Pilna potrzeba sprawdzenia logów z Hijacka

[BlackHawk]

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 12:21:51, on 2006-10-21
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32 undll32.exe
C:Program FilesAntiVir PersonalEdition Classicsched.exe
C:Program FilesAntiVir PersonalEdition Classicavguard.exe
C:Program FilesCommon FilesLightScribeLSSrvc.exe
C:Program FilesThomsonSpeedTouch USBDragdiag.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:Program FilesDAEMON Toolsdaemon.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesGadu-Gadugg.exe
C:WINDOWSSystem32RUNDLL32.EXE
C:Program Filesmozilla.orgMozillamozilla.exe
C:WINDOWSexplorer.exe
C:Documents and SettingsBlackHawkPulpitHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:PROGRA~1NEOSTR~1SEARCH~1.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [SpeedTouch USB Diagnostics] "C:Program FilesThomsonSpeedTouch USBDragdiag.exe" /icon
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [DAEMON Tools] "C:Program FilesDAEMON Toolsdaemon.exe" -lang 1033
O4 - HKLM..Run: [msvcc25] svcchost.exe
O4 - HKLM..Run: [Microsoft Security Monitor Process] scvhost.exe
O4 - HKLM..Run: [Wins Network ks32] netwkrs32.exe
O4 - HKLM..Run: [Windows Update] Windowsupfixer.exe
O4 - HKLM..Run: [avgnt] "C:Program FilesAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [HP Software Update] C:Program FilesHewlett-PackardHP Software UpdateHPWuSchd.exe
O4 - HKLM..RunServices: [msvcc25] svcchost.exe
O4 - HKLM..RunServices: [Microsoft Security Monitor Process] scvhost.exe
O4 - HKLM..RunServices: [Wins Network ks32] netwkrs32.exe
O4 - HKLM..RunServices: [Windows Update] Windowsupfixer.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadugg.exe" /tray
O4 - HKCU..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NVMCTRAY.DLL,NvTaskbarInit
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLMSystemCCSServicesTcpip..{24480D91-6A76-47B6-B773-F6569F24F906}: NameServer = 194.204.152.34 217.98.63.164
O20 - Winlogon Notify: OptimalLayout - C:WINDOWSsystem32ktp6l77s1.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:Program FilesAntiVir PersonalEdition Classicsched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:Program FilesAntiVir PersonalEdition Classicavguard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:Program FilesCommon FilesLightScribeLSSrvc.exe
O23 - Service: Instalator Windows (MSIServer) - Unknown owner - C:WINDOWSSystem32msiexec.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:WINDOWSSystem32
vsvc32.exe (file missing)



W zeszłym tygodniu robiłem formata. Po zainstalowaniu systemu miałem spokuj no włąśnie tydzień i wczoraj wszystko zaczeło mi wariować. Najpierw AtniVir (Perssonal Edition czy jakoś tak) zaczoł wykrywać wszystko jako plik zawirusowany, zaczeły mi wysakiwać reklamy ja przy IE, a używam Mozilli. Dzisiaj jak chciałem usunąć AntiVira to okazało się, że go nie mam na dysku ale nadal wyskakuje mi okienko z AVGUARDA, że ten i ten plik jest zawirusowany. Kiedy otwieram SubEdita to mi do blokuje, kiedy mozille to też. Nie wiem czy mam robić formata czy da się jeszcze coś z tym zrobić.

pozdrawiam i z góry dziękękuje za pomoc.

[pp3088]

O4 - HKLM..Run: [msvcc25] svcchost.exe
O4 - HKLM..Run: [Microsoft Security Monitor Process] scvhost.exe
O4 - HKLM..Run: [Wins Network ks32] netwkrs32.exe
O4 - HKLM..Run: [Windows Update] Windowsupfixer.exe
O4 - HKLM..RunServices: [msvcc25] svcchost.exe
O4 - HKLM..RunServices: [Microsoft Security Monitor Process] scvhost.exe
O4 - HKLM..RunServices: [Wins Network ks32] netwkrs32.exe
O4 - HKLM..RunServices: [Windows Update] Windowsupfixer.exe


.

Pobierz http://www.instalki.pl/programy/downloa ... eaner.html i zamień znaczki z czerwonych na zielone.

