slawek79:

to w sumie miało byś tak źe miałem instalować system normalnie i dopiero wtedy wciskac F8 lub R i wtedy robić te procedury tak ?????????

Nie kolego. W momencie gdy pokazuje sie ekran z wyborem instalacji, naprawy, itd, wybiera sie naprawe (wciska sie literke "R". Nastepnym krokiem jest ewentualny wybor systemu do ktorego chcemy sie zalogowac i podanie hasla ADMINISTRATORA.

Jeszcze jedno – akceptowanie licencji pojawia sie po wyborze "instalacji" zamiast "naprawy" i tutaj Bobi popelnil maly blad.

spoko Bobi nie mam źadnych pretensji do ciebie to moja wina (nauczka na przyszłośc)
zresztą TY jeden mi pomagałeś
to w sumie miało byś tak źe miałem instalować system normalnie i dopiero wtedy wciskac F8 lub R i wtedy robić te procedury tak ?????????
Odpisz czy tak miało być będę wiedział na przyszłość ???????

Jak juz zacząłeś naprawiac system przez nakładke czy tam naprawe to wypadałoby skończyc.
Zresztą nigdzie Ci nie napisałem ze masz to robić, kazałem wejsc do konsoli odzyskiwania i strzelić trzy proste komendy, nic wiecej.
Do konsoli wchodzisz bootujac płyte systemową w napędzie, akceptujesz licencje [F8] i teraz wciskasz na kolejnym ekranie literke R, wpisujesz numer instalacji do którego chcesz sie dostać (jesli masz tylko jeden system to bedzie to 1), wpisujesz hasło Administratora i jestes w konsoli
Za pierwszym razem jak pojawi sie info na dole ekranu z litera R to własnie konsola, za drugim razem to własciwa naprawa systemu, ktora zapewne wykonałes tylko czesciowo.
Składniki sieciowe instaluja sie na samym koncu i IMO stad ten problem z netem.
Jesli juz kompa zaniosłeś do naprawy to po ptokach, ale gdybyś dokończył i odczekał ten czas nie było by problemu.

Pięknie po prostu wyśmienicie teraz nie mam nic (ale w sumie po co się zabierałem za to jak się nie znam) teraz zapłacę pewnie z 80 zł.
Chciałem zrobić tak jak mi kazaliście ale widocznie coś popierdzieliłem
Chciałbym się dowiedzieć gdzie zrobiłem błąd???
Proces volgil.exe miałem usunąć z HJT ale naprawdę nie dało rady tak samo z hwclock teź nic nie dawało jak równieź z wiersza poleceń
Więc miałem coś zrobić z konsoli odzyskiwania więc zacząłem szukać co to wogóle jest na tym forum nic nie znalazłem ale poszukałem gdzieś indziej i miałem postępować zgodnie z tym:
Uruchamianie Konsoli odzyskiwania systemu Windows
Aby uruchomić Konsolę odzyskiwania systemu Windows, uźyj dowolnej z poniźszych metod:

Uruchom komputer przy uźyciu dyskietek Instalatora systemu Windows lub dysku CD z systemem Windows. Gdy pojawi się ekran powitalny Instalatora, naciśnij klawisz F10 lub R (Repair), aby uźyć funkcji naprawiania, a następnie uruchom Konsolę odzyskiwania systemu Windows.

Dodaj Konsolę odzyskiwania systemu Windows do folderu startowego systemu Windows, uźywając narzędzia Winnt32.exe z opcją /cmdcons. Ta procedura wymaga około 7 megabajtów (MB) miejsca na partycji systemowej w celu zapisania folderu Cmdcons i plików

Korzystanie z konsoli poleceń
Po uruchomieniu Konsoli odzyskiwania systemu Windows pojawi się następujący komunikat:
Konsola odzyskiwania systemu Microsoft Windows(R)

Konsola odzyskiwania oferuje moźliwości naprawy i odzyskiwania systemu.
Wpisz polecenie EXIT, aby zakończyć działanie konsoli i ponownie uruchomić komputer.

