Niebieski ekran
Moj problem jest juz opanowany (format pomogl) ale chcialbym wiedziec skad sie wzial i jak sie go ustrzec. Wyjasnie o co chodzi. Na swiezo sformatowana partycje zainstalowalem system Win XP, latki na wirusy plus servis pack 1, potem sterowniki (grafika, muza) directaX 9.0c i Pande. I tu zaczely sie problemy w trakcie pobierania nowej bazy wirusow nastapilo zawieszenie systemu, komp nie reagowal na nic wiec go zresetowalem. System sie ladowal pokazywal sie pulpit z ikonami i nagle nastepowal restart komp i tak wkolko. Uruchomilem go w trybie awaryjnym. Wszystko gralo do momentu gdy chcialem uruchomic panel sterowania lub wejsc do jakiegos katalogu. Wtedy wywalalo niebieski ekran z tym dziwnym numerem bledu (niestety nie zapisalem go :() oraz komunikat tresci ze przyczyna moze byc plik vdmt16.sys. Moje pytania to:
1. co to za plik??
2. za co jest odpowiedzialny??
3. Co moglo byc przyczyna powstania takiej sytuacji
I jeszcze jedno pytanie Ad–watch bardzo czesto wywala mi taki komunikat ze plik z C:\windows\svchost.exe chce zmienic klucz software\microsoft\windows\currentversion\run co to za plik i czy zezwolic mu na zmiane rejestru czy tez ciagle go blokowac
Za wszystkie wypowiedzi z gory dziekuje
1. co to za plik??
2. za co jest odpowiedzialny??
3. Co moglo byc przyczyna powstania takiej sytuacji
I jeszcze jedno pytanie Ad–watch bardzo czesto wywala mi taki komunikat ze plik z C:\windows\svchost.exe chce zmienic klucz software\microsoft\windows\currentversion\run co to za plik i czy zezwolic mu na zmiane rejestru czy tez ciagle go blokowac
Za wszystkie wypowiedzi z gory dziekuje
Odpowiedzi: 10
Dzieki za pomoc i poswiecony czas
Jest juz OK a zmiana %systemroot%\system32\dumprep 0 –k jest zupelnie "normalnym" zachowaniem systemu. Ta zaden wirus. Przegladnij sobie tylko msconfig – czy nie masz jakichs wpisow ktore w tej chwili nie maja racji bytu – byc moze skojarzysz cokolwiek z wczesniejszym zachowaniem systemu.
Zrobilem tak jak pisales pousuwalem te pliki z konsoli, byly trzy: p2.ini, mszx23.exe oraz vdmt16.sys dodatkowo jeszcze z poziomu konsoli wywalilem C:\windows\svchost.exe, potem wprowadzilem poprawke do rejestru i zrobilem skan HJT ale tam czekala mila niespodzianka nie bylo juz tego wpisu O20 – Winlogon Notify: drct16 – C:\WINDOWS\SYSTEM32\drct16.dll. Uruchomilem kompa i Ad–watch wkryl nastepujaca probe modyfikacji rejestru:
Zrodlo:HKEY_LOCAL_MACHINE
Klucz:Software\Microsoft\Windows\CurrentVersion\Run
Wartosc:KernelFaultCheck
Nowe dane:%systemroot%\system32\dumprep 0 –k
Co z tym zrobic?? Narazie to zablokowalem
A odnosnie svchosta to Ad–watch nie pokazywal wartosci, obecnie nie pluje sie o to, ponizej zamieszczam aktualnego loga
Zrodlo:HKEY_LOCAL_MACHINE
Klucz:Software\Microsoft\Windows\CurrentVersion\Run
Wartosc:KernelFaultCheck
Nowe dane:%systemroot%\system32\dumprep 0 –k
Co z tym zrobic?? Narazie to zablokowalem
A odnosnie svchosta to Ad–watch nie pokazywal wartosci, obecnie nie pluje sie o to, ponizej zamieszczam aktualnego loga
Logfile of HijackThis v1.99.1
Scan saved at 08:53:14, on 2005–05–12
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Lavasoft\Ad–Aware SE Professional\Ad–Watch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
D:\Uźytki\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FlashGet\jccatch.dll
O2 – BHO: Google Toolbar Helper – {AA58ED58–01DD–4d91–8333–CF10577473F7} – c:\program files\google\googletoolbar2.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:\program files\google\googletoolbar2.dll
