SpySherrif – jeszcze raz
Witam. Jestem tu nowy. Wpadłem bo miałem problem który przewijał się tu kilkukrotnie. W skrócie: zmiana tapety na "your system is infected", strony startowej na stronę z linkami do SpySherrif, z czasem przestały działać przeglądarki i intenet, "krzyźyki" w tray'u. Ok – to juź znacie.
Ze wszystkim sobie poradziłem (prawie). Pliki usunąłem, wpisy teź, NetDomain (coś takiego:)) teź dzięki temu chyba odblokowałem interek), loga sprawdzałem na podanej stronie i chyba juź jest ok (kilka podejrzanych i nieznanych). Ale nie mogę zmienić tapety – po wywaleniu jednego pliku mam czarne tło. Wiem, źe tutaj są wpisy do dodania do rejestru. Ale nie wiem czy one są dla kaźdego czy indywidualnie. Sądzę, źe dla kaźdego. Przywracanie mi nie działa, bo jeden z "czyścicieli" rejestru wyrzucił któryś wpis.
Moje pytania:
1. Po co trzeba wyłączać przywracanie (pytam z ciekawości:))?
2. Jaka jest zasada działania pliku który podajecie do odblokowania tapety i czy dla mnie teź będzie on przydatny a moźe jakiś inny?
3. Podaję loga i proszę o sprawdzenie czy juź wszystko jest ok.
Dodam, źe siedzę nad tym 2–gi dzień, wczoraj do 3 rano... ;)
Logfile of HijackThis v1.99.1
Scan saved at 13:12:55, on 2005–12–20
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
D:\Programy uźytkowe\ZoneAlarm 6\zlclient.exe
C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
D:\PROGRA~1\AVGFRE~1\avgemc.exe
D:\PROGRA~1\AVGFRE~1\avgcc.exe
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\System32\rundll32.exe
D:\PROGRA~1\AVGFRE~1\avgamsvr.exe
D:\Programy uźytkowe\HDD Health\hddhealth.exe
D:\Programy uźytkowe\CursorXP\CursorXP.exe
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\AVGFRE~1\avgupsvc.exe
D:\Programy uźytkowe\SpeedFan\speedfan.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\Programy uźytkowe\Kalendarz XP\Kalendarz.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\SAGEM\SAGEM F@st 800–840\dslmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Neostrada TP\NeostradaTP.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Neostrada TP\ComComp.exe
C:\Program Files\Neostrada TP\Watch.exe
D:\Programy uźytkowe\WinRAR\WinRAR.exe
C:\DOCUME~1\Arnold\USTAWI~1\Temp\Rar$EX03.315\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neostrada.pl
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neostrada.pl
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://hot–searches.com/index.php?v=6&aff=7086395
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.neostrada.pl
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.onet.pl/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.neostrada.pl
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – URLSearchHook: Search Class – {08C06D61–F1F3–4799–86F8–BE1A89362C85} – C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – D:\Programy uźytkowe\Adobe Reader 7 PL\ActiveX\AcroIEHelper.dll
O2 – BHO: Google Toolbar Helper – {AA58ED58–01DD–4d91–8333–CF10577473F7} – c:\program files\google\googletoolbar2.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:\program files\google\googletoolbar2.dll
O4 – HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 – HKLM\..\Run: [Zone Labs Client] D:\Programy uźytkowe\ZoneAlarm 6\zlclient.exe
O4 – HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 – HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
O4 – HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 – HKLM\..\Run: [QuickTime Task] "D:\odtwarzacze\QuickTime 6\qttask.exe" –atboottime
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\msvcp.exe
O4 – HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 – HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\AVGFRE~1\avgemc.exe
O4 – HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\AVGFRE~1\avgcc.exe /STARTUP
O4 – HKLM\..\Run: [AudioHQU] C:\Program Files\Creative\SBLive\AudioHQ\AHQTBU.EXE
O4 – HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 – HKCU\..\Run: [WITaj!] rem –– Anulowane uruchamianie programu WITaj! 2000
O4 – HKCU\..\Run: [Update Service] C:\PROGRA~1\COMMON~1\TEKNUM~1\update.exe /startup
O4 – HKCU\..\Run: [HDDHealth] D:\Programy uźytkowe\HDD Health\hddhealth.exe –wl
O4 – HKCU\..\Run: [Gadu–Gadu] "D:\Programy uźytkowe\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\Run: [CursorXP] D:\Programy uźytkowe\CursorXP\CursorXP.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – Global Startup: SpeedFan.lnk = ?
