WIN32:Trojan–gen.{Delphi}
mam nadzieje,źe mi ktoś pomoźe.z góry dziękuje.krótka historia.miałem kasperskiego i kerio,w xp+sp1.dostał się jakiś wirus,którego nic nie wykryło.
zaczeły otwierać się okienka i latać po całym ekranie.zainsalowałem avasta i przy starcie systemu wykrył
WIN32:Trojan–gen.{Delphi} w plikuC:\dok.and set.\..\autostart\reboot.exe potem jakiś program pokazał jeszcze wersje VPS:0521–2,2005–05–25.
próbowałem usunąć róźnymi sposobami,uźywałem hijack this,unlocker,killbox korzystając z tego co wyszukałem na tym forum i nic.ciągle ten sam komunikat program uźywany przez inny proces.
przy próbie usunięcia ten plik zmieniał miejsce,był w folderze C:\Wind\system32\usmt nazwa f. migsys.inf
przy próbie usunięcia uaktywniał się i tworzył inny folder,2 razy na pulpicie
1.folder skompresowany,potem 2.skrót wordpad.teraz jest w rejestrze :
Root
HKEY_CURRENT_USERS
klucz
Software\microsoft\search assistant\ACMru\5603
wpis 000 wartość reboot.exe
HKEY_CURRENT_USERS
Software\microsoft\search assistant\ACMru\5604 000 reboot.exe
HKEY_USERS S–1–5–21–1343024091–117609710–725345543–1003\Software\Microsoft\Search Assistant\ACMru\5603
000 reboot.exe
HKEY_USERS S–1–5–21–1343024091–117609710–725345543–1003\Software\Microsoft\Search Assistant\ACMru\5604
000 reboot.exe
po otwarciu którego kolwiek z4 wpisów jest to samo:
nazwa typ dane
domyślna REG_SZ (wartość nieustalona )
000 REG_SZ reboot.exe
nie mogę tego usunąć,jedynie mogłem zmodyfikować(wykasowałem wszystko co było w środku zostały tylko trzy zera bo się nie dało)
ale po jakimś czasie sprawdziłem i pojawił się tam trzeci wpis: 001 REG_SZ reboot.exe
trudności miałem z napisaniem tego tekstu bo wir sie uaktywniał i zmieniał te dane wogule wydaje mi się,źe przy pisaniu nazwy albo jakiś danych
związanych z tym wir. uaktywnia się .sformatowałem dysk ale tylko partycje systemową i to nic nie pomogło.po przeinstalowaniu i skanowaniu przy
uruchamianiu systemu avast pokazał,źe wir jest w F:\i nie pamiętam co dalej (F u mnie to stacja dysków).teraz cały czas jest w rejestrze i juź
nie wiem co zrobić moje moźliwości się wyczerpały więc liczę na waszą pomoc
dołączę jeszcze skan z programu hijackthis(sprawdzałem na tej stronie,która była podana na forum ale na czerwono pokazało tylko IE co usunołem,
ale potem pojawiło się znowu i ralink na źółto ze znakiem zapytania ale tego nie mogę usunąć bo to program do karty)
Logfile of HijackThis v1.99.1
Scan saved at 10:57:33, on 2005–12–30
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Windows NT\Accessories\WORDPAD.EXE
D:\ZAPISZ PLIKI ŚCIĄGANE\hijackthis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: Kerio Personal Firewall (PersFw) – Kerio Technologies – C:\Program Files\Kerio\Personal Firewall\persfw.exe
jeszcze jedno avast pokazuje pliki w kwarantannie kernel32.dll,winsock.dll,wsock32.dll wszystkie w C:\WINDOWS\System32
i dodane zostało rozszerzenie .ink do skrótów na pulpicie i w menu start . ściągnołem AIMfix.exe i drugi free registery fix ten wykrył ok.50 problemów
ale usunoł troche aby usunąć wszystkie trzeba wykupić program.wpisy w rejastrze zostały .po ponownym skanowaniu pokazało 5 problemów:
active x servers c:\windows\system32\deskpan.dll
type lib section c:windows\system32\
activex interfaces interface\{9B697780–DBBC–11D2–80C700104B1...
