INT 0xAA \WINDOWS\system32\ntoskrnl.exe 804DE1B4 INT 0xAB \WINDOWS\system32\ntoskrnl.exe 804DE1BE INT 0xAC \WINDOWS\system32\ntoskrnl.exe 804DE1C8 INT 0xAD \WINDOWS\system32\ntoskrnl.exe 804DE1D2 INT 0xAE \WINDOWS\system32\ntoskrnl.exe 804DE1DC INT 0xAF \WINDOWS\system32\ntoskrnl.exe 804DE1E6 INT 0xB0 \WINDOWS\system32\ntoskrnl.exe 804DE1F0 INT 0xB1 \WINDOWS\system32\ntoskrnl.exe 804DE1FA INT 0xB2 \WINDOWS\system32\ntoskrnl.exe 804DE204 INT 0xB3 \WINDOWS\system32\ntoskrnl.exe 804DE20E INT 0xB4 \WINDOWS\system32\ntoskrnl.exe 804DE218 INT 0xB5 \WINDOWS\system32\ntoskrnl.exe 804DE222 INT 0xB6 \WINDOWS\system32\ntoskrnl.exe 804DE22C INT 0xB7 \WINDOWS\system32\ntoskrnl.exe 804DE236 INT 0xB8 \WINDOWS\system32\ntoskrnl.exe 804DE240 INT 0xB9 \WINDOWS\system32\ntoskrnl.exe 804DE24A INT 0xBA \WINDOWS\system32\ntoskrnl.exe 804DE254 INT 0xBB \WINDOWS\system32\ntoskrnl.exe 804DE25E INT 0xBC \WINDOWS\system32\ntoskrnl.exe 804DE268 INT 0xBD \WINDOWS\system32\ntoskrnl.exe 804DE272 INT 0xBE \WINDOWS\system32\ntoskrnl.exe 804DE27C INT 0xBF \WINDOWS\system32\ntoskrnl.exe 804DE286 INT 0xC0 \WINDOWS\system32\ntoskrnl.exe 804DE290 INT 0xC1 \WINDOWS\system32\ntoskrnl.exe 804DE29A INT 0xC2 \WINDOWS\system32\ntoskrnl.exe 804DE2A4 INT 0xC3 \WINDOWS\system32\ntoskrnl.exe 804DE2AE INT 0xC4 \WINDOWS\system32\ntoskrnl.exe 804DE2B8 INT 0xC5 \WINDOWS\system32\ntoskrnl.exe 804DE2C2 INT 0xC6 \WINDOWS\system32\ntoskrnl.exe 804DE2CC INT 0xC7 \WINDOWS\system32\ntoskrnl.exe 804DE2D6 INT 0xC8 \WINDOWS\system32\ntoskrnl.exe 804DE2E0 INT 0xC9 \WINDOWS\system32\ntoskrnl.exe 804DE2EA INT 0xCA \WINDOWS\system32\ntoskrnl.exe 804DE2F4 INT 0xCB \WINDOWS\system32\ntoskrnl.exe 804DE2FE INT 0xCC \WINDOWS\system32\ntoskrnl.exe 804DE308 INT 0xCD \WINDOWS\system32\ntoskrnl.exe 804DE312 INT 0xCE \WINDOWS\system32\ntoskrnl.exe 804DE31C INT 0xCF \WINDOWS\system32\ntoskrnl.exe 804DE326 INT 0xD0 \WINDOWS\system32\ntoskrnl.exe 804DE330 INT 0xD1 \WINDOWS\system32\ntoskrnl.exe 804DE33A INT 0xD2 \WINDOWS\system32\ntoskrnl.exe 804DE344 INT 0xD3 \WINDOWS\system32\ntoskrnl.exe 804DE34E INT 0xD4 \WINDOWS\system32\ntoskrnl.exe 804DE358 INT 0xD5 \WINDOWS\system32\ntoskrnl.exe 804DE362 INT 0xD6 \WINDOWS\system32\ntoskrnl.exe 804DE36C INT 0xD7 \WINDOWS\system32\ntoskrnl.exe 804DE376 INT 0xD8 \WINDOWS\system32\ntoskrnl.exe 804DE380 INT 0xD9 \WINDOWS\system32\ntoskrnl.exe 804DE38A INT 0xDA \WINDOWS\system32\ntoskrnl.exe 804DE394 INT 0xDB \WINDOWS\system32\ntoskrnl.exe 804DE39E INT 0xDC \WINDOWS\system32\ntoskrnl.exe 804DE3A8 INT 0xDD \WINDOWS\system32\ntoskrnl.exe 804DE3B2 INT 0xDE \WINDOWS\system32\ntoskrnl.exe 804DE3BC INT 0xDF \WINDOWS\system32\ntoskrnl.exe 804DE3C6 INT 0xE0 \WINDOWS\system32\ntoskrnl.exe 804DE3D0 INT 0xE1 \WINDOWS\system32\ntoskrnl.exe 804DE3DA INT 0xE2 \WINDOWS\system32\ntoskrnl.exe 804DE3E4 INT 0xE3 \WINDOWS\system32\ntoskrnl.exe 804DE3EE INT 0xE4 \WINDOWS\system32\ntoskrnl.exe 804DE3F8 INT 0xE5 \WINDOWS\system32\ntoskrnl.exe 804DE402 INT 0xE6 \WINDOWS\system32\ntoskrnl.exe 804DE40C INT 0xE7 \WINDOWS\system32\ntoskrnl.exe 804DE416 INT 0xE8 \WINDOWS\system32\ntoskrnl.exe 804DE420 INT 0xE9 \WINDOWS\system32\ntoskrnl.exe 804DE42A INT 0xEA \WINDOWS\system32\ntoskrnl.exe 804DE434 INT 0xEB \WINDOWS\system32\ntoskrnl.exe 804DE43E INT 0xEC \WINDOWS\system32\ntoskrnl.exe 804DE448 INT 0xED \WINDOWS\system32\ntoskrnl.exe 804DE452 INT 0xEE \WINDOWS\system32\ntoskrnl.exe 804DE459 INT 0xEF \WINDOWS\system32\ntoskrnl.exe 804DE460 INT 0xF0 \WINDOWS\system32\ntoskrnl.exe 804DE467 INT 0xF1 \WINDOWS\system32\ntoskrnl.exe 804DE46E INT 0xF2 \WINDOWS\system32\ntoskrnl.exe 804DE475 INT 0xF3 \WINDOWS\system32\ntoskrnl.exe 804DE47C INT 0xF4 \WINDOWS\system32\ntoskrnl.exe 804DE483 INT 0xF5 \WINDOWS\system32\ntoskrnl.exe 804DE48A INT 0xF6 \WINDOWS\system32\ntoskrnl.exe 804DE491 INT 0xF7 \WINDOWS\system32\ntoskrnl.exe 804DE498 INT 0xF8 \WINDOWS\system32\ntoskrnl.exe 804DE49F INT 0xF9 \WINDOWS\system32\ntoskrnl.exe 804DE4A6 INT 0xFA \WINDOWS\system32\ntoskrnl.exe 804DE4AD INT 0xFB \WINDOWS\system32\ntoskrnl.exe 804DE4B4 INT 0xFC \WINDOWS\system32\ntoskrnl.exe 804DE4BB INT 0xFD \WINDOWS\system32\ntoskrnl.exe 804DE4C2 INT 0xFE \WINDOWS\system32\ntoskrnl.exe 804DE4C9 INT 0xFF \WINDOWS\system32\ntoskrnl.exe 804DE4D0 SYSENTER \WINDOWS\system32\ntoskrnl.exe 804DE6F0 ---- Devices - GMER 1.0.10 ---- Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F83EDE37] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [805031BE] ntoskrnl.exe Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSEIRP_MJ_READ [F83ED320] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F83CAEE4] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F83C9BCA] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F83EE4D1] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F83CBA58] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F83EE4D1] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F83EE4D1] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F83F3A68] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F83EE61C] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F83EE61C] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F83F02C3] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F83F56D5] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F83EE61C] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [805031BE] ntoskrnl.exe Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F83DC621] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F8441B11] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F83EDCEE] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [805031BE] ntoskrnl.exe Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F83EE61C] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F83EE61C] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [805031BE] ntoskrnl.exe Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [805031BE] ntoskrnl.exe Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [805031BE] ntoskrnl.exe Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F83EE4D1] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP [F83EE4D1] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP_POWER [F840CF3F] Ntfs.sys Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE [b9762C8A] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE_NAMED_PIPE [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLOSEIRP_MJ_READ [b975F7C8] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_WRITE [b975B60A] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_INFORMATION [b975BAED] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_INFORMATION [b9766958] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_EA [b9769821] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_EA [b977238A] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FLUSH_BUFFERS [b9771D49] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_VOLUME_INFORMATION [b976BBBE] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_VOLUME_INFORMATION [b976C331] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DIRECTORY_CONTROL [b977A4F4] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FILE_SYSTEM_CONTROL [b9762B37] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DEVICE_CONTROL [b975E948] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_INTERNAL_DEVICE_CONTROL [b976846B] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SHUTDOWN [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_LOCK_CONTROL [b977979D] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLEANUP [b9778C4A] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE_MAILSLOT [b975F2FD] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_SECURITY [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_SECURITY [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_POWER [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SYSTEM_CONTROL [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DEVICE_CHANGE [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_QUOTA [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_QUOTA [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_PNP [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_PNP_POWER [b97791DB] Fastfat.SYS Device \FileSystem\Mup \Dfs IRP_MJ_CREATE [F8385A80] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_CREATE_NAMED_PIPE [F8385A80] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_CLOSEIRP_MJ_READ [F838AA76] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_WRITE [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_QUERY_INFORMATION [F8387159] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SET_INFORMATION [F8392B88] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_QUERY_EA [F8392DF2] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SET_EA [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_FLUSH_BUFFERS [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_QUERY_VOLUME_INFORMATION [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SET_VOLUME_INFORMATION [F8397492] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_DIRECTORY_CONTROL [F8397585] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_FILE_SYSTEM_CONTROL [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_DEVICE_CONTROL [F838A5D2] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SHUTDOWN [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_LOCK_CONTROL [F839233D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_CLEANUP [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_CREATE_MAILSLOT [F838AAB9] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_QUERY_SECURITY [F8385A80] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SET_SECURITY [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_POWER [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SYSTEM_CONTROL [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_DEVICE_CHANGE [F838135A] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_QUERY_QUOTA [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SET_QUOTA [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_PNP [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_PNP_POWER [F838252D] Mup.