pasek Remowe Toolbar
Witam!!!
Zainstalował się pasek stron szybkiego dostępu i ni jak nie moźna go odinstalować.
W dodaj usuń programy nic takiego nie ma, na pasku zadań w Widok–paski narzędzi widać ale są nieaktywne i nie moźna tego paska nawet wyłączyć.
Przy starcie internetu pokazuje się jakaś inna strona, ale po naciśnięciu ikonki Start włącza się strona która powinna się pojawiać przy starcie.
Moźe ma ktoś pomysła jak się tego pozbyć.
Pozdrowienia :D
Zainstalował się pasek stron szybkiego dostępu i ni jak nie moźna go odinstalować.
W dodaj usuń programy nic takiego nie ma, na pasku zadań w Widok–paski narzędzi widać ale są nieaktywne i nie moźna tego paska nawet wyłączyć.
Przy starcie internetu pokazuje się jakaś inna strona, ale po naciśnięciu ikonki Start włącza się strona która powinna się pojawiać przy starcie.
Moźe ma ktoś pomysła jak się tego pozbyć.
Pozdrowienia :D
Odpowiedzi: 10
Jeszcze raz wszystkim wielkie DZIĘKI :D
Mrówek nie odstawiaj kaszany.
Ominięty Spyware Doctor, ktory tez ma wyleciec jako fałszywy soft anty lub inaczej o nienajlepszej reputacji
To bym Ci wybaczył ale jest zostawiony inny syf.
msgsm.dll
mptsgsvc.exe
Te pliki mają zniknąć, ponadto te ktore wymienialem na poczatku.
Szukasz dodatkowo:
hdipb.dll
hdmwc.dll
hdtzs.dll
hdxcs.dll
tlntadmnx.exe
winmsdc.exe
sp2chk.exe
Kasujesz w rejestrze takie CLSIDy
W rejestrze CTRL + F i wklepujesz do szukania kazdy z nich. Usuwasz znalezione oczywiscie
Kasujesz katalogi fałszywego softu z Program Files
Teraz otwierasz notatnik i wklejasz do niego:
Zapisujesz z rozszerzeniem *.reg jako wszystkie pliki.
Dodajesz do rejestru i potwierdzasz
Ominięty Spyware Doctor, ktory tez ma wyleciec jako fałszywy soft anty lub inaczej o nienajlepszej reputacji
To bym Ci wybaczył ale jest zostawiony inny syf.
msgsm.dll
mptsgsvc.exe
Te pliki mają zniknąć, ponadto te ktore wymienialem na poczatku.
Szukasz dodatkowo:
hdipb.dll
hdmwc.dll
hdtzs.dll
hdxcs.dll
tlntadmnx.exe
winmsdc.exe
sp2chk.exe
Kasujesz w rejestrze takie CLSIDy
{08BEC6AA–49FC–4379–3587–4B21E286C19E}
{0B9800C5–7879–4FE2–9318–83CBA4D97E11}
{5C8B2A36–3DB1–42A4–A3CB–D426709BBFEB}
{B56A7D7D–6927–48C8–A975–17DF180C71AC}
{EACA45CF–4B6C–4F23–ACFA–21EF2618422E}
W rejestrze CTRL + F i wklepujesz do szukania kazdy z nich. Usuwasz znalezione oczywiscie
Kasujesz katalogi fałszywego softu z Program Files
Teraz otwierasz notatnik i wklejasz do niego:
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spyware Begone"=–
"Spyware Doctor"=–
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"mptsgsvc.exe"=–
Zapisujesz z rozszerzeniem *.reg jako wszystkie pliki.
Dodajesz do rejestru i potwierdzasz
Wielkie dzięki wszystkim.
Jest OK.
:D
Jest OK.
:D
Juź widzę, co powinieneś usunąć ręcznie:
Usuń folder:
C:\spywarebegone
Moźe być ukryty. Jeźeli tak jest, to pokieruj się tą instrukcją:
http://www.viruswarriors.livenet.pl/readarticle.php?article_id=13
usuń pliki:
C:\WINDOWS\system32\ie2cltr.dll
C:\WINDOWS\system32\sphva.dll
Jeźeli nie będzie dało się ich normalnie usunąć, to ściagnij program Pocket Killbox:
http://www.bleepingcomputer.com/files/spyware/KillBox.zip
I usuń pliki z pomocą tej instrukcji:
http://www.viruswarriors.livenet.pl/readarticle.php?article_id=14
Następnie wejdź do rejestru:
START–> Uruchom–> wpisz regedit–> naciśnij "ENTER".
wyszukaj:
I usuń.