O3 – Toolbar: Easy–WebPrint – {327C2873–E90D–4c37–AA9D–10AC9BABA46C} – C:\Program Files\Canon\Easy–WebPrint\Toolband.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad–Aware SE Professional\Ad–Watch.exe"
O4 – HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner\RivaTuner.exe" /S
O4 – HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC–cillin 2002\PCCClient.exe"
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 – Extra context menu item: &Google Search – res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 – Extra context menu item: Backward Links – res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 – Extra context menu item: Cached Snapshot of Page – res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 – Extra context menu item: Easy–WebPrint Add To Print List – res://C:\Program Files\Canon\Easy–WebPrint\Resource.dll/RC_AddToList.html
O8 – Extra context menu item: Easy–WebPrint High Speed Print – res://C:\Program Files\Canon\Easy–WebPrint\Resource.dll/RC_HSPrint.html
O8 – Extra context menu item: Easy–WebPrint Preview – res://C:\Program Files\Canon\Easy–WebPrint\Resource.dll/RC_Preview.html
O8 – Extra context menu item: Easy–WebPrint Print – res://C:\Program Files\Canon\Easy–WebPrint\Resource.dll/RC_Print.html
O8 – Extra context menu item: Similar Pages – res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 – Extra context menu item: Translate into English – res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) – Analog Devices, Inc. – C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Uruchom konsole odzyskiwania i wpisz:
del C:\WINDOWS\SYSTEM32\drct16.dll
Tak zrob ze wszystkimi plikami wymienionymi, sciezka jest ta sama.
Jesli wypluje ze pliku nie znaleziono to idzesz dalej.
Prosiłem o te informacje o tym svchoscie, zrob tak jak podałem w poscie wyzej, a bedziemy wiedziec z czym mamy do czynienia.
del C:\WINDOWS\SYSTEM32\drct16.dll
Tak zrob ze wszystkimi plikami wymienionymi, sciezka jest ta sama.
Jesli wypluje ze pliku nie znaleziono to idzesz dalej.
Prosiłem o te informacje o tym svchoscie, zrob tak jak podałem w poscie wyzej, a bedziemy wiedziec z czym mamy do czynienia.
Sytuacja wyglada nastepujaco, robie tak jak jest napisane. Z plikow ktore podales na kompie sa dwa:
mszx23.exe oraz drct16.dll Ten pierwszy da sie usunac w trybie awaryjnym natomiast ten drugi nie daje sie usunac, dalsze operacje nie daja rezultatu wprowadzam wpis do rejestru zostaje przyjety, potem chce usunac ten wpis O20 – Winlogon Notify: drct16 – C:\WINDOWS\SYSTEM32\drct16.dll, zaznaczam go daje fix potem daje powtornie skan i on znow jest :( a co do svchost.exe to usuwalem go recznie. Masz moze jeszcze jakis pomysl jak sobie z tym poradzic??
mszx23.exe oraz drct16.dll Ten pierwszy da sie usunac w trybie awaryjnym natomiast ten drugi nie daje sie usunac, dalsze operacje nie daja rezultatu wprowadzam wpis do rejestru zostaje przyjety, potem chce usunac ten wpis O20 – Winlogon Notify: drct16 – C:\WINDOWS\SYSTEM32\drct16.dll, zaznaczam go daje fix potem daje powtornie skan i on znow jest :( a co do svchost.exe to usuwalem go recznie. Masz moze jeszcze jakis pomysl jak sobie z tym poradzic??
Kolejnosc jest nastepująca:
1. Uruchamiasz system w awaryjnym
2. Zaznaczasz w opcjach folderów pokazywanie ukrytych plikow i folderów oraz wylaczasz przywracanie, opisy TU
3. Usuwasz z dysku nastepujace pliki jesli beda:
w32tm.exe
drct16.dll
cz.dll
vdmt16.sys
hz.dll
winlow.sys
wz.dll
p2.ini
mszx23.exe
4. Sciagnasz TEGO fixa i dodajesz do rejestru
5. FIX:
Teraz mozesz zajac sie usuwanie fałszywego svchosta. Wypadało by rowniez wiedzieć z jaka nazwa wartosci chce sie dodać, to pomoze w okresleniu konkretnej nazwy i tym samych sposobu usuwania.