2.Sciągnij Gmera http://www.gmer.net

Wejdź do zakładki CMD i wklej. Uwaga!!! Zamień slashe, bo forum ma błąd i nei wyświtla poprawnego. To ten and ENTEREM>

CD C:/WINDOWS/system 32
ATTRIB -R -S -H svcchost.exe
DEL svcchost.exe
ATTRIB -R -S -H scvhost.exe
DEL scvhost.exe
ATTRIB -R -S -H netwkrs32.exe
DEL netwkrs32.exe
ATTRIB -R -S -H Windowsupfixer.exe
DEL Windowsupfixer.exe

W zakładce Procesy wybrać opcję Zabij wszystko. Po tym wrócić do zakładki CMD i dla obu opcji dać Uruchom.

Przez 3 kropki wskaż Hijacka i za jego pomocą usunąć te wpisy podane wyżej.

O20 - Winlogon Notify: OptimalLayout - C:WINDOWSsystem32ktp6l77s1.dll

Co do tego to zapraszam do działu poradniki->fixy na trudne przypadki->2 post.

[BlackHawk]

I teraz to już mi przestały programy działać. Jak chce rozpakować WinRarem to mi wyskakuje informacja "System Windows niemoże uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz niemieć odpowiednich uprawnień aby uzystać dostęp do elementu". Już dostaje padaczki powoli bo co sekunde siada następna rzecz. Teraz np. nie mogę zorpakować Gmera i uruchomić żadnej innej aplikacji za to AtiVir się uspokoił. Już niewiem co mam zrobić

[pp3088]

Hmm to łap Gmera w wersji .exe.Oj coś czuję, ze będzie dziś krucjata z syfem : [

http://s000.wyslijto.pl/index.php?file_ ... =&gk=money

[BlackHawk]

Sorry, że tak pisze ale mógł byś trochę jaśniej opisać co zrobić z Gmerze i wwdc bo robie to pierwszy raz i niechce czegoś spaprać.

Aha i jak robie zabij wszystkie w Gmerze to mi się wszystko poza tapetą i gmerem wyłącza ale się komp wiesza i musze restartować.

[pp3088]

No dobra, startujesz do awaryjnego

start>>uruchom>>msconfig>>boot.ini>>zaznacz safeboot i resart

O4 - HKLM..Run: [msvcc25] svcchost.exe
O4 - HKLM..Run: [Microsoft Security Monitor Process] scvhost.exe
O4 - HKLM..Run: [Wins Network ks32] netwkrs32.exe
O4 - HKLM..Run: [Windows Update] Windowsupfixer.exe
O4 - HKLM..RunServices: [msvcc25] svcchost.exe
O4 - HKLM..RunServices: [Microsoft Security Monitor Process] scvhost.exe
O4 - HKLM..RunServices: [Wins Network ks32] netwkrs32.exe
O4 - HKLM..RunServices: [Windows Update] Windowsupfixer.exe

Kasujesz pogrubione pliki, i wszystkie wymienione wpisy. Wszystkie będa w C:/WINDOWS/system32. Nie pomyl się!!!!:

svchost.exe<-plik windows

svcchost.exe<-plik trojana
scvchost.exe<-plik trojana


Wracasz do trybu normalnego i dajesz log z HiJacka. Wchodzisz w ten temat i próbujesz zaić dziadostwo Loo2me/vx2 (2 post)

[BlackHawk]

Moje logi na chwilę obecną wyglądają tak:

Kod: Zaznacz wszystko

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32logonui.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesThomsonSpeedTouch USBDragdiag.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:Program FilesDAEMON Toolsdaemon.exe
C:Program FilesHewlett-PackardHP Software UpdateHPWuSchd.exe
C:Program FilesGadu-Gadugg.exe
C:Program FilesAntiVir PersonalEdition Classicsched.exe
C:WINDOWSTWF0aSBPcy4command.exe
C:Program FilesCommon FilesLightScribeLSSrvc.exe
C:Program FilesNetwork Monitor
etmon.exe
C:WINDOWSexplorer.exe
C:Program Filesmozilla.orgMozillamozilla.exe
C:Program FileseMuleemule.exe
C:Documents and SettingsBlackHawkPulpitHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:PROGRA~1NEOSTR~1SEARCH~1.DLL (file missing)
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:Program FilesDeskbardeskbar.dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:Program FilesDeskbardeskbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [SpeedTouch USB Diagnostics] "C:Program FilesThomsonSpeedTouch USBDragdiag.exe" /icon
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [DAEMON Tools] "C:Program FilesDAEMON Toolsdaemon.exe" -lang 1033
O4 - HKLM..Run: [Microsoft Security Monitor Process] scvhost.exe
O4 - HKLM..Run: [HP Software Update] C:Program FilesHewlett-PackardHP Software UpdateHPWuSchd.exe
O4 - HKLM..RunServices: [Microsoft Security Monitor Process] scvhost.exe
O4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadugg.exe" /tray
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLMSystemCCSServicesTcpip..{24480D91-6A76-47B6-B773-F6569F24F906}: NameServer = 194.204.152.34 217.98.63.164
O20 - Winlogon Notify: Controls Folder - C:WINDOWSsystem32dekquota.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:Program FilesAntiVir PersonalEdition Classicsched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:Program FilesAntiVir PersonalEdition Classicavguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:WINDOWSTWF0aSBPcy4command.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:Program FilesCommon FilesLightScribeLSSrvc.exe
O23 - Service: Instalator Windows (MSIServer) - Unknown owner - C:WINDOWSSystem32msiexec.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:Program FilesNetwork Monitor
etmon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:WINDOWSSystem32
vsvc32.exe (file missing)



Jak by narazie się wszystko ustatkowało ale i tak mi jeszcze wyskaują reklamy. Rzadziej ale mimo wszystko. Jeszcze jutro będę nad tym siedział z twoją pomocą jeżeli nie masz nic przeciwko.

[pp3088]

Nie mam żadnych pretensji Hmm rekalmy przez VX2. Wiesz gdzie looknąć co nie. Na początek radzę zastosować narzędzia ^^.

Usuwanie VX2

Program adware powodujący wyświetlanie się reklam. Częstym objawem jest też przekierowywanie na inne strony.



Jak rozpoznać

HijackThis pokaże nam wpis/wpisy z identyfikatorem O20. Szpiega VX2/Look2me można łatwo rozpoznać po losowej nazwie pliku

O20 - Winlogon Notify: Nls - C:WINNTsystem32fpj6031se.dll
O20 - Winlogon Notify: Themes - C:WINDOWSsystem32oiqw24sc2.dll
O20 - Winlogon Notify: Controls Folder - C:WINDOWSsystem32i45vs01.dll
O20 - Winlogon Notify: Dynamic Directory - C:WINDOWSsystem32fgyfeft591.dll
O20 - Winlogon Notify: RunOnce - C:WINDOWSsystem32jj898fws.dll
O20 - Winlogon Notify: Reinstall - C:WINDOWSsystem3238hw0djsjcq.dll
O20 - Winlogon Notify: Reliability - C:WINDOWSsystem32oiodwbcq.dll
O20 - Winlogon Notify: App Management - C:WINDOWSsystem3230i90kfdsq.dll
O20 - Winlogon Notify: Themes - D:WINDOWSsystem3228ufhnmsnje.dll
O20 - Winlogon Notify: ShellScrap - C:WINDOWSsystem32si398fbx.dll
O20 - Winlogon Notify: CSCSettings - C:WINDOWSsystem32c3f3345f0i.dll
O20 - Winlogon Notify: Shell - C:WINDOWSsystem32if46hgsq5.dll
O20 - Winlogon Notify: Reinstall - C:WINDOWSsystem32qxc2f4r5d.dll
O20 - Winlogon Notify: Reliability - C:WINDOWSsystem32 38djw783.dll
O20 - Winlogon Notify: App Management - C:WINDOWSsystem32drvdrvxcxe45.dll
O20 - Winlogon Notify: RunOnce - C:WINDOWSsystem32d34r4.dll
O20 - Winlogon Notify: Themes - D:WINDOWSsystem32m7hd4fre.dll
O20 - Winlogon Notify: Extensions - C:WINNTsystem32hr2805fue.dll

Często pojawiają się także modyfikacje pliku host

O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 64.91.255.87 www.dcsresearch.com

Mogą być także rózne dziwne pliki

O2 - BHO: Media Player support DLL - {2DC9D850-144D-11E1-B3C9-10805E499D95} - C:WINDOWSSystem32mplay32.dll
O4 - HKLM..Run: [ntsmod] C:WINDOWSsystem32ntsmod.exe
O4 - HKLM..Run: [nsvcin] C:WINDOWSsystem32n20050308.exe

Należy je usunąć

Jak go usunąc


Programami
Look2Me - http://www.atribune.org/public-beta/Loo ... troyer.exe


1.Otwieramy program przez dwuklik na jego ikonke

2.Wybieramy Run this program as a task. Później klikamy OK. Program uruchomi się za około 1 minutę.