No i co no i nic nie dało po prostu rady włączyć system oczywiście z płyty moźna otworzyć ale wyświetla się strona i tam jest kilka pozycji do wyboru 1 instaluj 2 sprawdź a dalej juź nie pamiętam ale było ich kilka
Kliknąłem więc na instalacje i tam było do wyboru aktualizuj lub pełna instalacja (cały czas próbowałem naciskać [F8] albo [R] i nic zacząłem więc instalować te aktualizacje ale przerwałem (wyjąłem płytkę)
No i teraz się zaczęło uciekło przywracanie systemy uciekł mi Internet nie mogłem ustanowić źadnego połączenia i przy uruchomianiu systemu pojawiło się do wyboru SYSTEM XP i INSTALATOR SYSTEMY XP PROFESIONAL więc dalej chciałem zainstalować włoźyłem jeszcze raz i zacząłem robić jak wyźej ale przerwałem bo po lewej stronie jest czas do ukończenia a było 51 minut wiec myślałem ze to będzie instalowany cały system i przerwałem no i juź nie wszedłem do systemu ani normalnie ani z trybu awaryjnego wyświetla się tylko ekran powitalny i dalej czarny ekran
Zresztą jak w ogóle wejść do tej konsoli robiłem tak źe miałem dysk włoźony i naciskałem F8 lub R i nic nie wskakiwało normalnie nie czaję (gdyby ktoś był taki i opisał krok po kroku co trzeba robić to by było dobrze jak kaźdy wie takie forum jak te jest dla początkujących którzy nie maja pojęcia)
Jak ktoś wie to niech napiszę gdzie zrobiłem błąd i dlaczego uciekło przywracanie systemu (tzn zostało wyłączone)???
Jak w ogóle uruchomić system z płyty CD?????
Dałem komp. do serwisu mam nadzieje źe jakoś to uruchomią i uratują mi dysk D bo miałem tak wszystkie dane
TAK TO JEST JAK SIĘ KTOŚ BIERZE ZA COŚ NA CZYM SIĘ NIE ZNA!!!!!!!!!!!!!!!!
PORASZKA :( :( :( :( :( :( KLĘSKA :( :( :( :(

Wiec w HJT masz te dwa wpisy tylko.
Pierwszy plik spróbuj usunąc w konsoli odzyskiwania poleceniem: DEL C:\Windows\system32\volqil.exe
Wpis w Hijacku wyhacz i FIX CHECKED

Przy drugim pliku jeśli sie go pozbyłes wystarczy ze w HJT, Config >> Misc Tools >> Delete an NT service, w okno wpisz: hwclock i potwierdz
Po resecie systemu wpis powinien zniknać
Jesli plik nadal masz na dysku to najpierw siekasz usluge w wierszu polecen (cmd): net stop hwclock
Następnie usuwasz ją narzedziem Hijacka jak powyzej a dopiero wtedy szukasz i usuwasz plik.
Jak dostac sie do konsoli odzyskiwania było juź na forum wielokrotnie opisywane

Logi Silenta i Stardrecka nic nowego do sprawy nie wniosły, spróbuj ten sterownik przy okazji z pomoca konsoli odzyskiwania trzepnąć.

no to znowu ja
Bobi robiłem tak jak napisałeś ale nie moge wszystkich usunąć zreszta jak niektóre sie usunęły to chyba dobrze robię tzn dobrze je kasuje
zerknij sam