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_CREATE [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_CREATE_NAMED_PIPE [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_CLOSEIRP_MJ_READ [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_WRITE [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_INFORMATION [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SET_INFORMATION [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_EA [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SET_EA [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_FLUSH_BUFFERS [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_VOLUME_INFORMATION [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SET_VOLUME_INFORMATION [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_DIRECTORY_CONTROL [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_FILE_SYSTEM_CONTROL [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_DEVICE_CONTROL [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_INTERNAL_DEVICE_CONTROL [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SHUTDOWN [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_LOCK_CONTROL [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_CLEANUP [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_CREATE_MAILSLOT [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_SECURITY [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SET_SECURITY [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_POWER [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SYSTEM_CONTROL [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_DEVICE_CHANGE [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_QUOTA [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SET_QUOTA [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_PNP [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_PNP_POWER [F83A3982] NDIS.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_CREATE [F845BD62] KSecDD.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_CREATE_NAMED_PIPE [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_CLOSEIRP_MJ_READ [F845BD62] KSecDD.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_WRITE [F845BD62] KSecDD.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_QUERY_INFORMATION [F845BD62] KSecDD.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_SET_INFORMATION [F845BD62] KSecDD.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_QUERY_EA [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_SET_EA [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_FLUSH_BUFFERS [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_QUERY_VOLUME_INFORMATION [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_SET_VOLUME_INFORMATION [F845BD62] KSecDD.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_DIRECTORY_CONTROL [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_FILE_SYSTEM_CONTROL [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_DEVICE_CONTROL [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_INTERNAL_DEVICE_CONTROL [F845BD62] KSecDD.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_SHUTDOWN [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_LOCK_CONTROL [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_CLEANUP [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_CREATE_MAILSLOT [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_QUERY_SECURITY [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_SET_SECURITY [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_POWER [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_SYSTEM_CONTROL [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_DEVICE_CHANGE [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_QUERY_QUOTA [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_SET_QUOTA [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_PNP [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_PNP_POWER [805031BE] ntoskrnl.exe Device \Device\00000019 Device \Device\00000025 Device \Driver\PnpManager \Device\00000032 IRP_MJ_CREATE [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_CREATE_NAMED_PIPE [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_CLOSEIRP_MJ_READ [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_WRITE [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_QUERY_INFORMATION [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_SET_INFORMATION [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_QUERY_EA [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_SET_EA [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_FLUSH_BUFFERS [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_QUERY_VOLUME_INFORMATION [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_SET_VOLUME_INFORMATION [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_DIRECTORY_CONTROL [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_FILE_SYSTEM_CONTROL [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_DEVICE_CONTROL [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_INTERNAL_DEVICE_CONTROL [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_SHUTDOWN [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_LOCK_CONTROL [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_CLEANUP [805031BE] ntoskrnl.exe Device \Driver\PnpManager \Device\00000032 IRP_MJ_CREATE_MAILSLOT

Wojtas_16 · 12 Wrzesień 2006 13:24

adam9870 poradziłem sobie z Gmerem

