Elektroda.pl
Elektroda.pl
X
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Pewien Problem wirus

szatek009 12 May 2005 21:00 19233 52
Texa Poland
  • #1
    szatek009
    Level 16  
    witam
    mialem wirusa..usunalem go calkowicie..ale pozostawil po sobie slad..
    zobilem reinstalajce systemu i dalej to jest.
    Mianowicie..Nie moge zmienic tapety mam takie cos:
    www.viknet.pl/szaciu/tap.JPG
    nie moge odpalic opery i mozilli ponieaz pojawia mi sie komunikat:
    Unable to intialize Memory Stream
    Explorer tlyko mi dziala..
    Mozecie mi jakos pomoc?Obejdzie sie bez formata?:(
  • Texa Poland
  • #2
    childmaker
    Level 35  
    Ściągnij HijackThis, przeskanuj kompa i wklej tu log.
  • #5
    szatek009
    Level 16  
    Logfile of HijackThis v1.99.1
    Scan saved at 22:09:51, on 2005-05-12
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    E:\Programy\MKS\Bin\NetMonSV.exe
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\SYSTEM\rs32.exe
    E:\Programy\MKS\Bin\mksmonsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\dllhost.exe
    C:\WINDOWS\Mixer.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\System32\svchost.exe
    E:\Programy\Gadu-Gadu\gg.exe
    E:\Programy\FlashGet\flashget.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\szaciu\Pulpit\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\szaciu\USTAWI~1\Temp\se.dll/spage.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\szaciu\USTAWI~1\Temp\se.dll/spage.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    O1 - Hosts: 17.145.117.11 d-ru-1f.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-ru-1h.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-ru-2f.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-ru-2h.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-eu-2f.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-eu-2h.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-eu-1f.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-eu-1h.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-us-1f.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-us-1h.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 downloads1.kaspersky.ru
    O1 - Hosts: 17.145.117.11 downloads2.kaspersky.ru
    O1 - Hosts: 17.145.117.11 downloads3.kaspersky.ru
    O1 - Hosts: 17.145.117.11 downloads4.kaspersky.ru
    O1 - Hosts: 17.145.117.11 downloads5.kaspersky.ru
    O1 - Hosts: 17.145.117.11 www.kaspersky.ru
    O1 - Hosts: 17.145.117.11 kaspersky.ru
    O1 - Hosts: 17.145.117.11 kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 www.kaspersky-labs.com
    O1 - Hosts: 82.146.42.123 lloydstsb.co.uk
    O1 - Hosts: 82.146.42.123 online.lloydstsb.co.uk
    O1 - Hosts: 82.146.42.123 www.lloydstsb.co.uk
    O1 - Hosts: 82.146.42.123 www.lloydstsb.com
    O1 - Hosts: 82.146.42.123 personal.barclays.co.uk
    O1 - Hosts: 82.146.42.123 barclays.co.uk
    O1 - Hosts: 82.146.42.123 ibank.barclays.co.uk
    O1 - Hosts: 82.146.42.123 www.barclays.co.uk
    O1 - Hosts: 82.146.42.123 www.nwolb.com
    O1 - Hosts: 82.146.42.123 nwolb.com
    O1 - Hosts: 82.146.42.123 hsbc.co.uk
    O1 - Hosts: 82.146.42.123 www.hsbc.co.uk
    O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} - C:\WINDOWS\drexinit.dll
    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\Programy\FlashGet\jccatch.dll
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\Programy\FlashGet\fgiebar.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [MKS_MENU] E:\Programy\MKS\Bin\mks_menu.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
    O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
    O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
    O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{5F9ADE71-474B-4A8C-BF1F-E5F7BE592D88}\SVCHOST.EXE
    O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{5F9ADE71-474B-4A8C-BF1F-E5F7BE592D88}\SECURITY.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /P22 "EPSON Stylus COLOR 480" /O5 "LPT1:" /M "Stylus COLOR 480"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
    O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
    O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
    O8 - Extra context menu item: Download All by FlashGet - E:\Programy\FlashGet\jc_all.htm
    O8 - Extra context menu item: Download using FlashGet - E:\Programy\FlashGet\jc_link.htm
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Programy\FlashGet\flashget.exe
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Programy\FlashGet\flashget.exe
    O9 - Extra button: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing)
    O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing)
    O9 - Extra button: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
    O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
    O15 - Trusted Zone: *.skoobidoo.com
    O15 - Trusted Zone: *.slotchbar.com
    O15 - Trusted Zone: *.windupdates.com
    O15 - Trusted Zone: *.skoobidoo.com (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM)
    O15 - Trusted Zone: *.windupdates.com (HKLM)
    O15 - Trusted IP range: 81.222.131.59
    O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
    O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - E:\Programy\MKS\Bin\NetMonSV.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: Sound Device (dnetc) - Unknown owner - C:\WINDOWS\SYSTEM\rs32.exe
    O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - E:\Programy\MKS\bin\MkSUpdateInt.exe
    O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - E:\Programy\MKS\Bin\mksmonsv.exe
    O23 - Service: MkS_Scan - Unknown owner - E:\Programy\MKS\Bin\mks_scan.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
  • #6
    Kolobos
    IT specialist
    szatek009 czy instalujesz wszystko co znajdziesz na stronach? ;-)