3.Klikamy na Scan for L2M. Skan się rozpocznie.

4.Po zakończeniu skanowania dajemy OK

5.Potem klikamy na przycisk Remove L2M Po całej akcji klikamy OK. Komputer się zrestartuje.


Jeśli przy próbie uruchomienia tego narzędzia otrzymacie błąd:

"Component 'mswinsck.ocx' or one of its dependencies not correctly registered: a file is missing or invalid"

Fix: Ściągnij mswinsck.ocx http://www.ascentive.com/support/new/su ... WINSCK.OCX , umieść w folderze C:WINDOWSsystem32 a po tym zarejestruj przez:

Start >>> Uruchom >>> regsvr32 C:WINDOWSsystem32MSWINSCK.OCX

Można użyć także programu symanteca

http://securityresponse.symantec.com/av ... SpL2Me.exe

Ręcznie

W tym celu użyć narzędzia L2Mfix <a>http://www.downloads.subratam.org/l2mfix.exe</a>

Po ściągnięciu pliku kikamy dwukrotnie na plik l2mfix

Pojawia się takie okienko.



Aby kontynuować należy wcisnąć losowy przycisk

Nastepnie w tym okienku wklepać liczbę 1



Po zakończeniu akcji wkleić na forum loga.

VX2 powoduje takzę zmiany w rejestrze. w tym celu proszę stowrzyć plik rejestru. Otwórzyć notatnik wkleić

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{D82BE2B0-5764-11D0-A96E-00C04FD705A2}]
@="IShellFolderBand"

[HKEY_CLASSES_ROOTCLSID{D82BE2B0-5764-11D0-A96E-00C04FD705A2}InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,
65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"

zapisać jak fix.reg z rozserzeniem wszystkie pliki. Zaaplikować do systemu.

Natępnie prawy klik na pasek zadań >>> Toolbars >>> odhaczyć Quick Launch o ile jest >>> Nowe toolbar >>> browsujesz do folderu C:Documents and SettingsTwoje kontoDane aplikacjiMicrosoftInternet Explorer i wskazujesz folder Quick Launch.

Jeśli folderu Quick Launch nie ma w podanej ścieżce to go tworzysz tam własnoręcznie.


Nie restartować komputera po zrobieniu loga z L2MFix, bo VX2 zmienia co restart wpisy i wejścia w rejestrze.

[BlackHawk]

No więc jak robie Remove w Look2Me to mi wyskakuje komunikat Error:52 Bad file name or number. Ło co loto? Potem wygląda jak by nada usuwało ale reklamy i tak wyskaują.

[pp3088]

No cóż, czeka Cię metoda ręczna, robisz loga z L2MFix, wklejasz go i nie restartujesz kompa.

[BlackHawk]

Ja zaraz dostane drgawków:/ . Jak robie 1 i Enter w L2MFix to mi wyskakuje, że nie może znaleźć pliku user1 i programu notepad.exe.


p.s. A to dziwo nie mam nawet pliku notepad.exe w system32 czyli coś mi usuneło notatnik z kompa. Przez akcesoria się też nie ładuje. Podrzucił by ktoś??

[BlackHawk]

