"obcy" w rejestrze systemu ?

10.03.05, 14:51
Witam –
kilka dni temu zachcialo mi sie sie zainstalowac Gadu Gadu na dodatek
wchodzac do sieci przez zagraniczna siec bezprzewodowa (nie wiem czy to ma
znaczenie ale wydaje mi sie ze tak) Nie wiem po co mi to bylo ale stalo sie i
teraz tocze boj z „obcymi“
Moj program antywirusowy krzyczy ze mam trojany, adwary i wszelkie inne
paskudztwa ale tylko je skanuje (komunikat : „left alone, file unchanged)
No to szukam i zabijam recznie ale nie wszystko sie da a te skubance
sie „klonuja” i wylaza nie wiadomo skad i nie wiadomo gdzie siedza.

Efekt jest taki ze IE nie dziala tak jak powinien
wyskakuja jakies komunikaty o bleadch w skrypcie strony, system pyta
o to czy debugowac niektore strpny itp, nie moge wejsc na swoje konta.
bankowe itd



Dobralem sie w koncu do rejestru systemu i znalazlem tam w :
HKEY_LOCAL_MACHINE\Software\Micrsoft\Widnows\CurrentVersion\Run takie dwa –
jak dla mnie – podejrzane „typy”

- antiware - C: windows\system32\elitenfu32.exe
Microsofr MediaScope - winmes.exe

Tyle ze ani jednego ani drugiego nie moge znalezc wg podanej sciezki (ten
drugi nie ma sciezki)
Czy jak je wywale z rejestru to nic sie nie stanie, czy wlasciwie typuje ?
Czy moze te pliki tam powinny zsotac.


Dzieki za ew. pomoc.

    • kolobos1 Re: "obcy" w rejestrze systemu ? 10.03.05, 15:21
      Najlepiej sciagnij hijackthis (znajdziesz na google) i wklej tutaj zawartosc
      log'a ze skanowania, bo pewnie masz wiecej smieci niz tylko te co znalazles.
      • oban Re: "obcy" w rejestrze systemu ? 10.03.05, 15:33
        Troche duzo tego