O4 – Global Startup: Kalendarz XP.lnk = ?
O4 – Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800–840\dslmon.exe
O8 – Extra context menu item: &Google Search – res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 – Extra context menu item: &Translate English Word – res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 – Extra context menu item: Backward Links – res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 – Extra context menu item: Cached Snapshot of Page – res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 – Extra context menu item: Pobierz stronę WEB z Free Download Manager – file://D:\Programy uźytkowe\Free Download Manager\Free Download Manager\dlpage.htm
O8 – Extra context menu item: Pobierz wszystko z Free Download Manager – file://D:\Programy uźytkowe\Free Download Manager\Free Download Manager\dlall.htm
O8 – Extra context menu item: Pobierz z Free Download Manager – file://D:\Programy uźytkowe\Free Download Manager\Free Download Manager\dllink.htm
O8 – Extra context menu item: Pobierz zaznaczenie z Free Download Manager – file://D:\Programy uźytkowe\Free Download Manager\Free Download Manager\dlselected.htm
O8 – Extra context menu item: Similar Pages – res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 – Extra context menu item: Translate Page into English – res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\WINDOWS\System32\msjava.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\WINDOWS\System32\msjava.dll
O17 – HKLM\System\CCS\Services\Tcpip\..\{485ACA5A–F760–4691–8B3E–244996096CBB}: NameServer = 194.204.152.34 217.98.63.164
O23 – Service: AVG7 Alert Manager Server (Avg7Alrt) – GRISOFT, s.r.o. – D:\PROGRA~1\AVGFRE~1\avgamsvr.exe
O23 – Service: AVG7 Update Service (Avg7UpdSvc) – GRISOFT, s.r.o. – D:\PROGRA~1\AVGFRE~1\avgupsvc.exe
O23 – Service: Creative Service for CDROM Access – Creative Technology Ltd – C:\WINDOWS\System32\CTsvcCDA.EXE
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: Poweroff – Unknown owner – C:\WINDOWS\System32\poweroff.exe" –service (file missing)
O23 – Service: TrueVector Internet Monitor (vsmon) – Zone Labs, LLC – C:\WINDOWS\system32\ZONELABS\vsmon.exe
Z góry dzięki.
Właśnie po usunięciu jeszcze kilku wartości w rejestrze mogę zmienić tapetę, ale mam czarne tło pod nazwami liter.
A na pytania ktoś moźe odpisać i sprawdzić tego loga ;)
Ze wszystkim sobie poradziłem (prawie). Pliki usunąłem, wpisy teź, NetDomain (coś takiego:)) teź dzięki temu chyba odblokowałem interek), loga sprawdzałem na podanej stronie i chyba juź jest ok (kilka podejrzanych i nieznanych). Ale nie mogę zmienić tapety – po wywaleniu jednego pliku mam czarne tło. Wiem, źe tutaj są wpisy do dodania do rejestru. Ale nie wiem czy one są dla kaźdego czy indywidualnie. Sądzę, źe dla kaźdego. Przywracanie mi nie działa, bo jeden z "czyścicieli" rejestru wyrzucił któryś wpis.
Moje pytania:
1. Po co trzeba wyłączać przywracanie (pytam z ciekawości:))?
2. Jaka jest zasada działania pliku który podajecie do odblokowania tapety i czy dla mnie teź będzie on przydatny a moźe jakiś inny?