    Zainstaluj aktualizacje do XP! masz stare IE i brak Sp1 lub 2.

    Opis usuwania iSearch "Desktop Search" masz tutaj:
    http://www.searchengines.pl/phpbb203/index.ph...=12510&st=0&p=109496&#entry135478

    Nastepnie Backdoor.Haxdoor tutaj:
    http://www.searchengines.pl/phpbb203/index.ph...=12510&st=0&p=109496&#entry132561
    Wariant D

    Z tego co widze, zostaly Ci jeszcze resztki tapety, poczytaj opis, ktory podalem i zrob wszystko jeszcze raz.

    Sciagnij i uzyj tego:
    http://www.trojaner-info.de/files/SpSeHjfix112.exe

    W hijackthis usun te wpisy:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\szaciu\USTAWI~1\Temp\se.dll/spage.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\szaciu\USTAWI~1\Temp\se.dll/spage.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    O1 - Hosts: 17.145.117.11 d-ru-1f.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-ru-1h.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-ru-2f.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-ru-2h.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-eu-2f.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-eu-2h.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-eu-1f.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-eu-1h.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-us-1f.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 d-us-1h.kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 downloads1.kaspersky.ru
    O1 - Hosts: 17.145.117.11 downloads2.kaspersky.ru
    O1 - Hosts: 17.145.117.11 downloads3.kaspersky.ru
    O1 - Hosts: 17.145.117.11 downloads4.kaspersky.ru
    O1 - Hosts: 17.145.117.11 downloads5.kaspersky.ru
    O1 - Hosts: 17.145.117.11 www.kaspersky.ru
    O1 - Hosts: 17.145.117.11 kaspersky.ru
    O1 - Hosts: 17.145.117.11 kaspersky-labs.com
    O1 - Hosts: 17.145.117.11 www.kaspersky-labs.com
    O1 - Hosts: 82.146.42.123 lloydstsb.co.uk
    O1 - Hosts: 82.146.42.123 online.lloydstsb.co.uk
    O1 - Hosts: 82.146.42.123 www.lloydstsb.co.uk
    O1 - Hosts: 82.146.42.123 www.lloydstsb.com
    O1 - Hosts: 82.146.42.123 personal.barclays.co.uk
    O1 - Hosts: 82.146.42.123 barclays.co.uk
    O1 - Hosts: 82.146.42.123 ibank.barclays.co.uk
    O1 - Hosts: 82.146.42.123 www.barclays.co.uk
    O1 - Hosts: 82.146.42.123 www.nwolb.com
    O1 - Hosts: 82.146.42.123 nwolb.com
    O1 - Hosts: 82.146.42.123 hsbc.co.uk
    O1 - Hosts: 82.146.42.123 www.hsbc.co.uk
    O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} - C:\WINDOWS\drexinit.dll
    O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
    O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
    O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
    O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{5F9ADE71-474B-4A8C-BF1F-E5F7BE592D88}\SVCHOST.EXE
    O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{5F9ADE71-474B-4A8C-BF1F-E5F7BE592D88}\SECURITY.EXE
    O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
    O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
    O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing)
    O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing)
    O9 - Extra button: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
    O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
    O15 - Trusted Zone: *.skoobidoo.com
    O15 - Trusted Zone: *.slotchbar.com
    O15 - Trusted Zone: *.windupdates.com
    O15 - Trusted Zone: *.skoobidoo.com (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM)
    O15 - Trusted Zone: *.windupdates.com (HKLM)
    O15 - Trusted IP range: 81.222.131.59
    O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

    I Fix Checked.