GMER 1.0.10.10122 - http://www.gmer.net Rootkit 2006-09-12 09:28:21 Windows 5.1.2600 Dodatek Service Pack 2 ---- System - GMER 1.0.10 ---- SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwClose SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcess SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcessEx SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSection SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSymbolicLinkObject SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateThread SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteValueKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDuplicateObject SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwFlushKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwInitializeRegistry SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey2 SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwNotifyChangeKey SSDT kl1.sys ZwOpenFile SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenProcess SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenSection SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryMultipleValueKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryValueKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwReplaceKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwRestoreKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwResumeThread SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSaveKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetContextThread SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationFile SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationProcess SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetSecurityObject SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetValueKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSuspendThread SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwTerminateProcess SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwUnloadKey SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwWriteVirtualMemory SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[284] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[285] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[286] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[287] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[288] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[289] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[290] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[291] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[292] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[293] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[294] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[295] SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[296] ---- Files - GMER 1.0.10 ---- File C:\System Volume Information\MountPointManagerRemoteDatabase File C:\System Volume Information\tracking.log File C:\System Volume Information_restore{4B2BE745-92E6-48C5-AED9-7D9C62017F65} File D:\System Volume Information\catalog.wci File D:\System Volume Information\MountPointManagerRemoteDatabase File D:\System Volume Information\tracking.log File D:\System Volume Information_restore{4B2BE745-92E6-48C5-AED9-7D9C62017F65} File D:\System Volume Information_restore{B2332794-8BC3-45DA-91AB-CD729A62862B} ---- EOF - GMER 1.0.10 ----

2 opcja:

GMER 1.0.10.10122 - http://www.gmer.net Rootkit 2006-09-12 09:44:44 Windows 5.1.2600 Dodatek Service Pack 2 ---- System - GMER 1.0.10 ---- SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwClose <-- ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcess – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcessEx – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSection – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSymbolicLinkObject – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateThread – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteValueKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwDuplicateObject – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwFlushKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwInitializeRegistry – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey2 – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwNotifyChangeKey – ROOTKIT ! SSDT kl1.sys ZwOpenFile – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenProcess – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenSection – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryMultipleValueKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryValueKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwReplaceKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwRestoreKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwResumeThread – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSaveKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetContextThread – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationFile – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationProcess – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetSecurityObject – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSetValueKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwSuspendThread – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwTerminateProcess – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwUnloadKey – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys ZwWriteVirtualMemory – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[284] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[285] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[286] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[287] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[288] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[289] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[290] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[291] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[292] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[293] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[294] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[295] – ROOTKIT ! SSDT ??