To moze byc Jeefo, Netsky... etc
Jesli Ad–watch nie pokazuje nazwy wartosci jaka syf probuje przybrac to pozwol mu na dopisanie sie, spisz nazwe wartosc z RUN albo zrob wtedy log Hijackiem.
Oczywiscie probowałes recznie usuwać plik z tej sciezki C:\windows\svchost.exe ??
1. Uruchamiasz system w awaryjnym
2. Zaznaczasz w opcjach folderów pokazywanie ukrytych plikow i folderów oraz wylaczasz przywracanie, opisy TU
3. Usuwasz z dysku nastepujace pliki jesli beda:
w32tm.exe
drct16.dll
cz.dll
vdmt16.sys
hz.dll
winlow.sys
wz.dll
p2.ini
mszx23.exe
4. Sciagnasz TEGO fixa i dodajesz do rejestru
5. FIX:
O20 – Winlogon Notify: drct16 – C:\WINDOWS\SYSTEM32\drct16.dll
Teraz mozesz zajac sie usuwanie fałszywego svchosta. Wypadało by rowniez wiedzieć z jaka nazwa wartosci chce sie dodać, to pomoze w okresleniu konkretnej nazwy i tym samych sposobu usuwania.
To moze byc Jeefo, Netsky... etc
Jesli Ad–watch nie pokazuje nazwy wartosci jaka syf probuje przybrac to pozwol mu na dopisanie sie, spisz nazwe wartosc z RUN albo zrob wtedy log Hijackiem.
Oczywiscie probowałes recznie usuwać plik z tej sciezki C:\windows\svchost.exe ??
Zrobilem tak jak pisales wylaczylem przywracanie zakonczylem ten proces mszx23.exe ale nie moge usunac nastepujacego wpisu
Jest tez problem z C:\windows\svchost.exe kasuje go ale on ciagle sie pojawia, zauwazylem tez ze Ad–watch wykrywa zmiane gdy chce wejsc na rozne fora
To jest obecny log
O20 – Winlogon Notify: drct16 – C:\WINDOWS\SYSTEM32\drct16.dll
Jest tez problem z C:\windows\svchost.exe kasuje go ale on ciagle sie pojawia, zauwazylem tez ze Ad–watch wykrywa zmiane gdy chce wejsc na rozne fora
To jest obecny log
Logfile of HijackThis v1.99.1
Scan saved at 09:57:48, on 2005–05–11
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Lavasoft\Ad–Aware SE Professional\Ad–Watch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\WINDOWS\System32\wuauclt.exe
D:\Uźytki\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FlashGet\jccatch.dll
O2 – BHO: Google Toolbar Helper – {AA58ED58–01DD–4d91–8333–CF10577473F7} – c:\program files\google\googletoolbar2.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:\program files\google\googletoolbar2.dll
O3 – Toolbar: Easy–WebPrint – {327C2873–E90D–4c37–AA9D–10AC9BABA46C} – C:\Program Files\Canon\Easy–WebPrint\Toolband.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad–Aware SE Professional\Ad–Watch.exe"
O4 – HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner\RivaTuner.exe" /S
O4 – HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC–cillin 2002\PCCClient.exe"
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 – Extra context menu item: &Google Search – res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 – Extra context menu item: Backward Links – res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 – Extra context menu item: Cached Snapshot of Page – res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 – Extra context menu item: Easy–WebPrint Add To Print List – res://C:\Program Files\Canon\Easy–WebPrint\Resource.dll/RC_AddToList.html
O8 – Extra context menu item: Easy–WebPrint High Speed Print – res://C:\Program Files\Canon\Easy–WebPrint\Resource.dll/RC_HSPrint.html
O8 – Extra context menu item: Easy–WebPrint Preview – res://C:\Program Files\Canon\Easy–WebPrint\Resource.dll/RC_Preview.html
O8 – Extra context menu item: Easy–WebPrint Print – res://C:\Program Files\Canon\Easy–WebPrint\Resource.dll/RC_Print.html
O8 – Extra context menu item: Similar Pages – res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 – Extra context menu item: Translate into English – res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 – Winlogon Notify: drct16 – C:\WINDOWS\SYSTEM32\drct16.dll
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) – Analog Devices, Inc. – C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Wyłącz przywracanie
Zakoncz proces:
mszx23.exe (trojan Haxdoor.D)
FIX:
Wpisz sobie w szukajke "drct16.dll" bo w archiwum jest wiecej o nim, przeczytaj i pousuwaj inne pliki wystepujace raem z nim.