3. Podaję loga i proszę o sprawdzenie czy juź wszystko jest ok.
Dodam, źe siedzę nad tym 2–gi dzień, wczoraj do 3 rano... ;)
Logfile of HijackThis v1.99.1
Scan saved at 13:12:55, on 2005–12–20
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
D:\Programy uźytkowe\ZoneAlarm 6\zlclient.exe
C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
D:\PROGRA~1\AVGFRE~1\avgemc.exe
D:\PROGRA~1\AVGFRE~1\avgcc.exe
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\System32\rundll32.exe
D:\PROGRA~1\AVGFRE~1\avgamsvr.exe
D:\Programy uźytkowe\HDD Health\hddhealth.exe
D:\Programy uźytkowe\CursorXP\CursorXP.exe
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\AVGFRE~1\avgupsvc.exe
D:\Programy uźytkowe\SpeedFan\speedfan.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\Programy uźytkowe\Kalendarz XP\Kalendarz.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\SAGEM\SAGEM F@st 800–840\dslmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Neostrada TP\NeostradaTP.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Neostrada TP\ComComp.exe
C:\Program Files\Neostrada TP\Watch.exe
D:\Programy uźytkowe\WinRAR\WinRAR.exe
C:\DOCUME~1\Arnold\USTAWI~1\Temp\Rar$EX03.315\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neostrada.pl
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neostrada.pl
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://hot–searches.com/index.php?v=6&aff=7086395
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.neostrada.pl
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.onet.pl/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.neostrada.pl
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – URLSearchHook: Search Class – {08C06D61–F1F3–4799–86F8–BE1A89362C85} – C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – D:\Programy uźytkowe\Adobe Reader 7 PL\ActiveX\AcroIEHelper.dll
O2 – BHO: Google Toolbar Helper – {AA58ED58–01DD–4d91–8333–CF10577473F7} – c:\program files\google\googletoolbar2.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:\program files\google\googletoolbar2.dll
O4 – HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 – HKLM\..\Run: [Zone Labs Client] D:\Programy uźytkowe\ZoneAlarm 6\zlclient.exe
O4 – HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 – HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
O4 – HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 – HKLM\..\Run: [QuickTime Task] "D:\odtwarzacze\QuickTime 6\qttask.exe" –atboottime
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\msvcp.exe
O4 – HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 – HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\AVGFRE~1\avgemc.exe
O4 – HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\AVGFRE~1\avgcc.exe /STARTUP
O4 – HKLM\..\Run: [AudioHQU] C:\Program Files\Creative\SBLive\AudioHQ\AHQTBU.EXE
O4 – HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 – HKCU\..\Run: [WITaj!] rem –– Anulowane uruchamianie programu WITaj! 2000
O4 – HKCU\..\Run: [Update Service] C:\PROGRA~1\COMMON~1\TEKNUM~1\update.exe /startup
O4 – HKCU\..\Run: [HDDHealth] D:\Programy uźytkowe\HDD Health\hddhealth.exe –wl
O4 – HKCU\..\Run: [Gadu–Gadu] "D:\Programy uźytkowe\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\Run: [CursorXP] D:\Programy uźytkowe\CursorXP\CursorXP.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – Global Startup: SpeedFan.lnk = ?
O4 – Global Startup: Kalendarz XP.lnk = ?
O4 – Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800–840\dslmon.exe
O8 – Extra context menu item: &Google Search – res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 – Extra context menu item: &Translate English Word – res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 – Extra context menu item: Backward Links – res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 – Extra context menu item: Cached Snapshot of Page – res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 – Extra context menu item: Pobierz stronę WEB z Free Download Manager – file://D:\Programy uźytkowe\Free Download Manager\Free Download Manager\dlpage.htm
O8 – Extra context menu item: Pobierz wszystko z Free Download Manager – file://D:\Programy uźytkowe\Free Download Manager\Free Download Manager\dlall.htm
O8 – Extra context menu item: Pobierz z Free Download Manager – file://D:\Programy uźytkowe\Free Download Manager\Free Download Manager\dllink.htm
O8 – Extra context menu item: Pobierz zaznaczenie z Free Download Manager – file://D:\Programy uźytkowe\Free Download Manager\Free Download Manager\dlselected.htm
O8 – Extra context menu item: Similar Pages – res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 – Extra context menu item: Translate Page into English – res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\WINDOWS\System32\msjava.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\WINDOWS\System32\msjava.dll
O17 – HKLM\System\CCS\Services\Tcpip\..\{485ACA5A–F760–4691–8B3E–244996096CBB}: NameServer = 194.204.152.34 217.98.63.164
O23 – Service: AVG7 Alert Manager Server (Avg7Alrt) – GRISOFT, s.r.o. – D:\PROGRA~1\AVGFRE~1\avgamsvr.exe
O23 – Service: AVG7 Update Service (Avg7UpdSvc) – GRISOFT, s.r.o. – D:\PROGRA~1\AVGFRE~1\avgupsvc.exe
O23 – Service: Creative Service for CDROM Access – Creative Technology Ltd – C:\WINDOWS\System32\CTsvcCDA.EXE
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: Poweroff – Unknown owner – C:\WINDOWS\System32\poweroff.exe" –service (file missing)
O23 – Service: TrueVector Internet Monitor (vsmon) – Zone Labs, LLC – C:\WINDOWS\system32\ZONELABS\vsmon.exe
Z góry dzięki.