        Logfile of HijackThis v1.99.1
        Scan saved at 15:32:49, on 10.03.2005
        Platform: Windows XP SP1 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\Programme\Citrix\ICA Client\ssonsvr.exe
        C:\WINDOWS\System32\cisvc.exe
        C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
        C:\Programme\Symantec AntiVirus\SavRoam.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\System32\tcpsvcs.exe
        C:\Programme\Symantec AntiVirus\Rtvscan.exe
        C:\WINDOWS\System32\igfxtray.exe
        C:\WINDOWS\System32\hkcmd.exe
        C:\WINDOWS\SOUNDMAN.EXE
        C:\WINDOWS\AGRSMMSG.exe
        C:\Programme\ltmoh\Ltmoh.exe
        C:\Programme\Synaptics\SynTP\SynTPLpr.exe
        C:\Programme\Synaptics\SynTP\SynTPEnh.exe
        C:\Programme\Acer\Notebook Manager\almxptray.exe
        C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
        C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
        C:\Programme\Launch Manager\QtZgAcer.EXE
        C:\PROGRA~1\SYMANT~1\VPTray.exe
        C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
        C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
        C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe
        C:\WINDOWS\System32\winnt.exe
        C:\WINDOWS\System32\MSWSCK32.exe
        C:\WINDOWS\System32\MSDATLST.exe
        C:\Program Files\Media Pass\MediaPassK.exe
        C:\WINDOWS\System32\ctfmon.exe
        C:\WINDOWS\System32\MSWSCK32.exe
        C:\WINDOWS\System32\MSDATLST.exe
        C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
        C:\Program Files\Media Pass\MediaPass.exe
        C:\Program Files\interMute\SpySubtract\SpySub.exe
        C:\Programme\Internet Explorer\iexplore.exe
        C:\Dokumente und Einstellungen\a8900kwa\Eigene Dateien\Eigene
        Files\hijackthis\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
        searchmiracle.com/sp.php
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
        searchmiracle.com/sp.php
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
        searchmiracle.com/sp.php
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        intra.schenker.at/
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        searchmiracle.com/sp.php
        R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
        intra.schenker.at/
        R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
        Settings,ProxyServer = 10.90.220.80:3128
        R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
        Settings,ProxyOverride =
        194.55.111.57;194.55.111.1;194.55.111.37;194.55.111.159;194.55.111.182;10.208.1.
        99;<local>
        R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
        file)
        O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} -
        C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
        O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
        C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
        O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} -
        C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
        O4 - HKLM\..\Run: [LaunchApp] Alaunch
        O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
        O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
        O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
        O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
        O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
        O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
        O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
        O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook
        Manager\almxptray.exe
        O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06
        \bin\jusched.exe
        O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
        O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
        O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame
        Dateien\Nokia\NCLTools\NclTray.exe
        O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame
        Dateien\Real\Update_OB\realsched.exe" -osboot
        O4 - HKLM\..\Run: [Connect Update Agent] "C:\Programme\T-Mobile\Communication
        Center\AutoUpdateSrv.exe"
        O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
        O4 - HKLM\..\Run: [Microsoft Security Management] winnt.exe
        O4 - HKLM\..\Run: [Microsoft Winsocks 32 Controller] MSWSCK32.exe
        O4 - HKLM\..\Run: [MS windows Data list process] MSDATLST.exe
        O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
        O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitenfu32.exe
        O4 - HKLM\..\RunServices: [Microsoft Security Management] winnt.exe
        O4 - HKLM\..\RunServices: [Microsoft Winsocks 32 Controller] MSWSCK32.exe
        O4 - HKLM\..\RunServices: [Microsoft MediaScope] winmes.exe
        O4 - HKLM\..\RunServices: [MS windows Data list process] MSDATLST.exe
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
        O4 - HKCU\..\Run: [Microsoft Winsocks 32 Controller] MSWSCK32.exe
        O4 - HKCU\..\Run: [MS windows Data list process] MSDATLST.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
        Office\Office10\OSA.EXE
        O4 - Global Startup: SpySubtract.lnk = C:\Program
        Files\interMute\SpySubtract\SpySub.exe
        O8 - Extra context menu item: &Google Search -
        res://C:\Programme\Google\googletoolbar.dll/cmsearch.html
        O8 - Extra context menu item: Backward &Links -
        res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html
        O8 - Extra context menu item: Cac&hed Snapshot of Page -
        res://C:\Programme\Google\googletoolbar.dll/cmcache.html
        O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
        res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
        O8 - Extra context menu item: Si&milar Pages -
        res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html
        O8 - Extra context menu item: Translate into English -
        res://C:\Programme\Google\googletoolbar.dll/cmtrans.html
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
        C:\WINDOWS\System32\msjava.dll
        O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-
        00401C608501} - C:\WINDOWS\System32\msjava.dll
        O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
        Internet Zone
        O16 - DPF: Attachmate Viewer Feature Support -
        wth.stinnes.de:7001/ClientAccess/JavaClient/ViewerFeatures.cab
        O16 - DPF: Attachmate Viewers - German Support -
        wth.stinnes.de:7001/ClientAccess/JavaClient/mainframe/de/Viewers_De.cab
        O16 - DPF: v3cab - searchmiracle.com/cab/8.cab
        O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) -
        www.schenkernet.com/qp2.cab
        O16 - DPF: {08C818C3-2F1E-11D0-9223-00A0244D2920} (ChartFX IE Client Object) -
        mic.eu.signintra.com/download/cfxax.cab
        O16 - DPF: {21F49842-BFA9-11D2-A89C-00104B62BDDA} (ChartFX Internet Control) -
        mic.eu.signintra.com/download/CfxIEAx.cab
        O18 - Protocol: qvp - {4BA78E3D-CA25-4BFF-B8F0-8A3
        • cnjry Re: "obcy" w rejestrze systemu ? 10.03.05, 15:43
          Masz troche syfu w folderze system32
          Sciagnij ad-aware i spybot ten twij antywir to nie jest najlepszy, zainstaluj
          firefox jako przegladarke.
          Widze ze masz jakis serwer proxy z portem 3128 to jest ci niezbedne ?