log z HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 21:01:48, on 2005–06–30
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVirenKit\AVKService.exe
C:\Program Files\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\volqil.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Bankrut\bankrut.exe
C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\x\Pulpit\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: UserInit=userinit.exe,volqil.exe
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [wpkontakt] C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe –autostart
O4 – HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe"
O4 – HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 – HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
O4 – HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" –osboot
O4 – HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [AVKBar] DISABLED:"C:\Program Files\AntiVirenKit\AVKBar.exe"
O4 – Startup: Bankrut.lnk = C:\Program Files\Bankrut\bankrut.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116361299390
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{FE29A7CB–749E–4620–958E–ECD2B2A838A6}: NameServer = 194.204.159.1 217.98.63.164
O18 – Protocol: wpmsg – {2E0AC5A0–3597–11D6–B3ED–0001021DC1C3} – C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll
O23 – Service: AVK Service (AVKService) – Unknown owner – C:\Program Files\AntiVirenKit\AVKService.exe
O23 – Service: Straźnik AVK (AVKWCtl) – Unknown owner – C:\Program Files\AntiVirenKit\AVKWCtl.exe
O23 – Service: Hardware Clock Driver (hwclock) – Unknown owner – C:\WINDOWS\System32\hwclock.exe (file missing)
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe

log z Silent Runners
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"


Startup items buried in registry:
–––––––––––––––––––––––––––––––––

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Skype" = ""C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"AVKBar" = "DISABLED:"C:\Program Files\AntiVirenKit\AVKBar.exe"" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"wpkontakt" = "C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe –autostart" [null data]
"APVXDWIN" = ""C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s" [file not found]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"HP Software Update" = ""C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe"" ["Hewlett–Packard"]
"HP Component Manager" = ""C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"" ["Hewlett–Packard Company"]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe" ["HP"]
"DeviceDiscovery" = "C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett–Packard"]
"TkBellExe" = ""C:\Program Files\Common Files\Real\Update_OB\realsched.exe" –osboot" ["RealNetworks, Inc."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21–C1B6–4629–986C–E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F–C8D7–4D59–B87D–784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714–76d4–11d1–8b24–00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
–> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{FFB699E0–306A–11d3–8BD1–00104B6F7516}" = "Play on my TV helper"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{A70C977A–BF00–412C–90B7–034C51DA2439}" = "NvCpl DesktopContext Class"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949–8F65–4355–8456–263E7C208A5D}" = "Desktop Explorer"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A47}" = "Desktop Explorer Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A48}" = "nView Desktop Context Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{00020D75–0000–0000–C000–000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\MLSHEXT.DLL" [MS]
"{0006F045–0000–0000–C000–000000000046}" = "Microsoft Outlook Custom Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{42042206–2D85–11D3–8CFF–005004838597}" = "Microsoft Office HTML Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{640167b4–59b0–47a6–b335–a6b3c0695aea}" = "Portable Media Devices"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [file not found]
"{cc86590a–b60a–48e6–996b–41d25ed39a1e}" = "Portable Media Devices Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [file not found]
"{5E2121EE–0300–11D4–8D3B–444553540000}" = "SimpleShlExt extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Wirtualna Polska\wpkontakt\shellext_wpmsg.dll" [empty string]
"{D0FAC080–AE1A–11ce–8016–CE90976DC901}" = "Picture Publisher File Viewer"
–> {CLSID}\InProcServer32\(Default) = "ppiv30.dll" [null data]
"{F0CB00CD–5A07–4D91–97F5–A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{FBF23B40–E3F0–101B–8488–00AA003E56F8}" = "Skrót internetowy" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "shdocvw.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "Userinit" = "userinit.exe,volqil.exe" [MS], [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5–5146–11D5–A672–00B0D022E945}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320–32F5–11D3–A222–004095200FF2}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AntiVirenKit\ShellExt.dll" [empty string]
WPKontakt\(Default) = "{5E2121EE–0300–11D4–8D3B–444553540000}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Wirtualna Polska\wpkontakt\shellext_wpmsg.dll" [empty string]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320–32F5–11D3–A222–004095200FF2}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AntiVirenKit\ShellExt.dll" [empty string]


Active Desktop and Wallpaper:
–––––––––––––––––––––––––––––

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "file:///C:/DOCUME~1/x/USTAWI~1/Temp/msoclip1/01/clip_image001.gif"
"SubscribedURL" = "file:///C:/DOCUME~1/x/USTAWI~1/Temp/msoclip1/01/clip_image001.gif"


Enabled Screen Saver:
–––––––––––––––––––––

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\sstext3d.scr" [MS]


