Spod services.msc na przykład. Było tyle razy...

No to wiem ;] tylko nie wiem jak i gdzie :–) bede wdzieczny za ta pomoc

Peter_l:

169.254.122.187 serwer RIPE

O czym piszesz ?

Mephisto, albo sie nie przejmuj Poslancem poniewaz to nic niepokojacego (to forma spamu), albo wylacz jego usluge.

eeeem wiem tylko ze co jakis czas wyskakuje mi Usługa Posłaniec o niby wadliwym rejestrze czy cos w tym stylu (46 problems itp)

169.254.122.187 to serwer RIPE

To chyba na serio WSC rootkit.
Czyli będzie cięźko, ale to bardzo cięźko
Załatw sobie RootkitRevealer – www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml

Czyli moje podejrzenia sie jakby potwierdzają. Pula adresów 85.255.112.xx występuje bardzo często przy okazji obecności w systemie rootkita "Windows Security Center"
Nie zauwaźyłeś w trayu jakiś nowych ikonek, wyskakujących powiadomien z fałszywym WSC ?
Dodanie Trusted potwierdza tą teorię.

Czyli moje podejrzenia sie jakby potwierdzają. Pula adresów 85.255.112.xx występuje bardzo często przy okazji obecności w systemie rootkita "Windows Security Center"
Nie zauwaźyłeś w trayu jakiś nowych ikonek, wyskakujących powiadomien z fałszywym WSC ?
Dodanie Trusted potwierdza tą teorię.

Cytat: 169.254.122.187 chodzilo o to ze nie wiem co to jest a servery DNs to te 2 pozostale :P sorki za pokrecenie zdań :P
Neta mam w Chello (UPC) 2mbs

Mephisto:

Servery DNSów sa na pewno moje

169.254.122.187

poza tym, co do niego nie jestem pewien bo nie moglem go znalezc, z DNSów mam tylko 2 wpisane kody czyli:

85.255.113.138 oraz 85.255.112.16

Mephisto, nie wciskaj kitu. IP 169.254.122.187 nie moze byc Twoim serwerem DNS, poniewaz jest to IP APIPA – no chyba ze masz cudacznie ustawiona siec. Drugi zestaw, czyli 85.255.113.138 i 85.255.113.138 to serwery ukrainskie. Korzystasz zatem z uslug ukrainskiego providera ? Nie sadze.

Ten svchost z D:\WINDOWS wylatuje bez względu co tam ma we właściwosciach, ten z system32 zostaje.
Sciągnij sobie Killboxa i z jego pomocą usun ten niewidoczny plik.

cmdtel.exe nigdzie nie znalazlem ale za to znalazlem svchost.exe ktory nalezy do Microsoft Corporation wiec zostawilem go w spokoju, REPSAMO usunalem plikiem *.reg, co do HAXDOORa to jeszcze nie.

Spyware Doctor jest w pełnej wersji darmowej, wlasciciel progeamu costam mówił ze serwis narazie nieczynny albo cos i zostawil na swojej stronie login i kod aktywacyjny dla wszystkich zainteresowanych.

Ostatrnie usługi tak zwyczajnie nie usuniesz, otwórz wiersz poleceń (cmd) i wpisuj:
sc stop KDE
sc stop moto
sc delete KDE
sc delete moto
– usuń z dysku te dwa pliki: cmdtel.exe i svchost.exe z katalogu D:\WINDOWS, a nie D:\WINDOWS\system32
Pozbyleś się plików trojana Repsamo i Haxdoora.AG ?
Nie ma lekko, pozbędzesz się badziewia plikowego i odwołąń w rejestrze powinno sie poprawić.
Przejrzyj logi podglądu zdarzeń.