Właśnie po usunięciu jeszcze kilku wartości w rejestrze mogę zmienić tapetę, ale mam czarne tło pod nazwami liter.
A na pytania ktoś moźe odpisać i sprawdzić tego loga ;)
Odpowiedzi: 14
Nie, to pierwsze. Tzw. primary domain :P .
EL NINO:
Fajnie kurna :P .
El, to twoje drugie wcielenie :mrgreen: ??
To znaczy – ja i tak będę robił formata pewnie nawet w tym tygodniu
Fajnie kurna :P .
Mozna wiedziec po co ?
OK. Juź. To znaczy – ja i tak będę robił formata pewnie nawet w tym tygodniu, ale chciałem się tego pozbyć, bo co mi jakieś wirusy czy inne spyware'y będą podskakiwać, no nie? :)
Ja to zmieniam w rejestrze, ale to ma być tylko w CurrentControlSet czy takźe w ControlSet001, ControlSet002 itd.?
Dla pewności pozmieniaj wszystkie te wpisy DataBasePath na ścieźkę przez Bobiego podaną.
Ja to zmieniam w rejestrze, ale to ma być tylko w CurrentControlSet czy takźe w ControlSet001, ControlSet002 itd.?
Ale gdzie mam to zrobić?
Ściągnij sobie załącznik z mojego posta, rozpakuj i dwuklikem scal z rejestrem
Ale gdzie mam to zrobić? Otworzyć edytor na obojętnie jakim wpisie i po prostu dodać nowy czy moźe to trzeba w jakimś konkretnym miejscu bo juź się pogubiłem...
W Silent Runners znowu mam ten wpis HIJACK WARNING! "DataBasePath" = "C:\WINDOWS\nsdb"
Więc co? Tutaj mogę zmienić ścieźkę?
Ok, odnalazłem to w rejestrze i zmieniłem, powinno być dobrze. To juź chyba wszystko. 2 dni grzebania się z tym dziadostwem wystarczy :)
W Silent Runners znowu mam ten wpis HIJACK WARNING! "DataBasePath" = "C:\WINDOWS\nsdb"
Więc co? Tutaj mogę zmienić ścieźkę?
Ok, odnalazłem to w rejestrze i zmieniłem, powinno być dobrze. To juź chyba wszystko. 2 dni grzebania się z tym dziadostwem wystarczy :)
Za późno... Usunąłem... Czy czymś to grozi?
Cholewka – mój błąd – przepraszam – dodaj ten wpis z powrotem (w prawym panelu edytora rejestru kliknij prawym klawiszem i Nowy –> wartość ciągu )a jako wartość podaj mu ścieźkę, którą Bobi podał.
Za późno... Usunąłem... Czy czymś to grozi?
A poza tym to dzięki – fachowa obsługa 8)
A poza tym to dzięki – fachowa obsługa 8)
DataBasePath nie usuwaj, a jedynie zmien mu sciezkę na: %SystemRoot%\System32\drivers\etc
Plik msvcp.exe usunąłem wcześniej – nie wiem skąd wziął się w logu.
Zrób zatem fix wpisu i juź ;)
Przywracanie – w sumie mi nie potrzebne :) Podobno przez nie jeszcze więcej badziewia się ściąga.
Niepotrzebne jest dopóki nie trzeba z niego skorzystać. Niejednemu juź tyłek uratowało. A z tym ściąganiem badziewia to bzdura.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
Uruchom regedit, wejdź pod podany tutaj klucz rejestru i usuń wpis ForceActiveDesktopOn
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\
HIJACK WARNING! "DataBasePath" = "C:\WINDOWS\nsdb"
Wejdź do tego klucza rejestru i usuń wpis DataBasePath. C:\WINDOWS\nsdb to powinien być folder – jego teź usuń (o ile jest).