    Pozniej zeby usunac ten wpis:
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

    Wejdz w Start->Uruchom i wpisz regedit w nim przejdz do tej galezi:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

    Odszukaj tam:
    _{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
    Prawoklik na nim i usun.
    Hijackthis ma bug i nie umie usuwac tych wpisow dlatego trzeba recznie.

    Nastepnie sciagnij killbox:
    http://www.downloads.subratam.org/KillBox.zip
    Rozpakuj, zaznacz Delete file on reboot wklej sciezke do pliku (sam nie szukaj tylko wklejaj gotowa) i naciskaj czerwony przycisk ale na pytanie o reset odpowiadaj nie i tak zrob z tymi plikami:

    C:\WINDOWS\SYSTEM32\drct16.dll
    C:\WINDOWS\svchost.exe
    C:\WINDOWS\isrvs\desktop.exe
    c:\wp.exe
    C:\DOCUME~1\szaciu\USTAWI~1\Temp\se.dll
    C:\WINDOWS\drexinit.dll
    C:\WINDOWS\isrvs\ffisearch.exe
    C:\WINDOWS\System32\Services\{5F9ADE71-474B-4A8C-BF1F-E5F7BE592D88}\SVCHOST.EXE
    C:\WINDOWS\System32\Services\{5F9ADE71-474B-4A8C-BF1F-E5F7BE592D88}\SECURITY.EXE

    I reset.

    Przeskanuj tez system tym:
    http://housecall.trendmicro.com/housecall/start_corp.asp
    http://www.windowsecurity.com/trojanscan/
    http://www.pandasoftware.com/activescan/pol/activescan_principal.htm

    Zainstaluj tez:

    http://www.safer-networking.org/pl/mirrors/index.html <- SpyBot S&D -> przeskanuj i wlacz ochrone przegladarki
    http://www.javacoolsoftware.com/spywareblaster.html <- SpywareBlaster -> wlacz ochrone przegladarki
    http://www.wilderssecurity.net/spywareguard.html <- SpywareGuard


    Jak juz wszystko usuniesz tak jak masz w opisie oraz w hijackthis, do tego killbox to reset i wklej nowy log z hijackthis.
  • #7
    oleq_30
    Level 30  
    zacznij od sciagniecia uaktualniej do systemu widzialem juz ta tapete pisalem o tym w innym poscie
    http://www.safer-networking.org/pl/mirrors/index.html <- SpyBot S&D -> przeskanuj i wlacz ochrone przegladarki to powinno w zupelnosci pomoc jak pisze KOLOBOS
    zreszta do reszty jego polecen tez sie zastosuj
  • #8
    Kolobos
    IT specialist
    :arrow: oleq_30
    SpyBot tutaj nie pomoze, autor ma pelno roznych syfow.
  • #9
    ghost
    Level 23  
    Ja stosuje 3 rzeczy na raz i pomaga zawsze: SpyBot , AdAware (oba z najnowszymi bazami) i CWShredder (to na najgorsze cholerstwo - CoolWebSearcha ;) )
    Metoda :
    - odciac kompa od netu, skan wszystkimi trzema,
    - czyszczenie (najlepiej recznie w trybie awaryjnym)
    C:\WINDOWS\TEMP
    C:\WINDOWS\Tempoary Internet Files\
    i dla XP C:\ Documents and settings\nazwausera\temp
    wywalic wszystko co podejrzane przy pomocy msconfig

    restart,

    skan wszystkimi trzema
    sprawdzic czy cos nie wlazlo do msconfig

    restart i ...

    za trzecim razem komp powinien byc czysty.
    Wszystkie sa darmowe i mozna uzywac rowniez firmowo (AdAware standard jest bezplatny - nie zawiera AdWatcha ale do skanowania sie nadaje) AdAware wywala wiecej plikow niz SpyBot - ten czysci glownie rejestry,