Zakoncz proces:
mszx23.exe (trojan Haxdoor.D)
FIX:
R3 – Default URLSearchHook is missing
O3 – Toolbar: (no name) – {44BE0690–5429–47f0–85BB–3FFD8020233E} – (no file)
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O20 – Winlogon Notify: drct16 – C:\WINDOWS\SYSTEM32\drct16.dll
Wpisz sobie w szukajke "drct16.dll" bo w archiwum jest wiecej o nim, przeczytaj i pousuwaj inne pliki wystepujace raem z nim.
Moj log
Logfile of HijackThis v1.99.1
Scan saved at 22:32:44, on 2005–05–10
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Lavasoft\Ad–Aware SE Professional\Ad–Watch.exe
C:\WINDOWS\System32\mszx23.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
D:\Bonus 1\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FlashGet\jccatch.dll
O2 – BHO: Google Toolbar Helper – {AA58ED58–01DD–4d91–8333–CF10577473F7} – c:\program files\google\googletoolbar2.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:\program files\google\googletoolbar2.dll
O3 – Toolbar: Easy–WebPrint – {327C2873–E90D–4c37–AA9D–10AC9BABA46C} – C:\Program Files\Canon\Easy–WebPrint\Toolband.dll
O3 – Toolbar: (no name) – {44BE0690–5429–47f0–85BB–3FFD8020233E} – (no file)
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad–Aware SE Professional\Ad–Watch.exe"
O4 – HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner\RivaTuner.exe" /S
O4 – HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC–cillin 2002\PCCClient.exe"
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 – Extra context menu item: &Google Search – res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 – Extra context menu item: Backward Links – res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 – Extra context menu item: Cached Snapshot of Page – res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 – Extra context menu item: Easy–WebPrint Add To Print List – res://C:\Program Files\Canon\Easy–WebPrint\Resource.dll/RC_AddToList.html
O8 – Extra context menu item: Easy–WebPrint High Speed Print – res://C:\Program Files\Canon\Easy–WebPrint\Resource.dll/RC_HSPrint.html
O8 – Extra context menu item: Easy–WebPrint Preview – res://C:\Program Files\Canon\Easy–WebPrint\Resource.dll/RC_Preview.html
O8 – Extra context menu item: Easy–WebPrint Print – res://C:\Program Files\Canon\Easy–WebPrint\Resource.dll/RC_Print.html
O8 – Extra context menu item: Similar Pages – res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 – Extra context menu item: Translate into English – res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 – Winlogon Notify: drct16 – C:\WINDOWS\SYSTEM32\drct16.dll
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) – Analog Devices, Inc. – C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Vanguard:
...wywalalo niebieski ekran z tym dziwnym numerem bledu (niestety nie zapisalem go :() oraz komunikat tresci ze przyczyna moze byc plik vdmt16.sys (...)
1. co to za plik??
To Haxdoor.D, wiecej TUTAj (ostatni post)
I jeszcze jedno pytanie Ad–watch bardzo czesto wywala mi taki komunikat ze plik z C:\windows\svchost.exe chce zmienic klucz software\microsoft\windows\currentversion\run co to za plik i czy zezwolic mu na zmiane rejestru czy tez ciagle go blokowac
Systemowy svchost znajduje sie w system32, nie dosc ze tego blokujesz to wypierniczasz go do kosza.
Wrzuć rowniez log z Hijack This
Strona 1 / 1