Startup items in "x" & "All Users" startup folders:
–––––––––––––––––––––––––––––––––––––––––––––––––––

C:\Documents and Settings\x\Menu Start\Programy\Autostart
"Bankrut" –> shortcut to: "C:\Program Files\Bankrut\bankrut.exe" [null data]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"Microsoft Office" –> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE –b –l" [MS]


Winsock2 Service Provider DLLs:
–––––––––––––––––––––––––––––––

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 – 03, 06 – 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 – 05


Toolbars, Explorer Bars, Extensions:
––––––––––––––––––––––––––––––––––––

Explorer Bars

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{FF059E31–CC5A–4E2E–BF3B–96E929D65503}\ = "&Badanie"
Implemented Categories\{00021493–0000–0000–C000–000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{92780B25–18CC–41C8–B9BE–3C9C571A8263}\
"ButtonText" = "Badanie"


Miscellaneous IE Hijack Points
––––––––––––––––––––––––––––––

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English–language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Missing lines (compared with English–language version):
[Strings]: 1 line


All Non–Disabled Services (Display Name, Service Name, Path {Service DLL}):
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

AVK Service, AVKService, "C:\Program Files\AntiVirenKit\AVKService.exe" [empty string]
Hardware Clock Driver, hwclock, "C:\WINDOWS\System32\hwclock.exe" [file not found]
Karta wydajności WMI, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Office Source Engine, ose, "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE" [MS]
Portable Media Serial Number Service, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe –k netsvcs" {"C:\WINDOWS\System32\MsPMSNSv.dll" [MS]}
Straźnik AVK, AVKWCtl, "C:\Program Files\AntiVirenKit\AVKWCtl.exe" [empty string]
Usługa administracyjna Menedźera dysków logicznych, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


––––––––––
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the –all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 33 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 26 seconds.
–––––––––– (total run time: 107 seconds)

i log z StartDreck

StartDreck (build 2.1.7 public stable) – 2005–06–30 @ 21:03:46 (GMT +02:00)
Platform: Windows XP (Win NT 5.1.2600 Dodatek Service Pack. 1)
Internet Explorer: 6.0.2800.1106
Logged in as x at KOMPUTER_SLAWKA