Usunalem te logi co trzeba i zostalo mi tylko:

Logfile of HijackThis v1.99.1
Scan saved at 12:22:53, on 2005–10–02
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\explorer.exe
D:\Program Files\Gadu–Gadu\gg.exe
D:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\SPYWAR~1\swdoctor.exe
D:\Documents and Settings\BarteK\Moje dokumenty\HijackThis1991.exe

R1 – HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ogame.pl
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 – BHO: PCTools Site Guard – {5C8B2A36–3DB1–42A4–A3CB–D426709BBFEB} – D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 – BHO: PCTools Browser Monitor – {B56A7D7D–6927–48C8–A975–17DF180C71AC} – D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 – HKLM\..\Run: [DAEMON Tools–1033] "C:\Program Files\D–Tools\daemon.exe" –lang 1033
O4 – HKLM\..\Run: [ATICCC] "D:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 – HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" –atboottime
O4 – HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Gadu–Gadu] "D:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Global Startup: ATI CATALYST System Tray.lnk = D:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O9 – Extra button: Spyware Doctor – {2D663D1A–8670–49D9–A1A5–4C56B4E14E84} – D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{06684E84–15FD–4F01–A73F–7B49C5BE3EE0}: NameServer = 85.255.113.138,85.255.112.16
O17 – HKLM\System\CCS\Services\Tcpip\..\{373E06F0–7C4F–4649–ADEB–C8DAA2571BD3}: NameServer = 85.255.113.138,85.255.112.16
O17 – HKLM\System\CCS\Services\Tcpip\..\{D97BCD35–9732–4FD0–9114–7AEFC50B0DDF}: NameServer = 85.255.113.138,85.255.112.16
O17 – HKLM\System\CS1\Services\Tcpip\..\{06684E84–15FD–4F01–A73F–7B49C5BE3EE0}: NameServer = 169.254.122.187
O17 – HKLM\System\CS2\Services\Tcpip\..\{06684E84–15FD–4F01–A73F–7B49C5BE3EE0}: NameServer = 85.255.113.138,85.255.112.16
O17 – HKLM\System\CS3\Services\Tcpip\..\{06684E84–15FD–4F01–A73F–7B49C5BE3EE0}: NameServer = 85.255.113.138,85.255.112.16
O18 – Filter: text/html – {B72F75B8–93F3–429D–B13E–660B206D897A} – (no file)
O18 – Filter: text/plain – {B72F75B8–93F3–429D–B13E–660B206D897A} – (no file)
O20 – Winlogon Notify: tcpG4T – D:\WINDOWS\SYSTEM32\tcpG4T.dll
O21 – SSODL: Might and Magic VIII: Day of the Destroyer(TM) – {EE2ABEFB–E401–D041–D1B7–8CEDF9CE1E8C} – c:\program files\3do\might and magic viii\winveqsk32.dll
O23 – Service: Ati HotKey Poller – ATI Technologies Inc. – D:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – D:\WINDOWS\system32\ati2sgag.exe
O23 – Service: Loading Outpost Connections (KDE) – Unknown owner – D:\WINDOWS\System32\cmdtel.exe (file missing)
O23 – Service: svchost.exe (moto) – Unknown owner – D:\WINDOWS\svchost.exe (file missing)

te dwa ostatnie co chwile powracaja, po kazdym usunieciu.
Internet Explorer nadal mi sie wylacza gdy chcwe wlaczyc jakas strone i nadal musze wchodzic do neta wpisujac adres npo z Moich Dokumentów.

Czy DSO Exploit to cos powaznego ?

Skoro serwery DNS są Twoje to zostają.
DSO Exploit – będzie powracał bo raz masz gołego, niezałatanego Windowsa, dwa ma sie czym przejmować SpyBot tak ma.
Possible extension hijack – jakieś drobne śmieci, nic szczególnego.
HitBox oraz DoubleClick – dobrze, źe znalazł ale to nic masakrycznego.
Gorsze jest to co masz w logu, troszkę roboty Cię czeka.