          Zaras ktos poda ci co masz wywalic ale programy te co podalem zainstaluj i uzuwaj
        • cnjry Re: "obcy" w rejestrze systemu ? 10.03.05, 15:48
          Zapomnialem zainstaluj SP2, jestes nieostrozny wchodzac z takim syfem na strony
          swojego banku i logijac sie tam, masz chyba jakiegos tokena lub cos podobnego do
          uatoryzacji na koncie
        • kolobos1 Re: "obcy" w rejestrze systemu ? 10.03.05, 15:53
          Jak sie ma wylegarnie trojanow i spyware'u to normalne, ze jest duzo ;-)

          Uruchom hijackthis i zaznacz te wpisy:

          R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
          searchmiracle.com/sp.php
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
          searchmiracle.com/sp.php
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
          searchmiracle.com/sp.php
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          intra.schenker.at/
          R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          searchmiracle.com/sp.php
          R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
          intra.schenker.at/
          R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
          file)
          O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} -
          C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
          O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
          C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
          O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} -
          C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
          O4 - HKLM\..\Run: [LaunchApp] Alaunch <- to jakis dodatkowy pasek ikonek jak Ci
          nie potrzebny to to tez zaznacz
          O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06
          \bin\jusched.exe <- to jest zbedne (ikonka javy)
          O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame
          Dateien\Real\Update_OB\realsched.exe" -osboot <- tak samo real player
          O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
          O4 - HKLM\..\Run: [Microsoft Security Management] winnt.exe
          O4 - HKLM\..\Run: [Microsoft Winsocks 32 Controller] MSWSCK32.exe
          O4 - HKLM\..\Run: [MS windows Data list process] MSDATLST.exe
          O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe <-
          jezeli wiesz co to jest to zostaw, jezeli nie to tez zaznacz
          O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitenfu32.exe
          O4 - HKLM\..\RunServices: [Microsoft Security Management] winnt.exe
          O4 - HKLM\..\RunServices: [Microsoft Winsocks 32 Controller] MSWSCK32.exe
          O4 - HKLM\..\RunServices: [Microsoft MediaScope] winmes.exe
          O4 - HKLM\..\RunServices: [MS windows Data list process] MSDATLST.exe
          O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
          O4 - HKCU\..\Run: [Microsoft Winsocks 32 Controller] MSWSCK32.exe
          O4 - HKCU\..\Run: [MS windows Data list process] MSDATLST.exe
          O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
          Office\Office10\OSA.EXE <- office'owa osa jest zbedna
          O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
          C:\WINDOWS\System32\msjava.dll
          O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-
          00401C608501} - C:\WINDOWS\System32\msjava.dll
          O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
          Internet Zone
          O16 - DPF: Attachmate Viewer Feature Support -
          wth.stinnes.de:7001/ClientAccess/JavaClient/ViewerFeatures.cab <- jezeli wiesz
          co to to zostaw, jak nie to zaznacz
          O16 - DPF: Attachmate Viewers - German Support -
          wth.stinnes.de:7001/ClientAccess/JavaClient/mainframe/de/Viewers_De.cab
          O16 - DPF: v3cab - searchmiracle.com/cab/8.cab
          O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) -
          www.schenkernet.com/qp2.cab
          O16 - DPF: {08C818C3-2F1E-11D0-9223-00A0244D2920} (ChartFX IE Client Object) -
          mic.eu.signintra.com/download/cfxax.cab
          O16 - DPF: {21F49842-BFA9-11D2-A89C-00104B62BDDA} (ChartFX Internet Control) -
          O18 - Protocol: qvp - {4BA78E3D-CA25-4BFF-B8F0-8A3

          I nacisnij Fix Checked, sciagnij sobie tez SpyBot S&D i Ad-Aware i przeskanuj
          system ale dopiero po resecie, a nastepnie zrob nowy log przy pomocy hijackthis
          i wklej go tutaj :-)