Sorry że jeden pod drugim!
Znalazłem notepad.exe w necie i mam logi z l2mfix

Kod: Zaznacz wszystko

L2MFIX find log 051206
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,
  6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,
  6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySchedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,
  6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify   ermsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifywlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsUser AgentPost Platform]
"{37174811-E9B8-A671-292B-C5CAF2B5D77A}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShell ExtensionsApproved]
"{00022613-0000-0000-C000-000000000046}"="Karta wˆa˜ciwo˜ci pliku multimedialnego"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ZarzĄdzanie skanerem ICM"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Strona zabezpieczeä NTFS"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Strona wˆa˜ciwo˜ci OLE Docfile"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Rozszerzenia powˆoki dla udost©pniania zasob˘w"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Rozszerzenie CPL karty graficznej"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Rozszerzenie CPL monitora wy˜wietlania"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Rozszerzenie CPL kadrowania wy˜wietlania"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Strona zabezpieczeä usˆugi DS"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Strona zgodno˜ci"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Program obsˆugi danych wycinkowych powˆoki"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Rozszerzenie Disc Copy"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Rozszerzenia powˆoki dla obiekt˘w Microsoft Windows Network"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ZarzĄdzanie monitorem ICM"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ZarzĄdzanie drukarkĄ ICM"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Rozszerzenia powˆoki dla kompresji plik˘w"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Rozszerzenie powˆoki drukarek sieci Web"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu kontekstowe szyfrowania"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Akt˘wka"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Rozszerzenie ikony HyperTerminalu"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Strona zabezpieczeä drukarek"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Rozszerzenia powˆoki dla udost©pniania zasob˘w"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Rozszerzenie Crypto PKO"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Rozszerzenie Crypto Sign"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="PoˆĄczenia sieciowe"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="PoˆĄczenia sieciowe"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Skanery i aparaty fotograficzne"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Skanery i aparaty fotograficzne"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="&Skanery i aparaty fotograficzne"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Skanery i aparaty fotograficzne"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Skanery i aparaty fotograficzne"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Rozszerzenia powˆoki dla hosta skrypt˘w systemu Windows"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Data Link"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Zaplanowane zadania"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Pasek zadaä i menu Start"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Wyszukaj"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Pomoc i obsˆuga techniczna"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Pomoc i obsˆuga techniczna"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Uruchom..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Czcionki"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Narz©dzia administracyjne"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Pasek narz©dzi programu Microsoft Internet"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Stan pobierania"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Folder powˆoki zwi©kszonej"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Folder powˆoki zwi©kszonej 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Pasek przeglĄdarki Microsoft"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Pasek wyszukiwania"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Pasek multimedi˘w"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Wyszukiwanie w okienku"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Wyszukiwanie w sieci Web"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Narz©dzie opcji drzewa rejestru"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adres"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Pole edycji adresu"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Autouzupeˆnianie Microsoft"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="Wyodr©bnianie obraz˘w Trident"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="Lista autouzupeˆniania MRU"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Niestandardowa lista autouzupeˆniania MRU"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Dost©pny"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Pasek podr©czny ˜ledzenia"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analizator paska adresu"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Lista autouzupeˆniania historii Microsoft"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Lista autouzupeˆniania folderu powˆoki Microsoft"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Kontener wielu list autouzupeˆniania Microsoft"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu witryny paska powˆoki"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Pasek pulpitu powˆoki"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Pomoc dla uľytkownika"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Globalne ustawienia folder˘w"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historia"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Tymczasowe pliki internetowe"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Tymczasowe pliki internetowe"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Ekran powitalny pakietu IE4"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Pasek eksploratora"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="Folder pami©ci podr©cznej ActiveX"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Folder subskrypcji"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Menedľer aplikacji powˆoki"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Wyliczanie zainstalowanych aplikacji"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Publikator aplikacji Darwin"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+program wyodr©bniajĄcy miniatury plik˘w"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Informacje podsumowujĄce obsˆugi miniatur (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Wyodr©bnianie miniatur HTML"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Kreator publikacji w sieci Web"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Zamawianie odbitek w sieci Web"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Obiekt powˆoki kreatora publikacji"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Kreator uzyskiwania profilu usˆugi Passport"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Konta uľytkownik˘w"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Plik kanaˆu"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Skr˘t kanaˆu"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Obiekt obsˆugi kanaˆu"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Folder plik˘w trybu offline"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Do os˘b..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{1CDB2949-8F65-4355-8456-263E7C208A5D}"="Desktop Explorer"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}"="Desktop Explorer Menu"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"="Shell Extension for Malware scanning"
"{836990A7-2162-489F-8C54-25461AE2CD4E}"=""
"{94D6018B-7854-484A-9350-2D80B5773734}"=""
"{43E07F53-D8E3-4F4E-91DC-642514D3CC36}"=""
"{31EA7FBC-8423-4226-806E-47028EAA898C}"=""
"{026823EA-5796-46F0-BAC2-108CD2E9B82F}"=""
"{6348F0AD-17B9-43FE-8316-DA52B4B2D928}"=""
"{403D5BAA-BE8A-42DF-98B9-2F24FAD914D5}"=""
"{13969272-6E15-427E-8A18-7C120A078ED4}"=""
"{52FB575B-F178-488E-AEE2-765478980A01}"=""
"{701188B9-80FF-4366-ACDD-EFB964021E6E}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{836990A7-2162-489F-8C54-25461AE2CD4E}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOTCLSID{836990A7-2162-489F-8C54-25461AE2CD4E}Implemented Categories]
@=""