Skoro serwery DNS są Twoje to zostają.
DSO Exploit – będzie powracał bo raz masz gołego, niezałatanego Windowsa, dwa ma sie czym przejmować SpyBot tak ma.
Possible extension hijack – jakieś drobne śmieci, nic szczególnego.
HitBox oraz DoubleClick – dobrze, źe znalazł ale to nic masakrycznego.
Gorsze jest to co masz w logu, troszkę roboty Cię czeka.

Kod:

O21 – SSODL: Might and Magic VIII: Day of the Destroyer(TM) – {EE2ABEFB–E401–D041–D1B7–8CEDF9CE1E8C} – c:\program files\3do\might and magic viii\winveqsk32.dll

to jest kod od gry Might and Magic 8 (VIII)

Servery DNSów sa na pewno moje

169.254.122.187

poza tym, co do niego nie jestem pewien bo nie moglem go znalezc, z DNSów mam tylko 2 wpisane kody czyli:

85.255.113.138 oraz 85.255.112.16

Co do regów to juz mi poprawnie scala pliki.

Spybota chyba mam pelna wersje darmowa bo mam wszystkie dostepne opcje, a znalazl mi:

DSO Exploit – jego usuwam i zawsze powraca

Possible extension hijack – to samo, tez powraca

HitBox oraz DoubleClick

Logi te ktore mi podaliscie zaraz usune i powiadomie was o efekcie.

Mephisto, otwórz sobie typy plików w opcjach folderów, znajdź tam na liscie rozszerzenie REG, kliknij zaawansowane, znajdź akcje Scal (jesli jej nie będzie to utwórz ją) kliknij Edytuj i w aplikacji uźywanej... wpisz dokładnie: regedit.exe "%1"
Teraz ściagnij ten plik przez zapisz element docelowy: reg_fix
Kliknij prawym i Scal.
Jeśli nie pomoźe to rzeczywiscie ten sam plik zaimportuj przez reg import.

Co do loga troszkę inacej tpo wygląda:

R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
F2 – REG:system.ini: Shell=explorer.exe "D:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00007.exe"
O2 – BHO: (no name) – {118ADDEE–335B–4CFC–2905–3AB67B44F5CA} – (no file)
O2 – BHO: (no name) – {78364D99–A640–4ddf–B91A–67EFF8373045} – D:\WINDOWS\system32\appwiz.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – D:\DOCUME~1\BARTEK~1\MOJEDO~1\FLASHGET\jccatch.dll (file missing)
O2 – BHO: (no name) – {D0C120BE–9F0A–E6A0–7870–CD89685E6B90} – blank (file missing)
O2 – BHO: ZToolbar Activator Class – {FFF5092F–7172–4018–827B–FA5868FB0478} – blank (file missing)
O4 – HKLM\..\Run: [SysMemory manager] d:\windows\system32\mdms.exe
O9 – Extra button: Cool Flash Player – {1DD00580–1EBE–11D6–B336–95364C649934} – C:\PROGRA~1\CFLASH~1\source.html (file missing)
O9 – Extra 'Tools' menuitem: &Search SWF Files – {1DD00580–1EBE–11D6–B336–95364C649934} – C:\PROGRA~1\CFLASH~1\source.html (file missing)
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – D:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – D:\WINDOWS\web\related.htm
O15 – Trusted IP range: 67.19.178.84 (HKLM)
O16 – DPF: {389C2A4F–2B5D–3E8A–963A–24E65C7D1AD9} – http://216.118.71.185/1/rdgNL1828.exe
O18 – Filter: text/html – {B72F75B8–93F3–429D–B13E–660B206D897A} – (no file)
O18 – Filter: text/plain – {B72F75B8–93F3–429D–B13E–660B206D897A} – (no file)
O20 – Winlogon Notify: tcpG4T – D:\WINDOWS\SYSTEM32\tcpG4T.dll
O21 – SSODL: System – {C6D33C82–6800–4E9B–A31C–F24BC2B69809} – vr_sys.dll (file missing)
O21 – SSODL: SysTray.Exlv – {5368DCFC–4F5C–4f5b–B134–E67294FC78E9} – D:\WINDOWS\System32\knbbfdma.dll
O23 – Service: Loading Outpost Connections (KDE) – Unknown owner – D:\WINDOWS\System32\cmdtel.exe (file missing)
O23 – Service: svchost.exe (moto) – Unknown owner – D:\WINDOWS\svchost.exe (file missing)