    CWShredder najskuteczniej niszczy wszystkie mutacje CoolWebSearcha
    Wszystkie programy dostepne od reki pod www.googe.pl ;)
  • #10
    szatek009
    Level 16  
    Wiec tak
    Explorer chodzi juz szybciej mi.
    Tapete mam czarna ale nie moge zmienic.
    Log:
    Logfile of HijackThis v1.99.1
    Scan saved at 14:27:47, on 2005-05-13
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    E:\Programy\MKS\Bin\NetMonSV.exe
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\SYSTEM\rs32.exe
    E:\Programy\MKS\Bin\mksmonsv.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\szaciu\Pulpit\anty\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R3 - Default URLSearchHook is missing
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\Programy\FlashGet\fgiebar.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O8 - Extra context menu item: Download All by FlashGet - E:\Programy\FlashGet\jc_all.htm
    O8 - Extra context menu item: Download using FlashGet - E:\Programy\FlashGet\jc_link.htm
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
    O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
    O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - E:\Programy\MKS\Bin\NetMonSV.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: Sound Device (dnetc) - Unknown owner - C:\WINDOWS\SYSTEM\rs32.exe
    O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - E:\Programy\MKS\bin\MkSUpdateInt.exe
    O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - E:\Programy\MKS\Bin\mksmonsv.exe
    O23 - Service: MkS_Scan - Unknown owner - E:\Programy\MKS\Bin\mks_scan.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    A i linki mi nie dzialaja te:
    http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&p=109496&

    http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&p=109496&#entry135478
  • Texa Poland
  • #12
    childmaker
    Level 35  
    Skoro nie możesz otworzyc to masz tu opis jak usunąć ten wpis
    Quote:
    O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll


    Quote:
    Wersja D i jej wariacja:


    QUOTE
    Wejścia w logu HijackThis:

    O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\w32tm.exe !!
    O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!

    O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

    -------------------------------------

    Ukryte usługi: vdmt16 i memlow oraz winlow w wariacji.

    Dodatkowe pliki: w32tm.exe, drct16.dll, cz.dll, hz.dll, wz.dll, vdmt16.sys, winlow.sys, p2.ini



    Uwaga: na dysku zapewne będzie jeszcze bardzo gruby plik klo5.sys, którego zawartość to ..... WSZYSTKO co piszecie w swoich GG, Tlenie, na forum, Notatniku, mejlach itd. To plik nagrywający wasze akcje i oczywiście też musi zostać skasowany!

    Usuwanie dla Windows 2000/XP/2003:

    1. Na początek należy przygotować plik naprawczy rejestru. Stosownie do wersji rootkita będzie on wyglądał inaczej. Proszę otworzyć Notatnik i wkleić do niego:
    Dla wersji D:


    QUOTE
    Windows Registry Editor Version 5.00

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_WINLOW]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW]

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "secboot"=-

    [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
    "Disable TrayIcon"=-

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
    "StackSize"=-
    "Impersonate"=-

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
    "hws"=-

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management]
    "EnforceWriteProtect"=-
    "hws"=-

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
    "EnforceWriteProtect"=-
    "hws"=-



    Plik >>> Zapisz jako >>> Wszystkie pliki *.* >>> jako nazwa wprowadź FIX.REG.

    2. Następnie zastartować do trybu awaryjnego i uruchomić zrobiony przez siebie plik = podwójny klik na FIX.REG i potwierdzenie wprowadzenia informacji do rejestru.

    3. Na koniec wyszukać na dysku pliki, które wymieniłam wcześniej i je skasować. Pliki mogą być "pomieszane z różnych wersji" więc wyszukiwanie musi być przeprowadzone na każdy z nich. Resztki doczyszczą skanery antywirusowe.


    Zastanawia mnie ten proces -> C:\WINDOWS\SYSTEM\rs32.exe
    Nie można znaleźć nic na ten temat.
  • #13
    longines
    Level 26  
    I koniecznie zwróć uwagę na pliki o podobnych nazwach:

    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\drivers\CDAC13BA.DLL
    C:\WINDOWS\System\CDAC11BA.VXD
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE

    c:\Program Files\Common Files\Macrovision Shared\SafeCast\Install\CDAC14BA.DLL

    c:\Program Files\Common Files\Macrovision Shared\SafeCast\Install\CDAC13BA.EXE

    To coś jest częścią programu TurboTax o nazwie SafeCast, najprawdopodbniej instaluje się, z którąś z ŁAT ze strony UPDATE MICROSOFT-u !!!

    Ma teoretycznie za zadanie chronić Twój system przed nieautoryzowaną duplikacją (czytaj: nielegalnym powielaniem) komercyjnych programów.
    Wygląda na to, ze Microsoft sam wprowadził we własnym jak najbardziej dobrze rozumianym interesie (i najwyraźniej z premedytacją) SPYWARE do swojego systemu. :-(

    Ci, którzy uzywają "pożyczonego" od kolegi systemu, mogą się juz zacząć bać o swoje d.py :-(

    Proponuję zassać ze strony SysInternals program ProcessExplorer http://www.sysinternals.com/files/procexpnt.zip
    zlokalizować wszystkie wątki tych programów i szybko draństwo wywalić!