[HKEY_CLASSES_ROOTCLSID{836990A7-2162-489F-8C54-25461AE2CD4E}Implemented Categories{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOTCLSID{836990A7-2162-489F-8C54-25461AE2CD4E}InprocServer32]
@="C:\WINDOWS\system32\dwprop.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{94D6018B-7854-484A-9350-2D80B5773734}]
@=""

[HKEY_CLASSES_ROOTCLSID{94D6018B-7854-484A-9350-2D80B5773734}Implemented Categories]
@=""

[HKEY_CLASSES_ROOTCLSID{94D6018B-7854-484A-9350-2D80B5773734}Implemented Categories{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOTCLSID{94D6018B-7854-484A-9350-2D80B5773734}InprocServer32]
@="C:\WINDOWS\system32\oamanage.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{43E07F53-D8E3-4F4E-91DC-642514D3CC36}]
@=""
"IDEx"="AD"

[HKEY_CLASSES_ROOTCLSID{43E07F53-D8E3-4F4E-91DC-642514D3CC36}Implemented Categories]
@=""

[HKEY_CLASSES_ROOTCLSID{43E07F53-D8E3-4F4E-91DC-642514D3CC36}Implemented Categories{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOTCLSID{43E07F53-D8E3-4F4E-91DC-642514D3CC36}InprocServer32]
@="C:\WINDOWS\system32\siimeng.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{31EA7FBC-8423-4226-806E-47028EAA898C}]
@=""
"IDEx"="AD"

[HKEY_CLASSES_ROOTCLSID{31EA7FBC-8423-4226-806E-47028EAA898C}Implemented Categories]
@=""

[HKEY_CLASSES_ROOTCLSID{31EA7FBC-8423-4226-806E-47028EAA898C}Implemented Categories{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOTCLSID{31EA7FBC-8423-4226-806E-47028EAA898C}InprocServer32]
@="C:\WINDOWS\system32\cyc.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{026823EA-5796-46F0-BAC2-108CD2E9B82F}]
@=""
"IDEx"="AD"

[HKEY_CLASSES_ROOTCLSID{026823EA-5796-46F0-BAC2-108CD2E9B82F}Implemented Categories]
@=""

[HKEY_CLASSES_ROOTCLSID{026823EA-5796-46F0-BAC2-108CD2E9B82F}Implemented Categories{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOTCLSID{026823EA-5796-46F0-BAC2-108CD2E9B82F}InprocServer32]
@="C:\WINDOWS\system32\kzd106.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{6348F0AD-17B9-43FE-8316-DA52B4B2D928}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOTCLSID{6348F0AD-17B9-43FE-8316-DA52B4B2D928}Implemented Categories]
@=""

[HKEY_CLASSES_ROOTCLSID{6348F0AD-17B9-43FE-8316-DA52B4B2D928}Implemented Categories{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOTCLSID{6348F0AD-17B9-43FE-8316-DA52B4B2D928}InprocServer32]
@="C:\WINDOWS\system32\dekquota.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{403D5BAA-BE8A-42DF-98B9-2F24FAD914D5}]
@=""
"IDEx"="AD"

[HKEY_CLASSES_ROOTCLSID{403D5BAA-BE8A-42DF-98B9-2F24FAD914D5}Implemented Categories]
@=""

[HKEY_CLASSES_ROOTCLSID{403D5BAA-BE8A-42DF-98B9-2F24FAD914D5}Implemented Categories{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOTCLSID{403D5BAA-BE8A-42DF-98B9-2F24FAD914D5}InprocServer32]
@="C:\WINDOWS\system32\qMsf.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13969272-6E15-427E-8A18-7C120A078ED4}]
@=""
"IDEx"="AD"

[HKEY_CLASSES_ROOTCLSID{13969272-6E15-427E-8A18-7C120A078ED4}Implemented Categories]
@=""

[HKEY_CLASSES_ROOTCLSID{13969272-6E15-427E-8A18-7C120A078ED4}Implemented Categories{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOTCLSID{13969272-6E15-427E-8A18-7C120A078ED4}InprocServer32]
@="C:\WINDOWS\system32\tOpi32.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{52FB575B-F178-488E-AEE2-765478980A01}]
@=""
"IDEx"="AD"