»Registry
»Run Keys
»Current User
»Run
*Skype="C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
*MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
*AVKBar=DISABLED:"C:\Program Files\AntiVirenKit\AVKBar.exe"
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
»Local Machine
»Run
*NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
*wpkontakt=C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe –autostart
*APVXDWIN="C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
*HP Software Update="C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe"
*HP Component Manager="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
*HPDJ Taskbar Utility=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
*DeviceDiscovery=C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
*TkBellExe="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" –osboot
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\System32\mshta.exe "%1" %*
+.htm
*htmlfile="C:\Program Files\Internet Explorer\iexplore.exe" –nohome
+.html
*htmlfile="C:\Program Files\Internet Explorer\iexplore.exe" –nohome
+.js
*JSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.jse
*JSEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1
+.vbs
*VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.vbe
*VBEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsh
*WSHFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsf
*WSFFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*AcroIEHelper.AcroIEHlprObj.1/{06849E9F–C8D7–4D59–B87D–784B7D6BE0B3}
`InprocServer32=C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
»Files
»Autostart Folders
»Current User
*C:\Documents and Settings\x\Menu Start\Programy\Autostart\Bankrut.lnk
»Default User
»Local Machine
*C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
»INI–Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
*C:\msdos.sys
*C:\config.sys
*C:\WINDOWS\System32\config.nt
*C:\autoexec.bat
*C:\WINDOWS\System32\autoexec.nt
*C:\WINDOWS\System32\drivers\etc\hosts
»System/Drivers
»Running Processes
+0=
+4=
+372=\SystemRoot\System32\smss.exe
+436=\??\C:\WINDOWS\system32\csrss.exe
+460=\??\C:\WINDOWS\SYSTEM32\winlogon.exe
+504=C:\WINDOWS\system32\services.exe
+516=C:\WINDOWS\system32\lsass.exe
+676=C:\WINDOWS\system32\svchost.exe
+732=C:\WINDOWS\System32\svchost.exe
+840=C:\WINDOWS\System32\svchost.exe
+868=C:\WINDOWS\System32\svchost.exe
+956=C:\WINDOWS\system32\spoolsv.exe
+1052=C:\Program Files\AntiVirenKit\AVKService.exe
+1068=C:\Program Files\AntiVirenKit\AVKWCtl.exe
+1128=C:\WINDOWS\System32\nvsvc32.exe
+1172=C:\WINDOWS\System32\wdfmgr.exe
+1532=C:\WINDOWS\System32\volqil.exe
+1612=C:\WINDOWS\Explorer.EXE
+1844=C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe
+1852=C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
+1860=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
+1884=C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
+1896=C:\Program Files\Common Files\Real\Update_OB\realsched.exe
+1932=C:\Program Files\Skype\Phone\Skype.exe
+1984=C:\Program Files\Messenger\msmsgs.exe
+224=C:\Program Files\Bankrut\bankrut.exe
+1828=C:\Program Files\Internet Explorer\IEXPLORE.EXE
+3216=C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe
+3360=C:\Program Files\startdreck217\StartDreck.exe
»NT Services
*Urządzenie alarmowe Alerter – on demand
*Usługa bramy warstwy aplikacji ALG – on demand
*Zarządzanie aplikacjami AppMgmt – on demand
*Windows Audio AudioSrv running auto
*AVK Service AVKService running auto
*Straźnik AVK AVKWCtl running auto
*Usługa inteligentnego transferu w tle BITS – on demand
*Przeglądarka komputera Browser running auto
*Usługa indeksowania CiSvc – on demand
*ClipBook ClipSrv – on demand
*Aplikacja systemowa modelu COM+ COMSysApp – on demand
*Usługi kryptograficzne CryptSvc running auto
*Klient DHCP Dhcp running auto
*Usługa administracyjna Menedźera dysków logiczn dmadmin – on demand
`ych
*Menedźer dysków logicznych dmserver running auto
*Klient DNS Dnscache running auto
*Usługa raportowania błędów ERSvc running auto
*Dziennik zdarzeń Eventlog running auto
*System zdarzeń COM+ EventSystem running on demand
*Zgodność szybkiego przełączania uźytkowników FastUserSwitchingCom – on demand
*Pomoc i obsługa techniczna helpsvc running auto
*Dostęp do urządzeń interfejsu HID HidServ – disabled
*Hardware Clock Driver hwclock – auto
*Usługa COM nagrywania dysków CD IMAPI ImapiService – on demand
*Serwer lanmanserver running auto
*Stacja robocza lanmanworkstation running auto
*Pomoc TCP/IP NetBIOS LmHosts running auto
*Posłaniec Messenger – disabled
*NetMeeting Remote Desktop Sharing mnmsrvc – on demand
*Distributed Transaction Coordinator MSDTC – on demand
*Instalator Windows MSIServer – on demand
*DDE sieci NetDDE – on demand
*DSDM DDE sieci NetDDEdsdm – on demand
*Logowanie do sieci Netlogon – on demand
*Połączenia sieciowe Netman running on demand
*Rozpoznawanie lokalizacji w sieci (NLA) Nla running on demand
*Usługa NT LM Security Support Provider NtLmSsp – on demand
*Magazyn wymienny NtmsSvc – on demand
*NVIDIA Display Driver Service NVSvc running auto
*Office Source Engine ose – on demand
*Plug and Play PlugPlay running auto
*Usługi IPSEC PolicyAgent running auto
*Magazyn chroniony ProtectedStorage running auto
*Menedźer autopołączenia dostępu zdalnego RasAuto – on demand
*Menedźer połączeń usługi Dostęp zdalny RasMan running on demand
*Menedźer sesji pomocy pulpitu zdalnego RDSessMgr – on demand
*Routing i dostęp zdalny RemoteAccess – disabled
*Rejestr zdalny RemoteRegistry running auto
*Lokalizator usługi zdalnego wywołania procedury RpcLocator – on demand
` (RPC)
*Zdalne wywoływanie procedur (RPC) RpcSs running auto
*QoS RSVP RSVP – on demand
*Menedźer kont zabezpieczeń SamSs running auto
*Pomocnik karty inteligentnej SCardDrv – on demand
*Karta inteligentna SCardSvr – on demand
*Harmonogram zadań Schedule running auto
*Logowanie pomocnicze seclogon running auto
*Zawiadomienie o zdarzeniu systemowym SENS running auto
*Zapora połączenia internetowego / Udostępnianie SharedAccess – on demand
` połączenia internetowego
*Wykrywanie sprzętu powłoki ShellHWDetection running auto
*Bufor wydruku Spooler running auto
*Usługa przywracania systemu srservice running auto
*Usługa odnajdywania SSDP SSDPSRV running on demand
*Windows Image Acquisition (WIA) stisvc – on demand
*MS Software Shadow Copy Provider SwPrv – on demand
*Dzienniki wydajności i alerty SysmonLog – on demand
*Telefonia TapiSrv running on demand
*Usługi terminalowe TermService running on demand
*Kompozycje Themes running auto
*Telnet TlntSvr – disabled
*Klient śledzenia łączy rozproszonych TrkWks running auto
*Windows User Mode Driver Framework UMWdf running auto
*Menedźer przekazywania uploadmgr running auto
*Host uniwersalnego urządzenia Plug and Play upnphost – on demand
*Zasilacz awaryjny (UPS) UPS – on demand
*Kopiowanie woluminów w tle VSS – on demand
*Usługa Czas systemu Windows W32Time running auto
*WebClient WebClient running auto
*Instrumentacja zarządzania Windows winmgmt running auto
*Portable Media Serial Number Service WmdmPmSN – on demand
*Rozszerzenia sterownika Instrumentacji zarządza Wmi – on demand
`nia Windows
*Karta wydajności WMI WmiApSrv – on demand
*Aktualizacje automatyczne wuauserv – disabled
*Konfiguracja zerowej sieci bezprzewodowej WZCSVC running auto
»Application specific