Pozdrawiam :)
Usuń folder:
C:\spywarebegone
Moźe być ukryty. Jeźeli tak jest, to pokieruj się tą instrukcją:
http://www.viruswarriors.livenet.pl/readarticle.php?article_id=13
usuń pliki:
C:\WINDOWS\system32\ie2cltr.dll
C:\WINDOWS\system32\sphva.dll
Jeźeli nie będzie dało się ich normalnie usunąć, to ściagnij program Pocket Killbox:
http://www.bleepingcomputer.com/files/spyware/KillBox.zip
I usuń pliki z pomocą tej instrukcji:
http://www.viruswarriors.livenet.pl/readarticle.php?article_id=14
Następnie wejdź do rejestru:
START–> Uruchom–> wpisz regedit–> naciśnij "ENTER".
wyszukaj:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {08BEC6AA–49FC–4379–3587–4B21E286C19E}\(Default)
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{EACA45CF–4B6C–4F23–ACFA–21EF2618422E}
I usuń.
Pozdrawiam :)
Takiego klucza nie mam.
"Silent Runners.vbs", revision 36, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non–default values, except where indicated by "{++}"
Startup items buried in registry:
–––––––––––––––––––––––––––––––––
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Spyware Begone" = ""C:\spywarebegone\SpywareBeGone.exe" –FastScan" ["MicroSmarts Enterprise"]
"Spyware Doctor" = ""C:\Program Files\Spyware Doctor\swdoctor.exe" /Q" ["PCTools"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"vptray" = "C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" ["Symantec Corporation"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"Onet.pl AutoUpdate" = ""C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr" [file not found]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"mptsgsvc.exe" = "mptsgsvc.exe" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{08BEC6AA–49FC–4379–3587–4B21E286C19E}\(Default) = "SearchToolbar" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ie2cltr.dll" [file not found]
{0B9800C5–7879–4FE2–9318–83CBA4D97E11}\(Default) = "ActiveX Control" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\msgsm.dll" [file not found]
{5C8B2A36–3DB1–42A4–A3CB–D426709BBFEB}\(Default) = "PCTools Site Guard" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll" ["PCTools.com"]
{B56A7D7D–6927–48C8–A975–17DF180C71AC}\(Default) = "PCTools Browser Monitor" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["GuideWorks Pty. Ltd."]
{EACA45CF–4B6C–4F23–ACFA–21EF2618422E}\(Default) = "IE SP2 AddOn" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\sphva.dll" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714–76d4–11d1–8b24–00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
–> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A–BF00–412C–90B7–034C51DA2439}" = "NvCpl DesktopContext Class"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"Silent Runners.vbs", revision 36, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non–default values, except where indicated by "{++}"
Startup items buried in registry:
–––––––––––––––––––––––––––––––––
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Spyware Begone" = ""C:\spywarebegone\SpywareBeGone.exe" –FastScan" ["MicroSmarts Enterprise"]
"Spyware Doctor" = ""C:\Program Files\Spyware Doctor\swdoctor.exe" /Q" ["PCTools"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"vptray" = "C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" ["Symantec Corporation"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"Onet.pl AutoUpdate" = ""C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr" [file not found]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"mptsgsvc.exe" = "mptsgsvc.exe" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{08BEC6AA–49FC–4379–3587–4B21E286C19E}\(Default) = "SearchToolbar" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ie2cltr.dll" [file not found]
{0B9800C5–7879–4FE2–9318–83CBA4D97E11}\(Default) = "ActiveX Control" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\msgsm.dll" [file not found]
{5C8B2A36–3DB1–42A4–A3CB–D426709BBFEB}\(Default) = "PCTools Site Guard" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll" ["PCTools.com"]
{B56A7D7D–6927–48C8–A975–17DF180C71AC}\(Default) = "PCTools Browser Monitor" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["GuideWorks Pty. Ltd."]
{EACA45CF–4B6C–4F23–ACFA–21EF2618422E}\(Default) = "IE SP2 AddOn" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\sphva.dll" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714–76d4–11d1–8b24–00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
–> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A–BF00–412C–90B7–034C51DA2439}" = "NvCpl DesktopContext Class"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
Rzeczywsicie jest niepozorny i opuszczony przeze mnie DNS jakiegoś badziewia, chyba trzeba bedzie na przyszłosc wnikliwiej sprawdzać te ustawienia z loga.
Ale tak łatwo nie bedzie bo pewnie za troche ustawienia w TCP/IP sie na nowo odtworzą.
Cos ukrytego w systemie sie zalęgło, raz ze masz starego Hijacka, który mało pokazuje, a dwa to ze dodatkowo przy tym zestawie Trusted Zone oraz inne wpisy z http://*.63.219.181.7 powinny widnieć.