    Sam wywaliłem to i powiem szczerze, że system działa dalej, a więc nie jest to coś co MUSI działać.
  • #14
    ghost
    Level 23  
    Wystarczy po prostu nie instalowac wszystkich latek jak popadnie - ja mam tylko dwie i nie zanosi sie na trzecia
    aha.. DirectX juz sie nie sciaga ze strony Microsoftu bo na dziendobry pojawia sie swierdzenie ze zanim nastapi download zostanie sprawdzona legalnosc Windows ;)
  • #15
    childmaker
    Level 35  
    ghost wrote:
    aha.. DirectX juz się nie sciaga ze strony Microsoftu bo na dziendobry pojawia się swierdzenie ze zanim nastapi download zostanie sprawdzona legalnosc Windows ;)
    Nie wprowadzaj w błąd. Klikasz kontynuuj, a później masz do wyboru:
    Quote:
    Sprawdź autentyczność systemu Windows i uzyskaj dostęp do pliku do pobrania
    - Tak, chcę sprawdzić autentyczność systemu Windows i uzyskać dostęp do pliku do pobrania. (Jeżeli zostanie wyświetlone okno dialogowe formantu ActiveX, kliknij przycisk Tak).

    - Nie, nie chcę teraz sprawdzać autentyczności systemu Windows, ale chcę uzyskać dostęp do pliku do pobrania
  • #16
    longines
    Level 26  
    ghost wrote:
    Wystarczy po prostu nie instalowac wszystkich latek jak popadnie - ja mam tylko dwie i nie zanosi się na trzecia
    aha.. DirectX juz się nie sciaga ze strony Microsoftu bo na dziendobry pojawia się swierdzenie ze zanim nastapi download zostanie sprawdzona legalnosc Windows ;)


    Przede wszystkim nie należy instalować SP2 ;-)
  • #17
    childmaker
    Level 35  
    longines wrote:

    Przede wszystkim nie należy instalować SP2 ;-)

    Podaj przyczynę, a nie puste słowa.
  • #18
    longines
    Level 26  
    childmaker wrote:
    longines wrote:

    Przede wszystkim nie należy instalować SP2 ;-)

    Podaj przyczynę, a nie puste słowa.


    OK. Jak sobie życzysz ;-)

    Pierwsza przyczyna to taka, że SP2 nie działa jak nalezy i często uniemożliwia lub utrudnia korzystanie z usług, z których się korzystało przed jego zainstalowaniem. Dzieje sie tak szczególnie na składakach. Czemu? Nie wiem. Zapytaj się o to Microsoft. Napewno mają na to jakąś przebiegłą odpowiedź ;-)

    Przykład: Posiadam satelitarną kartę SkyStar2, po zainstalowaniu SP2, zaczynają żreć się sterowniki karty sieciowej ze sterownikami Skystar-a. Efekt jest taki, ze nawet wyłączenie jednego z urządzeń nic nie daje. Urządzenie trzeba wyrzucić z komputera, dopiero wtedy sieciówka odzyskuje władzę. I nie jest to jakiś konflikt urządzeń czy sterowników.
    Instalowałem XP na rózne sposoby, w różnej kolejności i na rózne sposoby. Pokusiłem się o przełożenie do 3 innych komputerów i ponowne instalacje XP i SP2. Efekt zawsze ten sam. To jest przykład sprzętowy. A mógłbym ich podac kilka.
    taka sytuacja nie występuje przed zainstalowaniem SP2.

    Inny przykład: Konfig AMD Barton, MSI KT6 Delta, 512Ram, SATA, 2 x WD Raptor 36Gb spięte w Raid.
    Znowu to samo SP1a i instalacja SP2. Jeden z dysków miał błąd tzw. UNMOUNTABLE_BOOT_VOLUME. Drugi powinien odświeżyć dane, nie zrobił tego, mało tego skopiował błędne dane do siebie. Narzędzia chkdsk z konsoli wogóle nie chciały się odpalić. Obydwa dyski w tej samej konfiguracji zostały przełożone do bliźniaczo podobnego systemu i komputera, ale z SP1a + łatki. Tam chkdsk zadziałał. Dyski są sprawne, ale niewiele brakowało. Znowu ta sytuacja nie wystepuje przed SP2.