INTERFACE\{F4817E4B–04B6–11D3–8862–00C04F72..
zaczeły otwierać się okienka i latać po całym ekranie.zainsalowałem avasta i przy starcie systemu wykrył
WIN32:Trojan–gen.{Delphi} w plikuC:\dok.and set.\..\autostart\reboot.exe potem jakiś program pokazał jeszcze wersje VPS:0521–2,2005–05–25.
próbowałem usunąć róźnymi sposobami,uźywałem hijack this,unlocker,killbox korzystając z tego co wyszukałem na tym forum i nic.ciągle ten sam komunikat program uźywany przez inny proces.
przy próbie usunięcia ten plik zmieniał miejsce,był w folderze C:\Wind\system32\usmt nazwa f. migsys.inf
przy próbie usunięcia uaktywniał się i tworzył inny folder,2 razy na pulpicie
1.folder skompresowany,potem 2.skrót wordpad.teraz jest w rejestrze :
Root
HKEY_CURRENT_USERS
klucz
Software\microsoft\search assistant\ACMru\5603
wpis 000 wartość reboot.exe
HKEY_CURRENT_USERS
Software\microsoft\search assistant\ACMru\5604 000 reboot.exe
HKEY_USERS S–1–5–21–1343024091–117609710–725345543–1003\Software\Microsoft\Search Assistant\ACMru\5603
000 reboot.exe
HKEY_USERS S–1–5–21–1343024091–117609710–725345543–1003\Software\Microsoft\Search Assistant\ACMru\5604
000 reboot.exe
po otwarciu którego kolwiek z4 wpisów jest to samo:
nazwa typ dane
domyślna REG_SZ (wartość nieustalona )
000 REG_SZ reboot.exe
nie mogę tego usunąć,jedynie mogłem zmodyfikować(wykasowałem wszystko co było w środku zostały tylko trzy zera bo się nie dało)
ale po jakimś czasie sprawdziłem i pojawił się tam trzeci wpis: 001 REG_SZ reboot.exe
trudności miałem z napisaniem tego tekstu bo wir sie uaktywniał i zmieniał te dane wogule wydaje mi się,źe przy pisaniu nazwy albo jakiś danych
związanych z tym wir. uaktywnia się .sformatowałem dysk ale tylko partycje systemową i to nic nie pomogło.po przeinstalowaniu i skanowaniu przy
uruchamianiu systemu avast pokazał,źe wir jest w F:\i nie pamiętam co dalej (F u mnie to stacja dysków).teraz cały czas jest w rejestrze i juź
nie wiem co zrobić moje moźliwości się wyczerpały więc liczę na waszą pomoc
dołączę jeszcze skan z programu hijackthis(sprawdzałem na tej stronie,która była podana na forum ale na czerwono pokazało tylko IE co usunołem,
ale potem pojawiło się znowu i ralink na źółto ze znakiem zapytania ale tego nie mogę usunąć bo to program do karty)
Logfile of HijackThis v1.99.1
Scan saved at 10:57:33, on 2005–12–30
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Windows NT\Accessories\WORDPAD.EXE
D:\ZAPISZ PLIKI ŚCIĄGANE\hijackthis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: Kerio Personal Firewall (PersFw) – Kerio Technologies – C:\Program Files\Kerio\Personal Firewall\persfw.exe
jeszcze jedno avast pokazuje pliki w kwarantannie kernel32.dll,winsock.dll,wsock32.dll wszystkie w C:\WINDOWS\System32
i dodane zostało rozszerzenie .ink do skrótów na pulpicie i w menu start . ściągnołem AIMfix.exe i drugi free registery fix ten wykrył ok.50 problemów
ale usunoł troche aby usunąć wszystkie trzeba wykupić program.wpisy w rejastrze zostały .po ponownym skanowaniu pokazało 5 problemów:
active x servers c:\windows\system32\deskpan.dll
type lib section c:windows\system32\
activex interfaces interface\{9B697780–DBBC–11D2–80C700104B1...
INTERFACE\{F4817E4B–04B6–11D3–8862–00C04F72..
Odpowiedzi: 2
Logi wyglądają na czyste. Jeśli korzystasz z IE to uaktualnij: www.windowsupdate.com
dopiero teraz przeczytałem o programie silent runners.vbs więc to jeszcze dorzuce
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"
Startup items buried in registry:
–––––––––––––––––––––––––––––––––
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"WinampAgent" = "C:\Program Files\Winamp\winampa.exe" [null data]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43–4d38–484f–9b9e–de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962–6F74–2D53–2644–206D7942484F}\(Default) = (no title provided)
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714–76d4–11d1–8b24–00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
–> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949–8F65–4355–8456–263E7C208A5D}" = "Desktop Explorer"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A47}" = "Desktop Explorer Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{A70C977A–BF00–412C–90B7–034C51DA2439}" = "NvCpl DesktopContext Class"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0–306A–11d3–8BD1–00104B6F7516}" = "Play on my TV helper"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A48}" = "nView Desktop Context Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{DDE4BEEB–DDE6–48fd–8EB5–035C09923F83}" = "UnlockerShellExtension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Unlocker\UnlockerCOM.dll" [null data]
"{23170F69–40C1–278A–1000–000100020000}" = "7–Zip Shell Extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\7–Zip\7–zipn.dll" ["Igor Pavlov"]
"{472083B0–C522–11CF–8763–00608CC02F24}" = "avast"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7–Zip\(Default) = "{23170F69–40C1–278A–1000–000100020000}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\7–Zip\7–zipn.dll" ["Igor Pavlov"]
avast\(Default) = "{472083B0–C522–11CF–8763–00608CC02F24}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7–Zip\(Default) = "{23170F69–40C1–278A–1000–000100020000}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\7–Zip\7–zipn.dll" ["Igor Pavlov"]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0–C522–11CF–8763–00608CC02F24}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
UnlockerShellExtension\(Default) = "{DDE4BEEB–DDE6–48fd–8EB5–035C09923F83}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Unlocker\UnlockerCOM.dll" [null data]
Active Desktop and Wallpaper:
–––––––––––––––––––––––––––––
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp"
Enabled Screen Saver:
–––––––––––––––––––––
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]
Startup items in "werty" & "All Users" startup folders:
–––––––––––––––––––––––––––––––––––––––––––––––––––––––
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"RaConfig2500" –> shortcut to: "C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe –s" ["Ralink Technology, Corp."]
Enabled Scheduled Tasks:
––––––––––––––––––––––––
"Auto–scheduled task of Free Registry Fix" –> launches: "C:\Program Files\Free Registry Fix\regfix.exe /run" ["Promosoft Corp."]
Winsock2 Service Provider DLLs:
–––––––––––––––––––––––––––––––
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 – 03, 06 – 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 – 05
Running Services (Display Name, Service Name, Path {Service DLL}):
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Kerio Personal Firewall, PersFw, ""C:\Program Files\Kerio\Personal Firewall\persfw.exe"" ["Kerio Technologies"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
––––––––––
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the –all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the –supp parameter or answer "No" at the first message box.
–––––––––– (total run time: 46 seconds, including 18 seconds for message boxes)
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"
Startup items buried in registry:
–––––––––––––––––––––––––––––––––
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"WinampAgent" = "C:\Program Files\Winamp\winampa.exe" [null data]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43–4d38–484f–9b9e–de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962–6F74–2D53–2644–206D7942484F}\(Default) = (no title provided)
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714–76d4–11d1–8b24–00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
–> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949–8F65–4355–8456–263E7C208A5D}" = "Desktop Explorer"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A47}" = "Desktop Explorer Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{A70C977A–BF00–412C–90B7–034C51DA2439}" = "NvCpl DesktopContext Class"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0–306A–11d3–8BD1–00104B6F7516}" = "Play on my TV helper"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A48}" = "nView Desktop Context Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{DDE4BEEB–DDE6–48fd–8EB5–035C09923F83}" = "UnlockerShellExtension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Unlocker\UnlockerCOM.dll" [null data]
"{23170F69–40C1–278A–1000–000100020000}" = "7–Zip Shell Extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\7–Zip\7–zipn.dll" ["Igor Pavlov"]
"{472083B0–C522–11CF–8763–00608CC02F24}" = "avast"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7–Zip\(Default) = "{23170F69–40C1–278A–1000–000100020000}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\7–Zip\7–zipn.dll" ["Igor Pavlov"]
avast\(Default) = "{472083B0–C522–11CF–8763–00608CC02F24}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7–Zip\(Default) = "{23170F69–40C1–278A–1000–000100020000}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\7–Zip\7–zipn.dll" ["Igor Pavlov"]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0–C522–11CF–8763–00608CC02F24}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
UnlockerShellExtension\(Default) = "{DDE4BEEB–DDE6–48fd–8EB5–035C09923F83}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Unlocker\UnlockerCOM.dll" [null data]
Active Desktop and Wallpaper:
–––––––––––––––––––––––––––––
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp"
Enabled Screen Saver:
–––––––––––––––––––––
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]
Startup items in "werty" & "All Users" startup folders:
–––––––––––––––––––––––––––––––––––––––––––––––––––––––
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"RaConfig2500" –> shortcut to: "C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe –s" ["Ralink Technology, Corp."]
Enabled Scheduled Tasks:
––––––––––––––––––––––––
"Auto–scheduled task of Free Registry Fix" –> launches: "C:\Program Files\Free Registry Fix\regfix.exe /run" ["Promosoft Corp."]
Winsock2 Service Provider DLLs:
–––––––––––––––––––––––––––––––
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 – 03, 06 – 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 – 05
Running Services (Display Name, Service Name, Path {Service DLL}):
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Kerio Personal Firewall, PersFw, ""C:\Program Files\Kerio\Personal Firewall\persfw.exe"" ["Kerio Technologies"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
––––––––––
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the –all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the –supp parameter or answer "No" at the first message box.
–––––––––– (total run time: 46 seconds, including 18 seconds for message boxes)
Strona 1 / 1