nie moge usunąć
F2 – REG:system.ini: UserInit=userinit.exe,volqil.exe i tego
O23 – Service: Hardware Clock Driver (hwclock) – Unknown owner – C:\WINDOWS\System32\hwclock.exe (file missing)
da sie jeszcze coś zrobić czy musze tworzyć nowy log na temat przeinstalowania systemu??????

Sławek, AVK znalazł Ci wirusa ale nie mogł usunąć , uźyj butowalnej płytki tego programu , usunie szkodniaka z poziomu linuxa . Włóź , wejdz do biosu , ustaw butowanie jako 1 z CD , uruchom system z płytki i usuń szkodnika .Potem przestaw butowanie na poprzedni stan.

Sławek, AVK znalazł Ci wirusa ale nie mogł usunąć , uźyj butowalnej płytki tego programu , usunie szkodniaka z poziomu linuxa . Włóź , wejdz do biosu , ustaw butowanie jako 1 z CD , uruchom system z płytki i usuń szkodnika .Potem przestaw butowanie na poprzedni stan.

Hmmm wy macie jakies problemy z kompem ja ich nie mam. Zainstalowanego mam Spybota i TrendMicro do spyware i mam Avasta professional z keygenem ktory sie codziennie aktalizuje. 8) nie mam virow komp mi chodzi. BTW jak sie sprawdza logi? Wpisuje sie w uruchom jakąs komende tak? Jestem tu nowy wiec chciałbym sie dowiedzieć :twisted:

Hmmm wy macie jakies problemy z kompem ja ich nie mam. Zainstalowanego mam Spybota i TrendMicro do spyware i mam Avasta professional z keygenem ktory sie codziennie aktalizuje. 8) nie mam virow komp mi chodzi. BTW jak sie sprawdza logi? Wpisuje sie w uruchom jakąs komende tak? Jestem tu nowy wiec chciałbym sie dowiedzieć :twisted:

