znaj Opublikowano 9 Czerwca 2005 Zgłoś Opublikowano 9 Czerwca 2005 Mam problem, usunąłem recznie jakiegoś trojana, ale przy każdym starcie XP-ka wyświetla mi się komunikat, że Windows nie może uruchomić pliku kernels32.exe (plik trojana, który usunąłem). Czy ktoś wie, który klucz rejestru zawiera polecenie uruchomienia tego paskuctwa przy każdym uruchomieniu systemu? Dodam, że przez ten wpis w rejestrze czekam dodatkowe 30 sekund na uruchomie windy. Pomocy! Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 9 Czerwca 2005 Zgłoś Opublikowano 9 Czerwca 2005 Najlepiej sciagnij sobie hijackthis: http://www.spychecker.com/program/hijackthis.html Przeskanuj system, a wyniki skanowania wklej na forum bo pewnie masz cos jeszcze ;-) Tak w ogole to wystarczylo uzyc szukaj w rejestrze i wpisac: kernels32.exe i bys znalazl gdzie jest wpis ale log i tak wklej. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
westsajd Opublikowano 9 Czerwca 2005 Zgłoś Opublikowano 9 Czerwca 2005 Polecam programik Registry Healer :) Naprawia złe wpisy w rejestrze, usuwa puste wpisy itp. Bardzo dobry programik, polecam. A tak BTW. to czemu usuwałeś ręcznie trojana? Antywirusy go nie widziały czy jak? Możesz także usunąć zły wpis w autostarcie. HKEY_LM/SOFTWARE/Microsoft/Windows/CurrenVersion/Run HKEY_CU/SOFTWARE/Microsoft/Windows/CurrenVersion/Run Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
znaj Opublikowano 10 Czerwca 2005 Zgłoś Opublikowano 10 Czerwca 2005 Udało mi się usunąć ten wpis poprzez wyszukanie w rejestrze nazwy kernels32.exe i teraz wszystko chodzi jak dawniej. :) Poniżej prezentuję loga z hijackthis, może są tu jeszcze jakieś syfy? Logfile of HijackThis v1.99.1 Scan saved at 13:34:29, on 2005-06-10 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Programy\Panda Antivirus Platinum\Firewall\PavFires.exe C:\Program Files\Programy\Panda Antivirus Platinum\pavsrv51.exe C:\Program Files\Programy\Panda Antivirus Platinum\AVENGINE.EXE C:\Program Files\Programy\Panda Antivirus Platinum\APVXDWIN.EXE C:\Program Files\Programy\Tlen.pl\tlen.exe C:\Program Files\Programy\Gadu-Gadu\gg.exe C:\Program Files\Programy\Phone\Skype.exe C:\Program Files\Drivers\Bluetooth Software\BTTray.exe C:\PROGRA~1\Drivers\BLUETO~1\BTSTAC~1.EXE C:\Program Files\Programy\Panda Antivirus Platinum\pavProxy.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Zbyszek\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell= O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Programy\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Programy\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [sCANINICIO] "C:\Program Files\Programy\Panda Antivirus Platinum\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Programy\Panda Antivirus Platinum\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Programy\Tlen.pl\tlen.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Programy\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [skype] "C:\Program Files\Programy\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\Programy\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe O18 - Filter: text/html - (no CLSID) - (no file) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Programy\Panda Antivirus Platinum\Firewall\PavFires.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Programy\Panda Antivirus Platinum\pavsrv51.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\Programy\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\Programy\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 10 Czerwca 2005 Zgłoś Opublikowano 10 Czerwca 2005 Usun w hijackthis te wpisy: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* F2 - REG:system.ini: Shell= O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe O18 - Filter: text/html - (no CLSID) - (no file) Nie zaszkodzi tez jak przeskanujesz system tym: http://download.microsoft.com/download/8/1...wareInstall.exe Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...