[HKEY_CLASSES_ROOTCLSID{52FB575B-F178-488E-AEE2-765478980A01}Implemented Categories]
@=""

[HKEY_CLASSES_ROOTCLSID{52FB575B-F178-488E-AEE2-765478980A01}Implemented Categories{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOTCLSID{52FB575B-F178-488E-AEE2-765478980A01}InprocServer32]
@="C:\WINDOWS\system32\kiduzb.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{701188B9-80FF-4366-ACDD-EFB964021E6E}]
@=""

[HKEY_CLASSES_ROOTCLSID{701188B9-80FF-4366-ACDD-EFB964021E6E}Implemented Categories]
@=""

[HKEY_CLASSES_ROOTCLSID{701188B9-80FF-4366-ACDD-EFB964021E6E}Implemented Categories{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOTCLSID{701188B9-80FF-4366-ACDD-EFB964021E6E}InprocServer32]
@="C:\WINDOWS\system32\dakquoui.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:WINDOWSSYSTEM32
   px.dll         Fri  2006-08-25   5:47:00   .....        514 808   502,74 K
   atmtd.dll      Sat  2006-10-21  14:45:22   A....        687 592   671,48 K
   ff_vfw.dll     Wed  2006-08-16  12:00:00   A....          6 144     6,00 K
   msvcp71.dll    Wed  2006-08-16  12:00:00   A....        503 808   492,00 K
   msvcr71.dll    Wed  2006-08-16  12:00:00   A....        348 160   340,00 K
   pxmas.dll      Fri  2006-08-25   5:47:00   .....        183 032   178,74 K
   pxwave.dll     Fri  2006-08-25   5:47:00   .....        379 640   370,74 K
   vxblock.dll    Fri  2006-08-25   5:47:00   .....         39 672    38,74 K
   pxdrv.dll      Fri  2006-08-25   5:47:00   .....        477 944   466,74 K
   pxsfs.dll      Fri  2006-08-25   5:47:00   .....      1 309 432     1,25 M
   pxafs.dll      Fri  2006-08-25   5:47:00   .....        129 784   126,74 K
   bitcom~1.dll   Sun  2006-10-22  11:03:54   A....          2 560     2,50 K
   avsda.dll      Thu  2006-09-07  12:56:36   A....         57 384    56,04 K
   skaner~1.dll   Tue  2006-07-25  10:40:44   A....        677 888   662,00 K

14 items found:  14 files, 0 directories.
   Total of file sizes:  5 317 848 bytes      5,07 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
 Wolumin w stacji C nie ma etykiety.
 Numer seryjny woluminu: 6009-B4CF

 Katalog: C:WINDOWSSystem32

2006-10-21  14:47           153˙600 Windowsfixsystem.exe
2006-10-21  14:45           169˙984 Windowsupfixer.exe
2006-10-21  14:45           152˙064 Windowsupfixerss.exe
2006-10-21  14:38    <DIR>          Microsoft
2006-10-20  10:53           234˙272 mug4dmod.dll(1).VIR
2006-10-11  17:17    <DIR>          dllcache
               4 plik(˘w)         709˙920 bajt˘w
               2 katalog(˘w)   9˙560˙031˙232 bajt˘w wolnych


Tak to wygląda.

[pp3088]

Nie masz notatnika? ;/ Ściągnij ten plik. http://s003.wyslijto.pl/?file_id=09396558217114992697 wstaw go do folderu system32.

[pp3088]

Wpisz w L2MFix 2 zamiast jedynki

Run Fix = opcja automatycznego usuwania VX2, jej wybranie spowoduje uruchomienie procedury czyszczącej oraz prośbę kompa o reset. W trakcie resetu zastartuje plik second.bat, który zabije rundll32.exe + explorer.exe (zniknie wam Pulpit) i dokończy procedurę czyszczącą. To może trwać DO PIĘCIU MINUT! Na koniec dostaniecie loga co znaleziono i co usunięto. Patrz LOG NUMER 2. Narzędzie robi kopię tego co usuwa na okoliczność jakby się pomyliło! Kopie są tworzone w podfolderze narzędzia backreg

[BlackHawk]

Chyba się udało. Jeszcze trochę poczekam i zobaczy czy jakieś reklamy wyskaują ale jak narazie to chyba jest ok. Wielkie dzięki za pomoc, dobrze, że można na was liczyć.