Oczywiscie log jak najbardziej da sie zapisac, po tym jak CI go wyprodukuje dajesz Save, wpisujesz gdzie chcesz aby go zapisało i standardowo OK.
Log z Silenta niepełny i teraz nie wiem czy nie poczekałeś jak program skończy procowac (wypluje przy tym komunikat) czy moźe to w zwiazku z tym błędem.
Usługę nie uruchamiaj, plik hwclock.exe wywal w kosmos, usługe skasuj sposobem opisanym w przyklejonym temacie.
Przypominam! Wszystko w awaryjnym

no nie wiem zaraz sie wk...
Po pierwsze nie moge pousuwać źadnego loga (niby usuwam ale jak zrobie jeszcze raz to i tak jest)
podrugie nie wiem ale ta usługa to była chyba włączona chodzi o Hardware Clock Driver tak ??? stanu nie ma źadnego a tryb uruchomiania autamatyczny jak chcę ja uruchomic to wyskakuje jakiś błąd ź enie moźna znaleść pliku

Po trzecie o co tu chodzi nie wiem moźecoś takiego nie wiem klikne dwa razy na okienko zaznacze tak albo nie to wyskakują jakieś błedy 080041003 wiersz 637 jakis kod i źródło (null) i utworzy taki plik
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"
to o to chodzi

a jeźeli chodzi o ten Stardreck to coś tam znajdzie ale jak mam to przekopiować jak sie nie da mam to wszystko przepisywać????????????
zrobiłem zrzuty tylko nie wiem czy wejda
dlaczego tylko ja musze mieć takie problermy u wszystkich działa a oczywiście u mnie NIE no bo przecieź u kogoś musi nie działać
ciekawe czy ktoś odpisze
Idę spać bo sie tak wk... źe głowa mała

Nazwa uslugi jak w przykładzie, w tym wypadku bedzie hwclock
Masz dwie drogi:
1. Zatrzymujesz usługe w sevices.msc
2. To samo robisz w wierszu polceń: net stop hwclock

Co do Silenta to wszystko przeciez masz opisane w przyklejonym niedawno temacie, link dostałeś przy okazji tego hwclock'a
Punkt o "Silent Runners"

Co do tego Hacktool'a to dodatkowo chętnie zobaczyłbym log z trzeciego juź programu: Stardreck
Odpalasz program i Config >> Unmark all >> zaznacz NT Services z podopcją List binaries oraz NT Kernel– and FS–Drivers

no oki ale co z tym jaką usługe mam zatrzymać nie ma napisanej jakiej
Start >> Uruchom >> services.msc
Na liście usług odnajdujemy własciwą nazwę usługi i we własciwosciach klikamy w zatrzymaj.
Teraz moźna przejśc do rzeczy czyli w oknie Hijacka jakie zostanie wywołane wpisujemy nazwę usługi i potwierdzamy decyzję przyciskiem OK.

a i o co jeszcze chodzi z
Proszę jeszcze o log z Silent Runners, co i jak pod tym samym linkiem
jak mam to zrobić w HJ
sorki ze o to pytam ale nie robiłem jeszcze tego dzięki i sorki

Pozbadz sie:

F2 – REG:system.ini: UserInit=userinit.exe,volqil.exe
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O16 – DPF: {24311111–1111–1121–1111–111191113457} – file://c:\eied_s7.cab
O16 – DPF: {33331111–1111–1111–1111–611111193457} – file://c:\ex.cab
O16 – DPF: {33331111–1111–1111–1111–611111193458} – file://c:\ex.cab

O21 – SSODL: SystemCheck2 – {54645654–2225–4455–44A1–9F4543D34545} – (no file)
Powinien byc jeszcze plik vbsys2.dll – poszukaj i usuń go z dysku.