    Jeszcze inny przykład: Firewall z SP2, nie idzie go całkowicie wyłączyć. Po wyłączeniu w ustawieniach sieciowych w dalszym ciągu działa moduł odpowiedzialny za transakcje i koordynaty. Chamskie wyłączenie go powoduje błąd RTC i późniejszy wymuszony przez kernel restart systemu.
    Coś jeszcze jest w nim skaszanione, bo żre się z programami m.in. GG i Miranda. Jeśli i u Ciebie zdarzają się nagłe, niczym nieuzasadnione odłączenia (w sensie nie działanie klientów) owych komunikatorów to wiedz, ze to własnie firewall odwija takie cyrki, jakby działał sekwencyjnie i "sam się restartował". Mało tego doszły mnie słuchy, że inne zapory korzystają z tego samego modułu, więc efekt końcowy może być zblizony (nie sprawdzałem tego). Najlepsza rada - nie włączać zapory, tylko co mają powiedzieć Ci, którzy na zaawansowanych zaporach się nie znają, a mają zewnętrzne IP, hę?

    Mam jeszcze kilka innych zastrzeżeń (mniejszych, ale równie wnerwiających) do SP2. Ale żeby nie być gołosłownym sam Microsoft ostrzega przed potencjalnymi następstwami instalacji SP2 (tylko kto czyta takie rzeczy jak Knowledge Base - czyżby tylko ja???).

    Gdzieś juz to napisałem i powtórzę raz jeszcze:

    DOPÓKI Microsoft nie wypuści zupełnie nowej, ponownie od zera przepisanej dystrybucji XP zawierającej Service Pack 2 - to nie ma się co łudzić, ze wszystko ma 100% będzie hulało bez zastrzeżeń.

    PS. Co do moich przykładów (na wypadek, gdybyś chciał coś doradzić o tych przypadkach), to wiedz, ze nie jestem człowiekiem z łapanki, znam sporo systemów Windows, tych starszych i tych nowszych. Pozwolę sobie stwierdzić, że jeszcze nigdy w historii firmy z Redmond nie było aż tak źle jak z XP.

    Tutaj powoli zaczyna dominować hasło: Załatamy 12563 błędy łatami i service packami zawierającymi dodatkowe 4324 błędy, a potem będziemy następne łatać. To też przykład ;-)

    Można by pisać i pisać. Tylko że post był o czymś innym :-(
  • #19
    childmaker
    Level 35  
    :arrow: longines opisane przez Ciebie problemy dotyczą Twojego sprzętu i systemu, i nijak się mają do mojego, choć też mam składaka. Używam SP2 od początku jak się ukazał i nie mam z nim żadnych problemów (zarówno sprzętowych jak i programowych).
    Co do zapory. Używam NIS2005, który domyślnie wyłącza i zastępuje wbudowaną zaporę i nie mam żadnych problemów, że tam "coś" pozostało nie wyłączone ;). Zarówno ja na swoim, jak i dzieciaki na drugim kompie spiętym w sieć (też z NIS2005), korzystając z GG, nie mamy żadnych "przerw" ani tym bardziej restartów. Skoro takowe masz (restarty) to sprawdź numer błędu jaki Ci się pojawia i na tej podstawie szukaj przyczyny.
    Co do sieciówki i SkyStar2, to problem zapewne leży w oprogramowaniu w/w urządzeń i pretensje do twórców, że nie dają patcha likwidującego Twoje problemy (vide -> SP2 i pływający kursor myszy oraz reakcja A4Tech)
    Co do Raida. Nie wypowiadam się bo nie używam. Może ktoś inny ma i coś powie na ten temat.