          Ps. mam nadzieje ze nic mi nie umknelo bo troche trgo bylo :P
          • oban Re: "obcy" w rejestrze systemu ? 10.03.05, 16:27
            Dzieki niesamowite !!!
            I skad sie tyle tego bierze i zawsze u mnie ;)

            Zrobilem jak mowiles, wynikwklejam ponizej
            Z Twojej listy zostawilem wszystkie wpisy zawierajace : schenker, stinnes,
            eu.mic, signintra - to firmowe

            Ale MediaPass i Antiware wydaja sie byc dosc "upierdliwe" - po resecie
            mam je znowu, po resecie poza tym wypluwa mi sie jakies cudo proponujace Viagre
            i ... zabezpieczaenie antywirusowe - to bylo juz wczesniej, ale po twojej
            liscie zniknelo a po resecie znow jest wiec moze to ten MediaPass i antiware ?



            Logfile of HijackThis v1.99.1
            Scan saved at 16:20:38, on 10.03.2005
            Platform: Windows XP SP1 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\Programme\Citrix\ICA Client\ssonsvr.exe
            C:\WINDOWS\System32\cisvc.exe
            C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
            C:\Programme\Symantec AntiVirus\SavRoam.exe
            C:\WINDOWS\Explorer.EXE
            C:\WINDOWS\System32\tcpsvcs.exe
            C:\Programme\Symantec AntiVirus\Rtvscan.exe
            C:\WINDOWS\System32\igfxtray.exe
            C:\WINDOWS\System32\hkcmd.exe
            C:\WINDOWS\SOUNDMAN.EXE
            C:\WINDOWS\AGRSMMSG.exe
            C:\Programme\ltmoh\Ltmoh.exe
            C:\Programme\Synaptics\SynTP\SynTPLpr.exe
            C:\Programme\Synaptics\SynTP\SynTPEnh.exe
            C:\Programme\Acer\Notebook Manager\almxptray.exe
            C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
            C:\Programme\Launch Manager\QtZgAcer.EXE
            C:\PROGRA~1\SYMANT~1\VPTray.exe
            C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
            C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe
            C:\Program Files\Media Pass\MediaPassK.exe
            C:\WINDOWS\System32\ctfmon.exe
            C:\Program Files\Media Pass\MediaPass.exe
            C:\Program Files\interMute\SpySubtract\SpySub.exe
            C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
            C:\Dokumente und Einstellungen\a8900kwa\Eigene Dateien\Eigene
            Files\hijackthis\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            intra.schenker.at/
            R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
            intra.schenker.at/
            R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
            Settings,ProxyServer = 10.90.220.80:3128
            R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
            Settings,ProxyOverride =
            194.55.111.57;194.55.111.1;194.55.111.37;194.55.111.159;194.55.111.182;10.208.1.
            99;<local>
            O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
            O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
            O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
            O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
            O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
            O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
            O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
            O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook
            Manager\almxptray.exe
            O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
            O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
            O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
            O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame
            Dateien\Nokia\NCLTools\NclTray.exe
            O4 - HKLM\..\Run: [Connect Update Agent] "C:\Programme\T-Mobile\Communication
            Center\AutoUpdateSrv.exe"
            O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
            O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitenfu32.exe
            O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
            O4 - Global Startup: SpySubtract.lnk = C:\Program
            Files\interMute\SpySubtract\SpySub.exe
            O8 - Extra context menu item: &Google Search -
            res://C:\Programme\Google\googletoolbar.dll/cmsearch.html
            O8 - Extra context menu item: Backward &Links -
            res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html
            O8 - Extra context menu item: Cac&hed Snapshot of Page -
            res://C:\Programme\Google\googletoolbar.dll/cmcache.html
            O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
            res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
            O8 - Extra context menu item: Si&milar Pages -
            res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html
            O8 - Extra context menu item: Translate into English -
            res://C:\Programme\Google\googletoolbar.dll/cmtrans.html
            O16 - DPF: Attachmate Viewer Feature Support -
            wth.stinnes.de:7001/ClientAccess/JavaClient/ViewerFeatures.cab
            O16 - DPF: Attachmate Viewers - German Support -
            wth.stinnes.de:7001/ClientAccess/JavaClient/mainframe/de/Viewers_De.cab
            O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) -
            www.schenkernet.com/qp2.cab
            O16 - DPF: {08C818C3-2F1E-11D0-9223-00A0244D2920} (ChartFX IE Client Object) -
            mic.eu.signintra.com/download/cfxax.cab
            O16 - DPF: {21F49842-BFA9-11D2-A89C-00104B62BDDA} (ChartFX Internet Control) -
            mic.eu.signintra.com/download/CfxIEAx.cab
            O18 - Protocol: qvp - {4BA78E3D-CA25-4BFF-B8F0-8A3359E4B520} -
            C:\Programme\Gemeinsame Dateien\QlikView Protocol\qvp.dll
            O18 - Protocol: t-mobile - {C6D89159-3467-4C2F-9918-3362DA57BCD2} - C:\PROGRA~1
            \T-Mobile\HOTSPO~1\TMOBIL~1.DLL
            O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
            O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
            O23 - Service: AutoComplete Service (Autocomplete) - Unknown owner -
            C:\Programme\Acesoft\Tracks Eraser Pro\autocomp.exe (file missing)
            O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec
            AntiVirus\SavRoam.exe
            O23 - Service: Symantec AntiVirus - Symantec Corporation -
            C:\Programme\Symantec AntiVirus\Rtvscan.exe