\C:\WINDOWS\system32\drivers\klif.sys SSDT[296] – ROOTKIT ! INT 0x00 \WINDOWS\system32\ntoskrnl.exe 804DF350 INT 0x01 \WINDOWS\system32\ntoskrnl.exe 804DF4CB INT 0x03 \WINDOWS\system32\ntoskrnl.exe 804DF89D INT 0x04 \WINDOWS\system32\ntoskrnl.exe 804DFA20 INT 0x05 \WINDOWS\system32\ntoskrnl.exe 804DFB81 INT 0x06 \WINDOWS\system32\ntoskrnl.exe 804DFD02 INT 0x07 \WINDOWS\system32\ntoskrnl.exe 804E036A INT 0x09 \WINDOWS\system32\ntoskrnl.exe 804E078F INT 0x0A \WINDOWS\system32\ntoskrnl.exe 804E08AC INT 0x0B \WINDOWS\system32\ntoskrnl.exe 804E09E9 INT 0x0C \WINDOWS\system32\ntoskrnl.exe 804E0C42 INT 0x0D \WINDOWS\system32\ntoskrnl.exe 804E0F38 INT 0x0E \WINDOWS\system32\ntoskrnl.exe 804E164F INT 0x0F \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x10 \WINDOWS\system32\ntoskrnl.exe 804E1A99 INT 0x11 \WINDOWS\system32\ntoskrnl.exe 804E1BCE INT 0x12 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x13 \WINDOWS\system32\ntoskrnl.exe 804E1D34 INT 0x14 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x15 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x16 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x17 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x18 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x19 \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x1A \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x1B \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x1C \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x1D \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x1E \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x1F \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x2A \WINDOWS\system32\ntoskrnl.exe 804DEB92 INT 0x2B \WINDOWS\system32\ntoskrnl.exe 804DEC95 INT 0x2C \WINDOWS\system32\ntoskrnl.exe 804DEE34 INT 0x2D \WINDOWS\system32\ntoskrnl.exe 804DF77C INT 0x2E \WINDOWS\system32\ntoskrnl.exe 804DE631 INT 0x2F \WINDOWS\system32\ntoskrnl.exe 804E197C INT 0x30 \WINDOWS\system32\hal.dll 806F2D50 INT 0x32 \WINDOWS\system32\ntoskrnl.exe 804DDD04 INT 0x36 \WINDOWS\system32\ntoskrnl.exe 804DDD2C INT 0x37 \WINDOWS\system32\ntoskrnl.exe 804DDD36 INT 0x38 \WINDOWS\system32\hal.dll 806ECEF0 INT 0x3D \WINDOWS\system32\ntoskrnl.exe 804DDD72 INT 0x40 \WINDOWS\system32\ntoskrnl.exe 804DDD90 INT 0x41 \WINDOWS\system32\ntoskrnl.exe 804DDD9A INT 0x42 \WINDOWS\system32\ntoskrnl.exe 804DDDA4 INT 0x43 \WINDOWS\system32\ntoskrnl.exe 804DDDAE INT 0x44 \WINDOWS\system32\ntoskrnl.exe 804DDDB8 INT 0x45 \WINDOWS\system32\ntoskrnl.exe 804DDDC2 INT 0x46 \WINDOWS\system32\ntoskrnl.exe 804DDDCC INT 0x47 \WINDOWS\system32\ntoskrnl.exe 804DDDD6 INT 0x48 \WINDOWS\system32\ntoskrnl.exe 804DDDE0 INT 0x49 \WINDOWS\system32\ntoskrnl.exe 804DDDEA INT 0x4A \WINDOWS\system32\ntoskrnl.exe 804DDDF4 INT 0x4B \WINDOWS\system32\ntoskrnl.exe 804DDDFE INT 0x4C \WINDOWS\system32\ntoskrnl.exe 804DDE08 INT 0x4D \WINDOWS\system32\ntoskrnl.exe 804DDE12 INT 0x4E \WINDOWS\system32\ntoskrnl.exe 804DDE1C INT 0x4F \WINDOWS\system32\ntoskrnl.exe 804DDE26 INT 0x50 \WINDOWS\system32\ntoskrnl.exe 804DDE30 INT 0x51 \WINDOWS\system32\ntoskrnl.exe 804DDE3A INT 0x52 \WINDOWS\system32\ntoskrnl.exe 804DDE44 INT 0x53 \WINDOWS\system32\ntoskrnl.exe 804DDE4E INT 0x54 \WINDOWS\system32\ntoskrnl.exe 804DDE58 INT 0x55 \WINDOWS\system32\ntoskrnl.exe 804DDE62 INT 0x56 \WINDOWS\system32\ntoskrnl.exe 804DDE6C INT 0x57 \WINDOWS\system32\ntoskrnl.exe 804DDE76 INT 0x58 \WINDOWS\system32\ntoskrnl.exe 804DDE80 INT 0x59 \WINDOWS\system32\ntoskrnl.exe 804DDE8A INT 0x5A \WINDOWS\system32\ntoskrnl.exe 804DDE94 INT 0x5B \WINDOWS\system32\ntoskrnl.exe 804DDE9E INT 0x5C \WINDOWS\system32\ntoskrnl.exe 804DDEA8 INT 0x5D \WINDOWS\system32\ntoskrnl.exe 804DDEB2 INT 0x5E \WINDOWS\system32\ntoskrnl.exe 804DDEBC INT 0x5F \WINDOWS\system32\ntoskrnl.exe 804DDEC6 INT 0x60 \WINDOWS\system32\ntoskrnl.exe 804DDED0 INT 0x61 \WINDOWS\system32\ntoskrnl.exe 804DDEDA INT 0x62 \WINDOWS\system32\ntoskrnl.exe 804DDEE4 INT 0x63 \WINDOWS\system32\ntoskrnl.exe 804DDEEE INT 0x64 \WINDOWS\system32\ntoskrnl.exe 804DDEF8 INT 0x65 \WINDOWS\system32\ntoskrnl.exe 804DDF02 INT 0x66 \WINDOWS\system32\ntoskrnl.exe 804DDF0C INT 0x67 \WINDOWS\system32\ntoskrnl.exe 804DDF16 INT 0x68 \WINDOWS\system32\ntoskrnl.exe 804DDF20 INT 0x69 \WINDOWS\system32\ntoskrnl.exe 804DDF2A INT 0x6A \WINDOWS\system32\ntoskrnl.exe 804DDF34 INT 0x6B \WINDOWS\system32\ntoskrnl.exe 804DDF3E INT 0x6C \WINDOWS\system32\ntoskrnl.exe 804DDF48 INT 0x6D \WINDOWS\system32\ntoskrnl.exe 804DDF52 INT 0x6E \WINDOWS\system32\ntoskrnl.exe 804DDF5C INT 0x6F \WINDOWS\system32\ntoskrnl.exe 804DDF66 INT 0x70 \WINDOWS\system32\ntoskrnl.exe 804DDF70 INT 0x71 \WINDOWS\system32\ntoskrnl.exe 804DDF7A INT 0x72 \WINDOWS\system32\ntoskrnl.exe 804DDF84 INT 0x73 \WINDOWS\system32\ntoskrnl.exe 804DDF8E INT 0x74 \WINDOWS\system32\ntoskrnl.exe 804DDF98 INT 0x75 \WINDOWS\system32\ntoskrnl.exe 804DDFA2 INT 0x76 \WINDOWS\system32\ntoskrnl.exe 804DDFAC INT 0x77 \WINDOWS\system32\ntoskrnl.exe 804DDFB6 INT 0x78 \WINDOWS\system32\ntoskrnl.exe 804DDFC0 INT 0x79 \WINDOWS\system32\ntoskrnl.exe 804DDFCA INT 0x7A \WINDOWS\system32\ntoskrnl.exe 804DDFD4 INT 0x7B \WINDOWS\system32\ntoskrnl.exe 804DDFDE INT 0x7C \WINDOWS\system32\ntoskrnl.exe 804DDFE8 INT 0x7D \WINDOWS\system32\ntoskrnl.exe 804DDFF2 INT 0x7E \WINDOWS\system32\ntoskrnl.exe 804DDFFC INT 0x7F \WINDOWS\system32\ntoskrnl.exe 804DE006 INT 0x80 \WINDOWS\system32\ntoskrnl.exe 804DE010 INT 0x81 \WINDOWS\system32\ntoskrnl.exe 804DE01A INT 0x82 \WINDOWS\system32\ntoskrnl.exe 804DE024 INT 0x83 \WINDOWS\system32\ntoskrnl.exe 804DE02E INT 0x84 \WINDOWS\system32\ntoskrnl.exe 804DE038 INT 0x85 \WINDOWS\system32\ntoskrnl.exe 804DE042 INT 0x86 \WINDOWS\system32\ntoskrnl.exe 804DE04C INT 0x87 \WINDOWS\system32\ntoskrnl.exe 804DE056 INT 0x88 \WINDOWS\system32\ntoskrnl.exe 804DE060 INT 0x89 \WINDOWS\system32\ntoskrnl.exe 804DE06A INT 0x8A \WINDOWS\system32\ntoskrnl.exe 804DE074 INT 0x8B \WINDOWS\system32\ntoskrnl.exe 804DE07E INT 0x8C \WINDOWS\system32\ntoskrnl.exe 804DE088 INT 0x8D \WINDOWS\system32\ntoskrnl.exe 804DE092 INT 0x8E \WINDOWS\system32\ntoskrnl.exe 804DE09C INT 0x8F \WINDOWS\system32\ntoskrnl.exe 804DE0A6 INT 0x90 \WINDOWS\system32\ntoskrnl.exe 804DE0B0 INT 0x91 \WINDOWS\system32\ntoskrnl.exe 804DE0BA INT 0x92 \WINDOWS\system32\ntoskrnl.exe 804DE0C4 INT 0x93 \WINDOWS\system32\ntoskrnl.exe 804DE0CE INT 0x94 \WINDOWS\system32\ntoskrnl.exe 804DE0D8 INT 0x95 \WINDOWS\system32\ntoskrnl.exe 804DE0E2 INT 0x96 \WINDOWS\system32\ntoskrnl.exe 804DE0EC INT 0x97 \WINDOWS\system32\ntoskrnl.exe 804DE0F6 INT 0x98 \WINDOWS\system32\ntoskrnl.exe 804DE100 INT 0x99 \WINDOWS\system32\ntoskrnl.exe 804DE10A INT 0x9A \WINDOWS\system32\ntoskrnl.exe 804DE114 INT 0x9B \WINDOWS\system32\ntoskrnl.exe 804DE11E INT 0x9C \WINDOWS\system32\ntoskrnl.exe 804DE128 INT 0x9D \WINDOWS\system32\ntoskrnl.exe 804DE132 INT 0x9E \WINDOWS\system32\ntoskrnl.exe 804DE13C INT 0x9F \WINDOWS\system32\ntoskrnl.exe 804DE146 INT 0xA0 \WINDOWS\system32\ntoskrnl.exe 804DE150 INT 0xA1 \WINDOWS\system32\ntoskrnl.exe 804DE15A INT 0xA2 \WINDOWS\system32\ntoskrnl.exe 804DE164 INT 0xA3 \WINDOWS\system32\ntoskrnl.exe 804DE16E INT 0xA4 \WINDOWS\system32\ntoskrnl.exe 804DE178 INT 0xA5 \WINDOWS\system32\ntoskrnl.exe 804DE182 INT 0xA6 \WINDOWS\system32\ntoskrnl.exe 804DE18C INT 0xA7 \WINDOWS\system32\ntoskrnl.exe 804DE196 INT 0xA8 \WINDOWS\system32\ntoskrnl.exe 804DE1A0 INT 0xA9 \WINDOWS\system32\ntoskrnl.exe 804DE1AA INT 0xAA \WINDOWS\system32\ntoskrnl.exe 804DE1B4 INT 0xAB \WINDOWS\system32\ntoskrnl.exe 804DE1BE INT 0xAC \WINDOWS\system32\ntoskrnl.exe 804DE1C8 INT 0xAD \WINDOWS\system32\ntoskrnl.exe 804DE1D2 INT 0xAE \WINDOWS\system32\ntoskrnl.exe 804DE1DC INT 0xAF \WINDOWS\system32\ntoskrnl.exe 804DE1E6 INT 0xB0 \WINDOWS\system32\ntoskrnl.exe 804DE1F0 INT 0xB1 \WINDOWS\system32\ntoskrnl.exe 804DE1FA INT 0xB2 \WINDOWS\system32\ntoskrnl.exe 804DE204 INT 0xB3 \WINDOWS\system32\ntoskrnl.exe 804DE20E INT 0xB4 \WINDOWS\system32\ntoskrnl.exe 804DE218 INT 0xB5 \WINDOWS\system32\ntoskrnl.exe 804DE222 INT 0xB6 \WINDOWS\system32\ntoskrnl.exe 804DE22C INT 0xB7 \WINDOWS\system32\ntoskrnl.exe 804DE236 INT 0xB8 \WINDOWS\system32\ntoskrnl.exe 804DE240 INT 0xB9 \WINDOWS\system32\ntoskrnl.exe 804DE24A INT 0xBA \WINDOWS\system32\ntoskrnl.exe 804DE254 INT 0xBB \WINDOWS\system32\ntoskrnl.exe 804DE25E INT 0xBC \WINDOWS\system32\ntoskrnl.exe 804DE268 INT 0xBD \WINDOWS\system32\ntoskrnl.exe 804DE272 INT 0xBE \WINDOWS\system32\ntoskrnl.exe 804DE27C INT 0xBF \WINDOWS\system32\ntoskrnl.exe 804DE286 INT 0xC0 \WINDOWS\system32\ntoskrnl.exe 804DE290 INT 0xC1 \WINDOWS\system32\ntoskrnl.exe 804DE29A INT 0xC2 \WINDOWS\system32\ntoskrnl.exe 804DE2A4 INT 0xC3 \WINDOWS\system32\ntoskrnl.exe 804DE2AE INT 0xC4 \WINDOWS\system32\ntoskrnl.exe 804DE2B8 INT 0xC5 \WINDOWS\system32\ntoskrnl.exe 804DE2C2 INT 0xC6 \WINDOWS\system32\ntoskrnl.exe 804DE2CC INT 0xC7 \WINDOWS\system32\ntoskrnl.exe 804DE2D6 INT 0xC8 \WINDOWS\system32\ntoskrnl.exe 804DE2E0 INT 0xC9 \WINDOWS\system32\ntoskrnl.exe 804DE2EA INT 0xCA \WINDOWS\system32\ntoskrnl.exe 804DE2F4 INT 0xCB \WINDOWS\system32\ntoskrnl.exe 804DE2FE INT 0xCC \WINDOWS\system32\ntoskrnl.exe 804DE308 INT 0xCD \WINDOWS\system32\ntoskrnl.exe 804DE312 INT 0xCE \WINDOWS\system32\ntoskrnl.exe 804DE31C INT 0xCF \WINDOWS\system32\ntoskrnl.exe 804DE326 INT 0xD0 \WINDOWS\system32\ntoskrnl.exe 804DE330 INT 0xD1 \WINDOWS\system32\ntoskrnl.exe 804DE33A INT 0xD2 \WINDOWS\system32\ntoskrnl.exe 804DE344 INT 0xD3 \WINDOWS\system32\ntoskrnl.exe 804DE34E INT 0xD4 \WINDOWS\system32\ntoskrnl.exe 804DE358 INT 0xD5 \WINDOWS\system32\ntoskrnl.exe 804DE362 INT 0xD6 \WINDOWS\system32\ntoskrnl.exe 804DE36C INT 0xD7 \WINDOWS\system32\ntoskrnl.exe 804DE376 INT 0xD8 \WINDOWS\system32\ntoskrnl.exe 804DE380 INT 0xD9 \WINDOWS\system32\ntoskrnl.exe 804DE38A INT 0xDA \WINDOWS\system32\ntoskrnl.exe 804DE394 INT 0xDB \WINDOWS\system32\ntoskrnl.exe 