    Reasumując. Mając zainstalowany SP2, wcale nie odczuwam, że go mam (zero problemów), a napewno jestem bezopieczniejszy niż z SP1a.
  • #20
    ghost
    Level 23  
    Ja rowniez mam przykre doswiadczenia z SP2 i nie polecam jego instalacji ... Ja akurat doswiadczylem totalnego padu Novella przy polaczeniu Norton Antivirus 2005 + SP2 - 12 komputerow w firmie to chyba wystarczajacy dowod? Pomoglo dopiero wylaczenie paru opcji w obu zaporach (szczegolnie ze NAV musi miec wylaczona zapore i blokade przed robakami internetowymi a to w polowie zmniejsza jego funkconalnosc.... Oprocz tego domyslna instalacja po prostu wywala novella... Na stronie novella doczytalem sie ze "istnieje problem z wspolpraca" i "nie istnieje poprawka" ... czyzby znow niueuczciwa walka z konkurencja ze strony microsoftu? (nie pierwszy raz zreszta).
  • #21
    longines
    Level 26  
    childmaker wrote:
    :arrow: longines opisane przez Ciebie problemy dotyczą Twojego sprzętu i systemu, i nijak się mają do mojego, choć też mam składaka. Używam SP2 od początku jak się ukazał i nie mam z nim żadnych problemów (zarówno sprzętowych jak i programowych).
    Co do zapory. Używam NIS2005, który domyślnie wyłącza i zastępuje wbudowaną zaporę i nie mam żadnych problemów, że tam "coś" pozostało nie wyłączone ;). Zarówno ja na swoim, jak i dzieciaki na drugim kompie spiętym w sieć (też z NIS2005), korzystając z GG, nie mamy żadnych "przerw" ani tym bardziej restartów. Skoro takowe masz (restarty) to sprawdź numer błędu jaki Ci się pojawia i na tej podstawie szukaj przyczyny.
    Co do sieciówki i SkyStar2, to problem zapewne leży w oprogramowaniu w/w urządzeń i pretensje do twórców, że nie dają patcha likwidującego Twoje problemy (vide -> SP2 i pływający kursor myszy oraz reakcja A4Tech)
    Co do Raida. Nie wypowiadam się bo nie używam. Może ktoś inny ma i coś powie na ten temat.

    Reasumując. Mając zainstalowany SP2, wcale nie odczuwam, że go mam (zero problemów), a napewno jestem bezopieczniejszy niż z SP1a.


    Tobie się nic nie dzieje, ale moze niech inni się wypowiedzą, a potem podliczymy ilość głosów na NIE i na TAK. Nie chcę sie zakładać, ale mam przeczucie, ze tych na NIE będzie więcej :-(
  • #22
    ghost
    Level 23  
    Co rozumiecie przez slowo skladak? ;) Bo od wielu wielu lat skladakami sa wszystkie komputery, niewazne czy ktos na nich nakleil ladna nalepke lub umiecil logo... co wiecej w "skladaku" prynajmniej wybierasz co pakujesz do srodka - a w "Firmowym" sprzecie (tych najbardziej znanych np. Compaq) w srodku siedzi najgorszy chlam.
    Kupujac komputer firmowy nie kupujesz dobrego sprzetu - kupujesz dobry serwis - komputer w wiekszosci przypadkow jest badziewny

    Firmowy Compaq po otwarciu:
    Płyta Asrock(tani chlam0
    dysk Excelstor (tani chlam)
    pamiec hynix (najtansza na rynku)
    grafika i muzyka - zintegrowane - dziadostwo z zasady
    Zasilacz Modecom - tu troszke lepiej ale to bsardziej przez nietypowa, firmowa obudowe

    Tak wyglada jeden z tanszych modeli "firmowego" kompa - oczywisci emozna kupic 3 letni serwis door-to-door i zestaw zawiera Windows z wkopiowanymi wszystkimi sterownikami i instalujacy sie zupelnie automatycznie.
    Te ostattnie to super plus i sie to chwali ale komputer to szmelc. ktory przez te "bajery" i firmowe logo tani wcale nie jest .
  • #23
    jankolo
    R.I.P. Meritorious for the elektroda.pl
    longines wrote:
    ...najprawdopodbniej instaluje się, z którąś z ŁAT ze strony UPDATE MICROSOFT-u !!!

    Oczywiście, wszystko co jest złe, to nawet jeżeli nie wiemy, skąd to przylazło, to zakładamy że z Microsoftu. Informuję kolegę, że mam zainstalowane WSZYSTKIE poprawki Microsoftu dla Windows XP Professional oraz Office 2000 Professional i C-Dilli NIGDY w komputerze nie miałem. Zatem przyplątało się z innego źródła.
  • #24
    longines
    Level 26  
    jankolo wrote:
    longines wrote:
    ...najprawdopodbniej instaluje się, z którąś z ŁAT ze strony UPDATE MICROSOFT-u !!!

    Oczywiście, wszystko co jest złe, to nawet jeżeli nie wiemy, skąd to przylazło, to zakładamy że z Microsoftu. Informuję kolegę, że mam zainstalowane WSZYSTKIE poprawki Microsoftu dla Windows XP Professional oraz Office 2000 Professional i C-Dilli NIGDY w komputerze nie miałem. Zatem przyplątało się z innego źródła.