A z tymi skryptami to mi chodziło o to jak działają te źe się importuje olik .reg do rejestru i tapetka jest :)
Wejdź jeszcze we właściwości pulpitu –> Dostosuj pulpit –> Sieć Web – jak tam masz jakieś strony to je usuń i ewentualnie odznacz "Wyświetl zawartość sieci Web ..."
Plik msvcp.exe usunąłem wcześniej – nie wiem skąd wziął się w logu. Przywracanie – w sumie mi nie potrzebne :) Podobno przez nie jeszcze więcej badziewia się ściąga. Co do podejrzanych plików niektórych teź nie jestem pewien. Jak się wrzuci tego loga do automata to jest coś o pewnym adresie IP ale nie do końca wiem o co chodzi.
I mogę jeszcze wrzucić loga w SilentRunners'a:
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"
Startup items buried in registry:
–––––––––––––––––––––––––––––––––
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"WITaj!" = "rem –– Anulowane uruchamianie programu WITaj! 2000" [file not found]
"Update Service" = "C:\PROGRA~1\COMMON~1\TEKNUM~1\update.exe /startup" ["Teknum Systems AS"]
"HDDHealth" = "D:\Programy uźytkowe\HDD Health\hddhealth.exe –wl" ["PANTERASoft"]
"Gadu–Gadu" = ""D:\Programy uźytkowe\Gadu–Gadu\gg.exe" /tray" ["Gadu–Gadu Sp. z oo"]
"CursorXP" = "D:\Programy uźytkowe\CursorXP\CursorXP.exe" [" "]
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Disc Detector" = "C:\Program Files\Creative\ShareDLL\CtNotify.exe" ["Creative Technology Ltd."]
"Zone Labs Client" = "D:\Programy uźytkowe\ZoneAlarm 6\zlclient.exe" ["Zone Labs, LLC"]
"WOOWATCH" = "C:\PROGRA~1\NEOSTR~1\Watch.exe" ["France Tlcom R&D"]
"WOOTASKBARICON" = "C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe" ["France Tlcom R&D"]
"WooCnxMon" = "C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [empty string]
"SunJavaUpdateSched" = "C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe" [null data]
"QuickTime Task" = ""D:\odtwarzacze\QuickTime 6\qttask.exe" –atboottime" ["Apple Computer, Inc."]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"Microsoft Office" = "C:\WINDOWS\System32\msvcp.exe" [file not found]
"Creative WebCam Tray" = "C:\Program Files\Creative\Shared Files\CAMTRAY.EXE" ["Creative Technology Ltd"]
"AVG7_EMC" = "D:\PROGRA~1\AVGFRE~1\avgemc.exe" ["GRISOFT, s.r.o."]
"AVG7_CC" = "D:\PROGRA~1\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
"AudioHQU" = "C:\Program Files\Creative\SBLive\AudioHQ\AHQTBU.EXE" [file not found]
"AudioHQ" = "C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE" ["Creative Technology Ltd."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F–C8D7–4D59–B87D–784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\Adobe Reader 7 PL\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{AA58ED58–01DD–4d91–8333–CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{1CDB2949–8F65–4355–8456–263E7C208A5D}" = "Desktop Explorer"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A47}" = "Desktop Explorer Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A48}" = "nView Desktop Context Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4–59b0–47a6–b335–a6b3c0695aea}" = "Portable Media Devices"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a–b60a–48e6–996b–41d25ed39a1e}" = "Portable Media Devices Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{0006F045–0000–0000–C000–000000000046}" = "Microsoft Outlook Custom Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\Microsoft Office XP\Office10\OLKFSTUB.DLL" [MS]
"{42042206–2D85–11D3–8CFF–005004838597}" = "Microsoft Office HTML Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\Microsoft Office XP\Office10\msohev.dll" [MS]
"{A70C977A–BF00–412C–90B7–034C51DA2439}" = "NvCpl DesktopContext Class"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0–306A–11d3–8BD1–00104B6F7516}" = "Play on my TV helper"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{B41DB860–8EE4–11D2–9906–E49FADC173CA}" = "WinRAR shell extension"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\WinRAR\rarext.dll" [null data]
"{9F97547E–4609–42C5–AE0C–81C61FFAEBC3}" = "AVG7 Shell Extension"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\AVG Free Edition\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E–460A–42C5–AE0C–81C61FFAEBC3}" = "AVG7 Find Extension"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\AVG Free Edition\avgse.dll" ["GRISOFT, s.r.o."]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E–4609–42C5–AE0C–81C61FFAEBC3}"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\AVG Free Edition\avgse.dll" ["GRISOFT, s.r.o."]