– przerób usuwanie Repsamo
– przerób usuwanie Haxdoora.AG
– przerób usuwanie usług poleceniem sc (stop/delete)
– Spyware Doctora masz w wersji pełnej czy darmowej ? Jeśli darmowej to IMO wywal, nie mam zupełnie zaufania do tego produktu.

Twoje ?

O21 – SSODL: Might and Magic VIII: Day of the Destroyer(TM) – {EE2ABEFB–E401–D041–D1B7–8CEDF9CE1E8C} – c:\program files\3do\might and magic viii\winveqsk32.dll

Numery DNSów są Twoje na pewno ?

O17 – HKLM\System\CCS\Services\Tcpip\..\{06684E84–15FD–4F01–A73F–7B49C5BE3EE0}: NameServer = 85.255.113.138,85.255.112.16
O17 – HKLM\System\CCS\Services\Tcpip\..\{373E06F0–7C4F–4649–ADEB–C8DAA2571BD3}: NameServer = 85.255.113.138,85.255.112.16
O17 – HKLM\System\CCS\Services\Tcpip\..\{D97BCD35–9732–4FD0–9114–7AEFC50B0DDF}: NameServer = 85.255.113.138,85.255.112.16
O17 – HKLM\System\CS1\Services\Tcpip\..\{06684E84–15FD–4F01–A73F–7B49C5BE3EE0}: NameServer = 169.254.122.187
O17 – HKLM\System\CS2\Services\Tcpip\..\{06684E84–15FD–4F01–A73F–7B49C5BE3EE0}: NameServer = 85.255.113.138,85.255.112.16
O17 – HKLM\System\CS3\Services\Tcpip\..\{06684E84–15FD–4F01–A73F–7B49C5BE3EE0}: NameServer = 85.255.113.138,85.255.112.16

Update: Poprawiony link do fixa.

SpyBot S&D zanjduje mi pliki, usuwa je a w nastepnym skanie znow je znajduje.
Dam jeszcze logi z Hijacka:

Logfile of HijackThis v1.99.1
Scan saved at 19:58:41, on 2005–10–01
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\explorer.exe
C:\Program Files\D–Tools\daemon.exe
D:\Program Files\Gadu–Gadu\gg.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Documents and Settings\BarteK\Moje dokumenty\HijackThis1991.exe

R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R1 – HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ogame.pl
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: Shell=explorer.exe "D:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00007.exe"
O2 – BHO: (no name) – {118ADDEE–335B–4CFC–2905–3AB67B44F5CA} – (no file)
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 – BHO: PCTools Site Guard – {5C8B2A36–3DB1–42A4–A3CB–D426709BBFEB} – D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 – BHO: (no name) – {78364D99–A640–4ddf–B91A–67EFF8373045} – D:\WINDOWS\system32\appwiz.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – D:\DOCUME~1\BARTEK~1\MOJEDO~1\FLASHGET\jccatch.dll (file missing)
O2 – BHO: PCTools Browser Monitor – {B56A7D7D–6927–48C8–A975–17DF180C71AC} – D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 – BHO: (no name) – {D0C120BE–9F0A–E6A0–7870–CD89685E6B90} – blank (file missing)
O2 – BHO: ZToolbar Activator Class – {FFF5092F–7172–4018–827B–FA5868FB0478} – blank (file missing)
O4 – HKLM\..\Run: [DAEMON Tools–1033] "C:\Program Files\D–Tools\daemon.exe" –lang 1033
O4 – HKLM\..\Run: [ATICCC] "D:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 – HKLM\..\Run: [SysMemory manager] d:\windows\system32\mdms.exe
O4 – HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" –atboottime
O4 – HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Gadu–Gadu] "D:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Global Startup: ATI CATALYST System Tray.lnk = D:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – D:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – D:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 – Extra button: Cool Flash Player – {1DD00580–1EBE–11D6–B336–95364C649934} – C:\PROGRA~1\CFLASH~1\source.html (file missing)
O9 – Extra 'Tools' menuitem: &Search SWF Files – {1DD00580–1EBE–11D6–B336–95364C649934} – C:\PROGRA~1\CFLASH~1\source.html (file missing)
O9 – Extra button: Spyware Doctor – {2D663D1A–8670–49D9–A1A5–4C56B4E14E84} – D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – D:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – D:\WINDOWS\web\related.htm
O15 – Trusted IP range: 67.19.178.84 (HKLM)
O16 – DPF: {389C2A4F–2B5D–3E8A–963A–24E65C7D1AD9} – http://216.118.71.185/1/rdgNL1828.exe
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{06684E84–15FD–4F01–A73F–7B49C5BE3EE0}: NameServer = 85.255.113.138,85.255.112.16
O17 – HKLM\System\CCS\Services\Tcpip\..\{373E06F0–7C4F–4649–ADEB–C8DAA2571BD3}: NameServer = 85.255.113.138,85.255.112.16
O17 – HKLM\System\CCS\Services\Tcpip\..\{D97BCD35–9732–4FD0–9114–7AEFC50B0DDF}: NameServer = 85.255.113.138,85.255.112.16
O17 – HKLM\System\CS1\Services\Tcpip\..\{06684E84–15FD–4F01–A73F–7B49C5BE3EE0}: NameServer = 169.254.122.187
O17 – HKLM\System\CS2\Services\Tcpip\..\{06684E84–15FD–4F01–A73F–7B49C5BE3EE0}: NameServer = 85.255.113.138,85.255.112.16
O17 – HKLM\System\CS3\Services\Tcpip\..\{06684E84–15FD–4F01–A73F–7B49C5BE3EE0}: NameServer = 85.255.113.138,85.255.112.16
O18 – Filter: text/html – {B72F75B8–93F3–429D–B13E–660B206D897A} – (no file)
O18 – Filter: text/plain – {B72F75B8–93F3–429D–B13E–660B206D897A} – (no file)
O20 – Winlogon Notify: tcpG4T – D:\WINDOWS\SYSTEM32\tcpG4T.dll
O21 – SSODL: System – {C6D33C82–6800–4E9B–A31C–F24BC2B69809} – vr_sys.dll (file missing)
O21 – SSODL: Might and Magic VIII: Day of the Destroyer(TM) – {EE2ABEFB–E401–D041–D1B7–8CEDF9CE1E8C} – c:\program files\3do\might and magic viii\winveqsk32.dll
O21 – SSODL: SysTray.Exlv – {5368DCFC–4F5C–4f5b–B134–E67294FC78E9} – D:\WINDOWS\System32\knbbfdma.dll
O23 – Service: Ati HotKey Poller – ATI Technologies Inc. – D:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – D:\WINDOWS\system32\ati2sgag.exe
O23 – Service: Loading Outpost Connections (KDE) – Unknown owner – D:\WINDOWS\System32\cmdtel.exe (file missing)
O23 – Service: svchost.exe (moto) – Unknown owner – D:\WINDOWS\svchost.exe (file missing)

Sparawdz czy nie masz syfu:

skaner MKS On Line
Spybot Search & Destroy
CWShredder
Ad–aware SE Personal
HijackThis

co do ikon start=>> uruchom regsvr32 /i shell32

rejestr moźesz importować za pomocą polecenia

reg import ścieźka_do_pliku\exefix.reg