Mniejsza z tym, sciagnij Silent Runners zrob log i pokaź go, sprawdz czy masz taki klucz w rejestrze:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd
Ale tak łatwo nie bedzie bo pewnie za troche ustawienia w TCP/IP sie na nowo odtworzą.
Cos ukrytego w systemie sie zalęgło, raz ze masz starego Hijacka, który mało pokazuje, a dwa to ze dodatkowo przy tym zestawie Trusted Zone oraz inne wpisy z http://*.63.219.181.7 powinny widnieć.
Mniejsza z tym, sciagnij Silent Runners zrob log i pokaź go, sprawdz czy masz taki klucz w rejestrze:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd
Usun rowniez i to, poniewaz dziwnymi sa te IP niewiadomego pochodzenia:
O17 – HKLM\System\CCS\Services\Tcpip\..\{8152D6E5–6411–4C91–8BF0–E7C8F94E7F46}: NameServer = 69.50.176.156,195.225.176.31
Przekonfiguruj siec, gdyby okazalo sie ze cos nie chodzi.
O17 – HKLM\System\CCS\Services\Tcpip\..\{8152D6E5–6411–4C91–8BF0–E7C8F94E7F46}: NameServer = 69.50.176.156,195.225.176.31
Przekonfiguruj siec, gdyby okazalo sie ze cos nie chodzi.
Marek2 – sciągnij sobie nowsza wersje Hijack This 1.99.1
Wyłacz przywracanie
Zakoncz proces:
SpywareBeGone.exe
Odinstaluj SpywareBeGone
FIX i usun pogrubione pliki/katalogi z dysku:
Wyłacz przywracanie
Zakoncz proces:
SpywareBeGone.exe
Odinstaluj SpywareBeGone
FIX i usun pogrubione pliki/katalogi z dysku:
O2 – BHO: IE SP2 AddOn – {EACA45CF–4B6C–4F23–ACFA–21EF2618422E} – C:\WINDOWS\system32\sphva.dll
O3 – Toolbar: SearchToolbar – {08BEC6AA–49FC–4379–3587–4B21E286C19E} – C:\WINDOWS\system32\ie2cltr.dll
O4 – HKCU\..\Run: [Spyware Begone] "C:\spywarebegone\SpywareBeGone.exe" –FastScan
O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Domyślałem się źe nie jestem w tym dziale, ale było juź po fakcie. Sorry.
Logfile of HijackThis v1.98.2
Scan saved at 06:08:48, on 2005–04–28
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\spywarebegone\SpywareBeGone.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrator\Pulpit\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: IE SP2 AddOn – {EACA45CF–4B6C–4F23–ACFA–21EF2618422E} – C:\WINDOWS\system32\sphva.dll
O3 – Toolbar: SearchToolbar – {08BEC6AA–49FC–4379–3587–4B21E286C19E} – C:\WINDOWS\system32\ie2cltr.dll
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [Spyware Begone] "C:\spywarebegone\SpywareBeGone.exe" –FastScan
O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O16 – DPF: {631FF594–EC25–4CFF–B869–402DF294E1D6} (Instalator oprogramowania Onet.pl) – http://slimak.onet.pl/_m/kamerzysta/OnetInstalator012s.ocx
O17 – HKLM\System\CCS\Services\Tcpip\..\{8152D6E5–6411–4C91–8BF0–E7C8F94E7F46}: NameServer = 69.50.176.156,195.225.176.31
Logfile of HijackThis v1.98.2
Scan saved at 06:08:48, on 2005–04–28
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\spywarebegone\SpywareBeGone.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrator\Pulpit\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: IE SP2 AddOn – {EACA45CF–4B6C–4F23–ACFA–21EF2618422E} – C:\WINDOWS\system32\sphva.dll
O3 – Toolbar: SearchToolbar – {08BEC6AA–49FC–4379–3587–4B21E286C19E} – C:\WINDOWS\system32\ie2cltr.dll
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [Spyware Begone] "C:\spywarebegone\SpywareBeGone.exe" –FastScan
O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O16 – DPF: {631FF594–EC25–4CFF–B869–402DF294E1D6} (Instalator oprogramowania Onet.pl) – http://slimak.onet.pl/_m/kamerzysta/OnetInstalator012s.ocx
O17 – HKLM\System\CCS\Services\Tcpip\..\{8152D6E5–6411–4C91–8BF0–E7C8F94E7F46}: NameServer = 69.50.176.156,195.225.176.31
Sprobuj uzyc tego removera – Remove Toolbar Buddy 2.0 http://www.softaward.com/text/6529.exe
Strona 1 / 1