SharedMenuHandler\(Default) = "{916F1ADF–2F02–46C2–B7D2–310468390750}"
–> {CLSID}\InProcServer32\(Default) = "ssmenu.dll" ["Teknum Systems AS"]
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
SharedMenuHandler\(Default) = "{916F1ADF–2F02–46C2–B7D2–310468390750}"
–> {CLSID}\InProcServer32\(Default) = "ssmenu.dll" ["Teknum Systems AS"]
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E–4609–42C5–AE0C–81C61FFAEBC3}"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\AVG Free Edition\avgse.dll" ["GRISOFT, s.r.o."]
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\WinRAR\rarext.dll" [null data]
Group Policies [Description] {enabled Group Policy setting}:
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}
Active Desktop and Wallpaper:
–––––––––––––––––––––––––––––
Active Desktop enabled via Group Policy.
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Documents and Settings\Arnold\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"
Startup items in "Arnold" & "All Users" startup folders:
––––––––––––––––––––––––––––––––––––––––––––––––––––––––
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"SpeedFan" –> shortcut to: "D:\Programy uźytkowe\SpeedFan\speedfan.exe" ["Almico Software (www.almico.com)"]
"Kalendarz XP" –> shortcut to: "D:\Programy uźytkowe\Kalendarz XP\Kalendarz.exe" [null data]
"DSLMON" –> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800–840\dslmon.exe" [empty string]
Winsock2 Service Provider DLLs:
–––––––––––––––––––––––––––––––
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 – 03, 06 – 16
%SystemRoot%\system32\rsvpsp.dll [MS], 04 – 05
Toolbars, Explorer Bars, Extensions:
––––––––––––––––––––––––––––––––––––
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1–4965–11D4–9B18–009027A5CD4F}" = "&Google" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1–4965–11D4–9B18–009027A5CD4F}" = "&Google" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0–4FCB–11CF–AAA5–00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0–4FCB–11CF–AAA5–00401C608501}"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS]
Miscellaneous IE Hijack Points
––––––––––––––––––––––––––––––
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
Missing lines (compared with English–language version):
"{08C06D61–F1F3–4799–86F8–BE1A89362C85}" = "Search Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL" [empty string]
HOSTS file
––––––––––
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\
HIJACK WARNING! "DataBasePath" = "C:\WINDOWS\nsdb"
Running Services (Display Name, Service Name, Path {Service DLL}):
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
AVG7 Alert Manager Server, Avg7Alrt, "D:\PROGRA~1\AVGFRE~1\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "D:\PROGRA~1\AVGFRE~1\avgupsvc.exe" ["GRISOFT, s.r.o."]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\System32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
Machine Debug Manager, MDM, ""C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZONELABS\vsmon.exe –service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\System32\MsPMSPSv.exe" [MS]
––––––––––
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the –all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the –supp parameter or answer "No" at the first message box.
–––––––––– (total run time: 56 seconds, including 11 seconds for message boxes)
Pliku C:\WINDOWS\nsdb nie posiadam.
A z tymi skryptami to mi chodziło o to jak działają te źe się importuje olik .reg do rejestru i tapetka jest :)
I mogę jeszcze wrzucić loga w SilentRunners'a:
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"
Startup items buried in registry:
–––––––––––––––––––––––––––––––––
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"WITaj!" = "rem –– Anulowane uruchamianie programu WITaj! 2000" [file not found]
"Update Service" = "C:\PROGRA~1\COMMON~1\TEKNUM~1\update.exe /startup" ["Teknum Systems AS"]
"HDDHealth" = "D:\Programy uźytkowe\HDD Health\hddhealth.exe –wl" ["PANTERASoft"]
"Gadu–Gadu" = ""D:\Programy uźytkowe\Gadu–Gadu\gg.exe" /tray" ["Gadu–Gadu Sp. z oo"]
"CursorXP" = "D:\Programy uźytkowe\CursorXP\CursorXP.exe" [" "]
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Disc Detector" = "C:\Program Files\Creative\ShareDLL\CtNotify.exe" ["Creative Technology Ltd."]