            • cnjry Re: "obcy" w rejestrze systemu ? 10.03.05, 16:31
              C:\WINDOWS\System32\igfxtray.exe
              C:\WINDOWS\System32\hkcmd.exe
              C:\Programme\Launch Manager\QtZgAcer.EXE
              > O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
              > O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
              > O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

              To nie wszystko do reszty nie mam pewnosci
              • cnjry Re: "obcy" w rejestrze systemu ? 10.03.05, 16:37
                Moge sie mylic co do hkcmd.exe wstrzymaj sie az inni potwierdza
              • kolobos1 Re: "obcy" w rejestrze systemu ? 10.03.05, 16:55
                To sa potrzebne procesy:
                C:\WINDOWS\System32\igfxtray.exe <- to jest od karty graficznej intela
                C:\WINDOWS\System32\hkcmd.exe <- reszta sterownikow grafiki intela
                C:\Programme\Launch Manager\QtZgAcer.EXE <- jakis konfigurator do laptowo acera
                O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe <- -||-
                O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe <- -||-
                O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll <- tez
                sterowniki


                • cnjry Re: "obcy" w rejestrze systemu ? 10.03.05, 17:44
                  @kolobos1 dzieki za poprawki
                  Tak to jest ja sie dokladnie loga nie przejzy i nie zorientuje ze to acer
                  Wicej sie nie wypowiadam na temat szczegolow bo mi sie to zlewa.
            • kolobos1 Re: "obcy" w rejestrze systemu ? 10.03.05, 17:03
              Co do media pass to uruchom Menadzer Zadan i zamknij procesy:
              C:\Program Files\Media Pass\MediaPassK.exe
              oraz:
              C:\Program Files\Media Pass\MediaPass.exe
              a nastepnie przegraj gdzies caly katalog
              C:\Program Files\Media Pass\, zeby sie juz nie moglo uruchomic, a nastepnie
              wykasuj wpisy przy pomocy hijackthis:
              O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe


              A co do O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitenfu32.exe
              To sprobuj go usunac tym -> www.downloads.subratam.org/KillBox.zip
              Jak dalej sie bedzie opieral to sciagnij sobie
              www.sysinternals.com/ntw2k/freeware/procexp.shtml odszukaj go na liscie
              procesow, zabij i usun plik recznie :-)
              • oban Re: "obcy" w rejestrze systemu ? 10.03.05, 19:24
                Dzieki , wydaje sie ze zadzialalo !!
Pełna wersja