804DE39E INT 0xDC \WINDOWS\system32\ntoskrnl.exe 804DE3A8 INT 0xDD \WINDOWS\system32\ntoskrnl.exe 804DE3B2 INT 0xDE \WINDOWS\system32\ntoskrnl.exe 804DE3BC INT 0xDF \WINDOWS\system32\ntoskrnl.exe 804DE3C6 INT 0xE0 \WINDOWS\system32\ntoskrnl.exe 804DE3D0 INT 0xE1 \WINDOWS\system32\ntoskrnl.exe 804DE3DA INT 0xE2 \WINDOWS\system32\ntoskrnl.exe 804DE3E4 INT 0xE3 \WINDOWS\system32\ntoskrnl.exe 804DE3EE INT 0xE4 \WINDOWS\system32\ntoskrnl.exe 804DE3F8 INT 0xE5 \WINDOWS\system32\ntoskrnl.exe 804DE402 INT 0xE6 \WINDOWS\system32\ntoskrnl.exe 804DE40C INT 0xE7 \WINDOWS\system32\ntoskrnl.exe 804DE416 INT 0xE8 \WINDOWS\system32\ntoskrnl.exe 804DE420 INT 0xE9 \WINDOWS\system32\ntoskrnl.exe 804DE42A INT 0xEA \WINDOWS\system32\ntoskrnl.exe 804DE434 INT 0xEB \WINDOWS\system32\ntoskrnl.exe 804DE43E INT 0xEC \WINDOWS\system32\ntoskrnl.exe 804DE448 INT 0xED \WINDOWS\system32\ntoskrnl.exe 804DE452 INT 0xEE \WINDOWS\system32\ntoskrnl.exe 804DE459 INT 0xEF \WINDOWS\system32\ntoskrnl.exe 804DE460 INT 0xF0 \WINDOWS\system32\ntoskrnl.exe 804DE467 INT 0xF1 \WINDOWS\system32\ntoskrnl.exe 804DE46E INT 0xF2 \WINDOWS\system32\ntoskrnl.exe 804DE475 INT 0xF3 \WINDOWS\system32\ntoskrnl.exe 804DE47C INT 0xF4 \WINDOWS\system32\ntoskrnl.exe 804DE483 INT 0xF5 \WINDOWS\system32\ntoskrnl.exe 804DE48A INT 0xF6 \WINDOWS\system32\ntoskrnl.exe 804DE491 INT 0xF7 \WINDOWS\system32\ntoskrnl.exe 804DE498 INT 0xF8 \WINDOWS\system32\ntoskrnl.exe 804DE49F INT 0xF9 \WINDOWS\system32\ntoskrnl.exe 804DE4A6 INT 0xFA \WINDOWS\system32\ntoskrnl.exe 804DE4AD INT 0xFB \WINDOWS\system32\ntoskrnl.exe 804DE4B4 INT 0xFC \WINDOWS\system32\ntoskrnl.exe 804DE4BB INT 0xFD \WINDOWS\system32\ntoskrnl.exe 804DE4C2 INT 0xFE \WINDOWS\system32\ntoskrnl.exe 804DE4C9 INT 0xFF \WINDOWS\system32\ntoskrnl.exe 804DE4D0 SYSENTER \WINDOWS\system32\ntoskrnl.exe 804DE6F0 ---- Devices - GMER 1.0.10 ---- Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F83EDE37] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [805031BE] ntoskrnl.exe Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSEIRP_MJ_READ [F83ED320] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F83CAEE4] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F83C9BCA] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F83EE4D1] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F83CBA58] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F83EE4D1] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F83EE4D1] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F83F3A68] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F83EE61C] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F83EE61C] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F83F02C3] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F83F56D5] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F83EE61C] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [805031BE] ntoskrnl.exe Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F83DC621] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F8441B11] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F83EDCEE] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [805031BE] ntoskrnl.exe Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F83EE61C] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F83EE61C] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [805031BE] ntoskrnl.exe Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [805031BE] ntoskrnl.exe Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [805031BE] ntoskrnl.exe Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F83EE4D1] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP [F83EE4D1] Ntfs.sys Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP_POWER [F840CF3F] Ntfs.sys Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE [b9762C8A] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE_NAMED_PIPE [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLOSEIRP_MJ_READ [b975F7C8] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_WRITE [b975B60A] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_INFORMATION [b975BAED] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_INFORMATION [b9766958] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_EA [b9769821] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_EA [b977238A] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FLUSH_BUFFERS [b9771D49] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_VOLUME_INFORMATION [b976BBBE] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_VOLUME_INFORMATION [b976C331] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DIRECTORY_CONTROL [b977A4F4] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FILE_SYSTEM_CONTROL [b9762B37] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DEVICE_CONTROL [b975E948] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_INTERNAL_DEVICE_CONTROL [b976846B] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SHUTDOWN [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_LOCK_CONTROL [b977979D] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLEANUP [b9778C4A] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE_MAILSLOT [b975F2FD] Fastfat.SYS Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_SECURITY [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_SECURITY [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_POWER [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SYSTEM_CONTROL [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DEVICE_CHANGE [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_QUOTA [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_QUOTA [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_PNP [805031BE] ntoskrnl.exe Device \FileSystem\Fastfat \FatCdrom IRP_MJ_PNP_POWER [b97791DB] Fastfat.SYS Device \FileSystem\Mup \Dfs IRP_MJ_CREATE [F8385A80] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_CREATE_NAMED_PIPE [F8385A80] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_CLOSEIRP_MJ_READ [F838AA76] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_WRITE [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_QUERY_INFORMATION [F8387159] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SET_INFORMATION [F8392B88] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_QUERY_EA [F8392DF2] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SET_EA [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_FLUSH_BUFFERS [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_QUERY_VOLUME_INFORMATION [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SET_VOLUME_INFORMATION [F8397492] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_DIRECTORY_CONTROL [F8397585] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_FILE_SYSTEM_CONTROL [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_DEVICE_CONTROL [F838A5D2] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SHUTDOWN [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_LOCK_CONTROL [F839233D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_CLEANUP [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_CREATE_MAILSLOT [F838AAB9] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_QUERY_SECURITY [F8385A80] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SET_SECURITY [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_POWER [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SYSTEM_CONTROL [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_DEVICE_CHANGE [F838135A] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_QUERY_QUOTA [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_SET_QUOTA [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_PNP [F838252D] Mup.sys Device \FileSystem\Mup \Dfs IRP_MJ_PNP_POWER [F838252D] Mup.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_CREATE [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_CREATE_NAMED_PIPE [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_CLOSEIRP_MJ_READ [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_WRITE [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_INFORMATION [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SET_INFORMATION [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_EA [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SET_EA [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_FLUSH_BUFFERS [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_VOLUME_INFORMATION [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SET_VOLUME_INFORMATION [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_DIRECTORY_CONTROL [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_FILE_SYSTEM_CONTROL [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_DEVICE_CONTROL [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_INTERNAL_DEVICE_CONTROL [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SHUTDOWN [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_LOCK_CONTROL [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_CLEANUP [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_CREATE_MAILSLOT [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_SECURITY [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SET_SECURITY [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_POWER [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SYSTEM_CONTROL [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_DEVICE_CHANGE [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_QUOTA [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_SET_QUOTA [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_PNP [F83A3982] NDIS.sys Device \Driver\NDIS \Device\Ndis IRP_MJ_PNP_POWER [F83A3982] NDIS.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_CREATE [F845BD62] KSecDD.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_CREATE_NAMED_PIPE [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_CLOSEIRP_MJ_READ [F845BD62] KSecDD.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_WRITE [F845BD62] KSecDD.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_QUERY_INFORMATION [F845BD62] KSecDD.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_SET_INFORMATION [F845BD62] KSecDD.sys Device \Driver\KSecDD \Device\KsecDD IRP_MJ_QUERY_EA [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_SET_EA [805031BE] ntoskrnl.exe Device \Driver\KSecDD \Device\KsecDD IRP_MJ_FLUSH_BUFFERS

InfinityToJa · 12 Wrzesień 2006 15:12

Gmer czysty, jeśli chodzi o wpisy oznaczone jako “rootkit” , to błąd gmera, są to poprawne stery od kasperskiego.

Wojtas_16 · 12 Wrzesień 2006 15:30

Dzięki wam za pomoc.