"Zone Labs Client" = "D:\Programy uźytkowe\ZoneAlarm 6\zlclient.exe" ["Zone Labs, LLC"]
"WOOWATCH" = "C:\PROGRA~1\NEOSTR~1\Watch.exe" ["France Tlcom R&D"]
"WOOTASKBARICON" = "C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe" ["France Tlcom R&D"]
"WooCnxMon" = "C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [empty string]
"SunJavaUpdateSched" = "C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe" [null data]
"QuickTime Task" = ""D:\odtwarzacze\QuickTime 6\qttask.exe" –atboottime" ["Apple Computer, Inc."]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"Microsoft Office" = "C:\WINDOWS\System32\msvcp.exe" [file not found]
"Creative WebCam Tray" = "C:\Program Files\Creative\Shared Files\CAMTRAY.EXE" ["Creative Technology Ltd"]
"AVG7_EMC" = "D:\PROGRA~1\AVGFRE~1\avgemc.exe" ["GRISOFT, s.r.o."]
"AVG7_CC" = "D:\PROGRA~1\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
"AudioHQU" = "C:\Program Files\Creative\SBLive\AudioHQ\AHQTBU.EXE" [file not found]
"AudioHQ" = "C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE" ["Creative Technology Ltd."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F–C8D7–4D59–B87D–784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\Adobe Reader 7 PL\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{AA58ED58–01DD–4d91–8333–CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{1CDB2949–8F65–4355–8456–263E7C208A5D}" = "Desktop Explorer"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A47}" = "Desktop Explorer Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A48}" = "nView Desktop Context Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4–59b0–47a6–b335–a6b3c0695aea}" = "Portable Media Devices"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a–b60a–48e6–996b–41d25ed39a1e}" = "Portable Media Devices Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{0006F045–0000–0000–C000–000000000046}" = "Microsoft Outlook Custom Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\Microsoft Office XP\Office10\OLKFSTUB.DLL" [MS]
"{42042206–2D85–11D3–8CFF–005004838597}" = "Microsoft Office HTML Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\Microsoft Office XP\Office10\msohev.dll" [MS]
"{A70C977A–BF00–412C–90B7–034C51DA2439}" = "NvCpl DesktopContext Class"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0–306A–11d3–8BD1–00104B6F7516}" = "Play on my TV helper"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{B41DB860–8EE4–11D2–9906–E49FADC173CA}" = "WinRAR shell extension"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\WinRAR\rarext.dll" [null data]
"{9F97547E–4609–42C5–AE0C–81C61FFAEBC3}" = "AVG7 Shell Extension"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\AVG Free Edition\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E–460A–42C5–AE0C–81C61FFAEBC3}" = "AVG7 Find Extension"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\AVG Free Edition\avgse.dll" ["GRISOFT, s.r.o."]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E–4609–42C5–AE0C–81C61FFAEBC3}"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\AVG Free Edition\avgse.dll" ["GRISOFT, s.r.o."]
SharedMenuHandler\(Default) = "{916F1ADF–2F02–46C2–B7D2–310468390750}"
–> {CLSID}\InProcServer32\(Default) = "ssmenu.dll" ["Teknum Systems AS"]
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
SharedMenuHandler\(Default) = "{916F1ADF–2F02–46C2–B7D2–310468390750}"
–> {CLSID}\InProcServer32\(Default) = "ssmenu.dll" ["Teknum Systems AS"]
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E–4609–42C5–AE0C–81C61FFAEBC3}"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\AVG Free Edition\avgse.dll" ["GRISOFT, s.r.o."]
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "D:\Programy uźytkowe\WinRAR\rarext.dll" [null data]
Group Policies [Description] {enabled Group Policy setting}:
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}
Active Desktop and Wallpaper:
–––––––––––––––––––––––––––––
Active Desktop enabled via Group Policy.