O23 – Service: Hardware Clock Driver (hwclock) – Unknown owner – C:\WINDOWS\System32\hwclock.exe (file missing)
Sposób usuwania przedstawiony w tym przyklejonym topicu: http://forum.centrumxp.pl/viewtopic.php?t=35349
"Usuwanie usług..."

Proszę jeszcze o log z Silent Runners, co i jak pod tym samym linkiem

zrobiłem tak jak mi Bobi podał ale to nic nie da niby go znajdę usune ale jak zrobie jeszcze raz wyszukiwanie to i tak go znajdzie
Czy z tym da sie coś zrobić?????????????????????
mój log (nie wiem czy dobrze jest bo pierwszy raz go robię)

Logfile of HijackThis v1.99.1
Scan saved at 21:25:56, on 2005–06–29
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVirenKit\AVKService.exe
C:\Program Files\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Bankrut\bankrut.exe
C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\x\Pulpit\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: UserInit=userinit.exe,volqil.exe
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [wpkontakt] C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe –autostart
O4 – HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe"
O4 – HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 – HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
O4 – HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" –osboot
O4 – HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [AVKBar] "C:\Program Files\AntiVirenKit\AVKBar.exe"
O4 – Startup: Bankrut.lnk = C:\Program Files\Bankrut\bankrut.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O16 – DPF: {24311111–1111–1121–1111–111191113457} – file://c:\eied_s7.cab
O16 – DPF: {33331111–1111–1111–1111–611111193457} – file://c:\ex.cab
O16 – DPF: {33331111–1111–1111–1111–611111193458} – file://c:\ex.cab
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116361299390
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{FE29A7CB–749E–4620–958E–ECD2B2A838A6}: NameServer = 194.204.159.1 217.98.63.164
O18 – Protocol: wpmsg – {2E0AC5A0–3597–11D6–B3ED–0001021DC1C3} – C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll
O21 – SSODL: SystemCheck2 – {54645654–2225–4455–44A1–9F4543D34545} – (no file)
O23 – Service: AVK Service (AVKService) – Unknown owner – C:\Program Files\AntiVirenKit\AVKService.exe
O23 – Service: Straźnik AVK (AVKWCtl) – Unknown owner – C:\Program Files\AntiVirenKit\AVKWCtl.exe
O23 – Service: Hardware Clock Driver (hwclock) – Unknown owner – C:\WINDOWS\System32\hwclock.exe (file missing)
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe

pomóźcie DZIEKI

oki dzięki zobaczę wieczorkiem bo teraz jestem w pracy jak nie pomoźe to dam loga do sprawdzenia (nie wiem czy wogóle da sie ten plik usunąć bo jak ostatnio usuwałem to wyskakiwały komunikaty, źe nie moźna usunąc pliku, ale zobaczymy w trybie awaryjnym) Przeszukuje teraz wszystko na ten temat jest tego sporo, ale i tak zbyt buźo z tego nie czaję.
Dzięki :)

oki dzięki zobaczę wieczorkiem bo teraz jestem w pracy jak nie pomoźe to dam loga do sprawdzenia (nie wiem czy wogóle da sie ten plik usunąć bo jak ostatnio usuwałem to wyskakiwały komunikaty, źe nie moźna usunąc pliku, ale zobaczymy w trybie awaryjnym) Przeszukuje teraz wszystko na ten temat jest tego sporo, ale i tak zbyt buźo z tego nie czaję.
Dzięki :)

Na dysku i w rejestrze szukasz dwuch plików: msdirectx.sys oraz msnt.exe.
Moze być ich wiecej kopii na dysku więc zaznacz do tego pokazywanie plików ukrytych i systemowych.
Wszystkie czynności wykonaj w trybie awaryjnym [F8]

sorki na google nie zagladałem sprawdzałem tylko na forum
dzieki za link ale i tak nic z tego nie rozumiem co tam jest napisane
a moźe jak ściągnę sobie jakieś szczepionki, albo zaktualizowany antywirus moźe go usunie?????? Warto czy nie ?????? bo jak nie to znowu format :(