    W dalszym ciągu nie jestem pewien, czy z innego źródła :-(

    ZIPY zawierają wyeksportowane klucze rejestru. Nie radzę ich importować do siebie. Do podejrzenia w Unicode np. w podglądzie Total Commander'a.

    A najciekawszy klucz w tym wszystkim to:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Macrovision\Safecast\ShellWizards\0xb34e2000\Info\ProtectedProductPath]
    @="%windir%\\explorer.exe"

    Czy po nim mam rozumieć, ze jakaś firma, gdzieś tam na świecie sabotuje Microsoft? ;-) Albo, że bezinteresownie walczy z piractwem? ;-)

    Może kolega mi podpowie co powinienem o tym myśleć?

    A co do kolegi szyderstwa nt. "Wszystko co złe...", to chciałbym wyjaśnic, że w porównaniu ze wszelkiem maści dumnymi Linuksiarzami, którzy propagują takie niewydarzone poglądy - ja jestem wręcz zatwardziałym zwolennikiem wszystkiego co pochodzi z Redmond :D
    Wobec powyższego argument był conajmniej nietrafny :-)))
  • #25
    longines
    Level 26  
    ghost wrote:
    Co rozumiecie przez slowo skladak?


    Mogę się mylić, ale składakami w dzisiejszych czasach to pewnie nie są tylko komputery spod znaku Apple (jeśli chodzi o domowe komputery) ;-)
    Zasadniczo zgadzam się, dzisiejsze składaki kosztują tyle co kolorowa naklejka z logo na obudowie ;-) A w środku ... łomatko ;-)
  • #26
    childmaker
    Level 35  
    :arrow: longines nie masz przypadkiem autocada?
  • #28
    longines
    Level 26  
    childmaker wrote:
    :arrow: longines nie masz przypadkiem autocada?


    Nie mam, a co chcesz? ;-)

    Ani żadnego innego technicznego programu na pokładzie :-(

    Jak ktoś chce to zapraszam do lektury, fakt, że wszyscy tam nawijają o C-DILLA, ale nie wszyscy są tak optymistycznie nastawieni jak JANKOLO :-(

    http://www.broadbandreports.com/forum/remark,5307294~root=security,1~mode=flat

    http://www.broadbandreports.com/forum/remark,5329108~root=security,1~mode=flat

    http://www.dynedyr.org/blog.php?id=300

    Gry UT2003 tez nie instalowałem, generalnie mam sterylny system, nie instaluje czego popadnie (oprócz łat z Microsoftu).
  • #29
    longines
    Level 26  
    To jest mój log, może widzicie tu coś niepoprawnego?

    Logfile of HijackThis v1.99.0
    Scan saved at 10:44:49, on 2005-05-17
    Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
    C:\WINDOWS\Mixer.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Total Commander\Utils\System_Ad-aware 6\Ad-Watch.exe
    C:\Program Files\Total Commander\Utils\System_Bestcrypt\BCResident.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Total Commander\TOTALCMD.EXE
    C:\WINDOWS\System32\wuauclt.exe
    c:\Program Files\Total Commander\Utils\System_HiJack\HijackThis.exe
    C:\Program Files\Avant Browser\avant.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Program Files\Total Commander\Utils\System_Bestcrypt\BCWipeTM.exe" startup
    O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Total Commander\Utils\System_Ad-aware 6\Ad-Watch.exe"
    O4 - Global Startup: BestCrypt Auto Open.lnk = C:\Program Files\Total Commander\Utils\System_Bestcrypt\BestCrypt.exe
    O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
    O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
    O8 - Extra context menu item: C&ustomize this Menu - res://C:\Program Files\Total Commander\Utils\Net_Robo\RoboForm.dll/ComCustomIEMenu.html
    O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Program Files\Avant Browser\AddToADBlackList.htm
    O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
    O8 - Extra context menu item: Fi&ll Forms - res://C:\Program Files\Total Commander\Utils\Net_Robo\RoboForm.dll/ComFillForms.html
    O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - C:\Program Files\Avant Browser\OpenAllLinks.htm
    O8 - Extra context menu item: Podświetl - C:\Program Files\Avant Browser\Highlight.htm
    O8 - Extra context menu item: Save For&ms - res://C:\Program Files\Total Commander\Utils\Net_Robo\RoboForm.dll/ComSavePass.html
    O8 - Extra context menu item: Szukaj - C:\Program Files\Avant Browser\Search.htm
    O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consu...ls/en/x86/client/wuweb_site.cab?1114361688750
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
    O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe