Dzięki El–Nino. Zaraz to wykonam, ale co po wpisaniu tej komendy mam zrobić?
Kliknąć Enter? Co dalej? jak powrócić do zwykłej pracy systemu? Czy po powrocie jeszcze raz dodawać ten kod do rejestru:


REGEDIT4

[–HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12345678–0000–0010–8000–00AAFF6D2EA4}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{12345678–0000–0010–8000–00AAFF6D2EA4}"=–


Ja naprawde jestem ZIELONY :cry:

W takim razie tak jak EL NINO napisał.

Do usuniecia po wszystkim:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{12345678–0000–0010–8000–00AAFF6D2EA4}" = "Sysctl Desktop Handler"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\systr.dll" [null data]

MichalB1973:

Mam jakąś inną płytę instalacyjną ze zintegrowanym SP1 ale szczerze mówiąc nie bardzo wiem czy mogę się nią posłuźyć ani jak to zrobić.

Mozesz uzyc tej plyty. Uruchamiasz z niej komputer i na pierwszym ekranie gdzie masz mozliwosc wyboru co chcesz zrobic naciskasz literke "R" – napraw. Zostaniesz poproszony o wybor system,u do ktorego chcesz sie zalogowac a ze masz tylko jeden, nie bedziesz mial dylematu. Jeszcze tylko haslo do ADMINISTRATORA – jesli nie zakladales do wbudowanego konta, naciskasz tylko Enter. Pokaze Ci sie prompt z migajacym powoli kursorem i w tym miejscu wpisujesz komende. Zapisz sobie wczesniej dokladna sciezke do pliku.

Najpierw odpowiedź dla El–Nino:
Mam NTFS, ale nie mam płyty XP z której był instalowany system. Mam jakąś inną płytę instalacyjną ze zintegrowanym SP1 ale szczerze mówiąc nie bardzo wiem czy mogę się nią posłuźyć ani jak to zrobić.

Teraz odpowiadam Bobi_robert'owi:
W trybie awaryjnym równieź nie zadziałało polecenie:regsvr32 /u systr.dll
Nadal nie moźna usunąć pliku systr.dll
Wklejam log z Silenta:

"Silent Runners.vbs", revision 33, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"


Startup items buried in registry:
–––––––––––––––––––––––––––––––––

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MemStat" = "C:\Program Files\MemStat XP\MemStat.exe" [null data]
"Gadu–Gadu" = ""C:\Program Files\Gadu–Gadu\gg.exe" /tray" ["sms–express.com"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"UpdReg" = "C:\WINDOWS\Updreg.exe" ["Creative Technology Ltd."]
"AHQInit" = "C:\Program Files\Creative\SBLive\Program\AHQInit.exe" ["Creative Technology Ltd"]
"AudioHQ" = "C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE" ["Creative Technology Ltd."]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"CloneCDElbyCDFL" = ""C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"]
"IntelliPoint" = ""C:\Program Files\Microsoft IntelliPoint\point32.exe"" [MS]
"KE9801" = "C:\PROGRA~1\T–Media\MMHotKey.EXE" ["Dritek System Inc."]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" –atboottime" ["Apple Computer, Inc."]
"GhostStartTrayApp" = "C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe" ["Symantec Corporation"]
"ccApp" = ""C:\Program Files\Common Files\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"URLLSTCK.exe" = "C:\Program Files\Norton Internet Security\UrlLstCk.exe" ["Symantec Corporation"]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe" ["Symantec Corporation"]
"SSC_UserPrompt" = "C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe" ["Symantec Corporation"]
"tray.exe" = ""C:\Program Files\Paragon Software\Paragon CD–ROM Emulator\tray.exe"" ["Paragon Gmbh."]
"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe" ["Sun Microsystems, Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F–C8D7–4D59–B87D–784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{9ECB9560–04F9–4bbc–943D–298DDF1699E1}\(Default) = "Web assistant"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
{A5366673–E8CA–11D3–9CD9–0090271D075B}\(Default) = "IeCatch2 Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\FlashGet\jccatch.dll" ["Amaze Soft"]
{BDF3E430–B101–42AD–A544–FADC6B084872}\(Default) = "NAV Helper"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0E6C58A9–F592–4862–B35F–CA45E24003B3}" = "CloneCD"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{0006F045–0000–0000–C000–000000000046}" = "Microsoft Outlook Custom Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206–2D85–11D3–8CFF–005004838597}" = "Microsoft Office HTML Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860–8EE4–11D2–9906–E49FADC173CA}" = "WinRAR shell extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{20082881–FC36–4E47–9A7A–644C95FF749F}" = "IntelliPoint Wireless Control Panel Property Page"
–> {CLSID}\InProcServer32\(Default) = ""C:\Program Files\Microsoft IntelliPoint\ipcplwir.dll"" [MS]
"{AF90F543–6A3A–4C1B–8B16–ECEC073E69BE}" = "IntelliPoint Wheel Control Panel Property Page"
–> {CLSID}\InProcServer32\(Default) = ""C:\Program Files\Microsoft IntelliPoint\ipcplwhl.dll"" [MS]
"{653DCCC2–13DB–45B2–A389–427885776CFE}" = "IntelliPoint Activities Control Panel Property Page"
–> {CLSID}\InProcServer32\(Default) = ""C:\Program Files\Microsoft IntelliPoint\ipcplact.dll"" [MS]
"{124597D8–850A–41AE–849C–017A4FA99CA2}" = "IntelliPoint Buttons Control Panel Property Page"
–> {CLSID}\InProcServer32\(Default) = ""C:\Program Files\Microsoft IntelliPoint\ipcplbtn.dll"" [MS]
"{F0CB00CD–5A07–4D91–97F5–A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real Alternative\rpshell.dll" ["RealNetworks, Inc."]
"{A70C977A–BF00–412C–90B7–034C51DA2439}" = "NvCpl DesktopContext Class"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{57C51AF9–DEF7–11D3–A801–00C04F163490}" = "Ghost Shell Extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton SystemWorks\Norton Ghost\GhoShExt.dll" ["Symantec Corporation"]
"{94864874–4489–4571–A012–9211684B77B3}" = "Paragon CDE 3.0 drive shell extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Paragon Software\Paragon CD–ROM Emulator\ShellExt.dll" ["Paragon Gmbh."]
"{4ABCA80E–10F7–46e8–8018–0A911E57990B}" = "Paragon CDE 3.0 image shell extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Paragon Software\Paragon CD–ROM Emulator\ShellExt.dll" ["Paragon Gmbh."]
"{FFB699E0–306A–11d3–8BD1–00104B6F7516}" = "Play on my TV helper"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949–8F65–4355–8456–263E7C208A5D}" = "Desktop Explorer"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A47}" = "Desktop Explorer Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A48}" = "nView Desktop Context Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{12345678–0000–0010–8000–00AAFF6D2EA4}" = "Sysctl Desktop Handler"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\systr.dll" [null data]


Enabled Wallpaper and Active Desktop:
–––––––––––––––––––––––––––––––––––––

Active Desktop is disabled.

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"


Startup items in "Michał" & "All Users" startup folders:
––––––––––––––––––––––––––––––––––––––––––––––––––––––––

C:\Documents and Settings\Michał\Menu Start\Programy\Autostart
"WinBar" –> shortcut to: "C:\Program Files\WinBar\WinBar.exe" ["JDM"]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"Microsoft Office" –> shortcut to: "C:\Program Files\Microsoft Office\Office10\OSA.EXE –b –l" [MS]
"WinKey" –> shortcut to: "C:\Program Files\WinKey\WinKey.exe" [null data]


Enabled Scheduled Tasks:
––––––––––––––––––––––––

"Norton AntiVirus – Skanuj komputer – Michał" –> launches: "C:\PROGRA~1\NORTON~2\NORTON~1\NAVW32.EXE /task:"C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"Norton AntiVirus – Skanuj komputer" –> launches: "C:\PROGRA~1\NORTON~2\NORTON~1\Navw32.exe /task:"C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"Symantec NetDetect" –> launches: "C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
–––––––––––––––––––––––––––––––

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 – 03, 06 – 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 – 05


Running Services (Display Name, Service Name, Path {Service DLL}):
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\System32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
GhostStartService, GhostStartService, "C:\PROGRA~1\NORTON~1\NORTON~1\GHOSTS~2.EXE" ["Symantec Corporation"]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
Norton Unerase Protection, NProtectService, "C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
SAVScan, SAVScan, "C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe" ["Symantec Corporation"]
Speed Disk service, Speed Disk service, "C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, "C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe" ["Symantec Corporation"]
Symantec Network Proxy, ccProxy, ""C:\Program Files\Common Files\Symantec Shared\ccProxy.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Usługa Auto Protect programu Norton AntiVirus, navapsvc, ""C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\System32\MsPMSPSv.exe" [MS]


––––––––––
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the –all parameter.
––––––––––

Tak wiec wystartuj system w awaryjnym.
W uruchom wpisz raz jeszcze: regsvr32 /u systr.dll
Usun plik systr.dll i jescze raz dodajesz to do rejestru.

Co z logiem z Sillenta ??

Update: EL – chciałes cos ?? :wink: czy znowu zes sie jakis przyspieszaczy nawpitalał na sniadanie ?? :P

Jesli system masz na FAT32, uruchom komputer z dyskietki startowej w98 jesli taka masz i usun plik spod DOSa. Mozesz to rowniez zrobic z konsoli odzyskiwania uruchomionej po starcie kompa z plyty XP, co przy NTFSie jest jedynym wyjsciem. Z DOSa czy konsoli wpisujesz "del x:\sciezka_do_pliku\systr.dll"

Dodałem do rejestru kod, który kazałeś. Wszystko przebiegło OK. Niestety nie mogę usunąć biblioteki systr.dll
Wyskakuje mi okno "Nie moźna usunąć systr. Odmowa dostępu.Sprawdź, czy dysk nie jest zapełniony lub chroniony przed zapisem oraz czy plik nie jest uźywany.
Zrestartowałem kompa i spróbowałem znowu. Niestety bezskutecznie (znowu wyskoczyło to okno).
W między czasie jak spisywałem zawartość tego okna samoczynnie uruchomiła mi się przeglądarka i próbowała połączyć się ze stroną Hotoffers... :cry:

Sillent Runners to skrypt VBS i normalne ze Norton bedzie probował na poczatku go zablokować. Zezwól.
Skoro wyrejestrowanie zwraca to co zwraca to przejdz do nastepnego punktu czyli wywalenia tym przygotowanym plikiem kluczy z rejestru, nastepnie usun biblioteke systr.dll bo to ona steruje zmieną strony startowej i wyswietlaniem pop–up'ów.
Pamietaj ze moze byc ona okryta wiec najpierw w opcjach folderów odznacz zeby nie pokazywało systemowych i zaznacz zeby pokazywało ukryte)
Na koncu po całej zabawie podrzucasz log zrobiony Sillentem.
Obrazek wrzuc na Image Shack bo niestety na forum nie widać go nawet jak załaczony jest.
Błąd jest od Nortona ??

Witam.
Zgodnie z poradą usunąłem:
O16 – DPF: {F5192746–22D6–41BD–9D2D–1E75D14FBD3C} – http://download.rfwnad.com/cab/crack.CABŚciągnąłem z netu Silent Runners, ale w momencie uruchamiania Norton go blokuje. Pisze, źe wykryto złośliwy skrypt "Ryzyko wysokie" i pyta czy mimo to mam kontynuować? Co wybrać:
–Pozwól na 1 wykonanie operacji
–Pozwól na 1 uruchomienie całego skryptu

Gdy wpisałem w uruchom : regsvr32 /u systr.dll to wyskoczyło mi okno RegSvr32 w którym było napisane:
Załadowano plik systr.dll, ale nie moźna odnaleźć punktu wejścia Dll.UnregisterServer. Nie moźna zarejestrować tego pliku.

Dalej nic nie robiłem. Nie dodawałem nic do rejestru, bo nie wiem czy pomimo powyźszych problemów mam kontynuować? Czy wklejać do rejestru ten kod i czy wykasować systr.dll?
Co mam począć z tym Silent Runners i z poleceniem regsvr32 /u systr.dll

Czekam na dalsze rady.

P.S. Zapomniałem dodać, źe co chwilę wyskakuje mi na pulpicie okienko Error#317 ... (w załączniku wklejam screen)

MemStat to z pewnoscia nie najszczesliwszy program, ale zeby go tak od razu wywalać to chyba nie.
Michale wez troche ukruć ten log. Masz kupe programow, które naprawde sa zbedne przy starcie systemu. Nie zauwazyłes ze system sie długo wczytuje ??

Usun dodatkowo:

O16 – DPF: {F5192746–22D6–41BD–9D2D–1E75D14FBD3C} – http://download.rfwnad.com/cab/crack.CAB

Pokaz mi jeszcze log z Sillent Runners
Pozniej wpisz w uruchom: regsvr32 /u systr.dll
Otworz notatnik, wklej do niego:

REGEDIT4

[–HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12345678–0000–0010–8000–00AAFF6D2EA4}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{12345678–0000–0010–8000–00AAFF6D2EA4}"=–

i zapisz z rozszerzeniem reg, nastepnie dodaj do rejestru
Skasuj z dysku systr.dll

a przywracanie systemu wyłączone? wyłącz i wywal

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/
C:\Program Files\MemStat XP\MemStat.exe
O4 – HKCU\..\Run: [MemStat] C:\Program Files\MemStat XP\MemStat.exe

katalog MemStat XP leci z dysku.
poczekaj jeszcze ,źeby potwierdził Bobi_robert lub El_NINO.
PZDR

Na wstępie chciałbym podziękować Bobi_robertowi za zainteresowanie moim tematem. Niestety po wykonaniu (usunięciu) tego o czym pisał nadal moją stroną startową w przeglądarce jest:

http://www.hotoffers.info/179/

Nie wiem co dalej z tym począć. Proszę o następne podpowiedzi. Oto mój aktualny Log:

Logfile of HijackThis v1.99.1
Scan saved at 20:42:12, on 2005–03–23
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\T–Media\MMHotKey.EXE
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Paragon Software\Paragon CD–ROM Emulator\tray.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MemStat XP\MemStat.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\Program Files\WinKey\WinKey.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Downloads\hijackthis\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 – BHO: Web assistant – {9ECB9560–04F9–4bbc–943D–298DDF1699E1} – C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FlashGet\jccatch.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O3 – Toolbar: Web assistant – {0B53EAC3–8D69–4b9e–9B19–A37C9A5676A7} – C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 – HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 – HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 – HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 – HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 – HKLM\..\Run: [KE9801] C:\PROGRA~1\T–Media\MMHotKey.EXE
O4 – HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime
O4 – HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 – HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 – HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 – HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 – HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 – HKLM\..\Run: [tray.exe] "C:\Program Files\Paragon Software\Paragon CD–ROM Emulator\tray.exe"
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MemStat] C:\Program Files\MemStat XP\MemStat.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 – Global Startup: WinKey.lnk = C:\Program Files\WinKey\WinKey.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\PROGRA~1\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\PROGRA~1\FlashGet\jc_all.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O16 – DPF: {31B7EB4E–8B4B–11D1–A789–00A0CC6651A8} (Cult3D ActiveX Player) – http://www.cult3d.com/download/cult.cab
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {F5192746–22D6–41BD–9D2D–1E75D14FBD3C} – http://download.rfwnad.com/cab/crack.CAB
O23 – Service: Symantec Event Manager (ccEvtMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 – Service: Symantec Network Proxy (ccProxy) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 – Service: Symantec Password Validation (ccPwdSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 – Service: Symantec Settings Manager (ccSetMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 – Service: Creative Service for CDROM Access – Creative Technology Ltd – C:\WINDOWS\System32\CTsvcCDA.EXE
O23 – Service: GhostStartService – Symantec Corporation – C:\PROGRA~1\NORTON~1\NORTON~1\GHOSTS~2.EXE
O23 – Service: LexBce Server (LexBceS) – Lexmark International, Inc. – C:\WINDOWS\system32\LEXBCES.EXE
O23 – Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) – Symantec Corporation – C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 – Service: Norton Unerase Protection (NProtectService) – Symantec Corporation – C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SAVScan – Symantec Corporation – C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 – Service: ScriptBlocking Service (SBService) – Symantec Corporation – C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 – Service: Symantec Network Drivers Service (SNDSrvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 – Service: Speed Disk service – Symantec Corporation – C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 – Service: SymWMI Service (SymWSC) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Usun FIX + wyboldowany plik:

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/
R3 – Default URLSearchHook is missing
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKLM\..\Run: [fdbzakll] C:\WINDOWS\ycsdhj.exe

Sam ustawiałes ??
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://www.tranexp.com;http://www.tranexp.com

PS: Bloodhound.Exploit.6 to nic innego jak głeboka heurystyka, skaner wykrywa jakas luke w zabezpieczeniach i krzyczy.