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Documents and Settings\Arnold\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"
Startup items in "Arnold" & "All Users" startup folders:
––––––––––––––––––––––––––––––––––––––––––––––––––––––––
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"SpeedFan" –> shortcut to: "D:\Programy uźytkowe\SpeedFan\speedfan.exe" ["Almico Software (www.almico.com)"]
"Kalendarz XP" –> shortcut to: "D:\Programy uźytkowe\Kalendarz XP\Kalendarz.exe" [null data]
"DSLMON" –> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800–840\dslmon.exe" [empty string]
Winsock2 Service Provider DLLs:
–––––––––––––––––––––––––––––––
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 – 03, 06 – 16
%SystemRoot%\system32\rsvpsp.dll [MS], 04 – 05
Toolbars, Explorer Bars, Extensions:
––––––––––––––––––––––––––––––––––––
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1–4965–11D4–9B18–009027A5CD4F}" = "&Google" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1–4965–11D4–9B18–009027A5CD4F}" = "&Google" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0–4FCB–11CF–AAA5–00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0–4FCB–11CF–AAA5–00401C608501}"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS]
Miscellaneous IE Hijack Points
––––––––––––––––––––––––––––––
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
Missing lines (compared with English–language version):
"{08C06D61–F1F3–4799–86F8–BE1A89362C85}" = "Search Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL" [empty string]
HOSTS file
––––––––––
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\
HIJACK WARNING! "DataBasePath" = "C:\WINDOWS\nsdb"
Running Services (Display Name, Service Name, Path {Service DLL}):
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
AVG7 Alert Manager Server, Avg7Alrt, "D:\PROGRA~1\AVGFRE~1\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "D:\PROGRA~1\AVGFRE~1\avgupsvc.exe" ["GRISOFT, s.r.o."]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\System32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
Machine Debug Manager, MDM, ""C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZONELABS\vsmon.exe –service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\System32\MsPMSPSv.exe" [MS]
––––––––––
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the –all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the –supp parameter or answer "No" at the first message box.
–––––––––– (total run time: 56 seconds, including 11 seconds for message boxes)
Pliku C:\WINDOWS\nsdb nie posiadam.
A z tymi skryptami to mi chodziło o to jak działają te źe się importuje olik .reg do rejestru i tapetka jest :)
Witam.
Ja równieź :)
1. Po co trzeba wyłączać przywracanie (pytam z ciekawości:))?
Po to, aby wyeliminować śmieci gnieźdźące się tam i mogące się dzięki temu odtwarzać. Oczywiście po usuięciu wszystkich śmieci naleźy Przywracanie systemu włączyć.
2. Jaka jest zasada działania pliku który podajecie do odblokowania tapety i czy dla mnie teź będzie on przydatny a moźe jakiś inny?
Pliku ?? Toź to wpis/wpisy z rejestru, które usunąć naleźy.
To co niźej to do fixa leci – plik wyboldowany usuń z systemu.
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://hot–searches.com/index.php?v=6&aff=7086395
O4 – HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\msvcp.exe
Znasz to ?? Wydaje mi się, źe to coś przychodzi z programami z http://www.handybits.com/ – ale pewności nie mam. W razie czego, jakbyś chciał wyłączyć tego updatera to mozna skorzystać z instrukcji zawartej tutaj
O4 – HKCU\..\Run: [Update Service] C:\PROGRA~1\COMMON~1\TEKNUM~1\update.exe /startup
To jakieś podejrzane – jeźeli nie znasz to plik i usługę usuń (o usuwaniu usług na forum znajdziesz informacje)
O23 – Service: Poweroff – Unknown owner – C:\WINDOWS\System32\poweroff.exe" –service (file missing)
Właśnie po usunięciu jeszcze kilku wartości w rejestrze mogę zmienić tapetę, ale mam czarne tło pod nazwami liter.
Solucje dotyczące przezroczystości pod iknonami znajdziesz w dziale Windows XP a konkretniej w FAQ tam umieszczonym.
O zreperacji Przywracania systemu teź jakieś porady się na forum przewinęły – poszukaj ich ;)
No, chyba wszystko :)
Strona 1 / 1