Pozostałości Po Trojanie.

[znaj]

Mam problem, usunąłem recznie jakiegoś trojana, ale przy każdym starcie XP-ka wyświetla mi się komunikat, że Windows nie może uruchomić pliku kernels32.exe (plik trojana, który usunąłem).

Czy ktoś wie, który klucz rejestru zawiera polecenie uruchomienia tego paskuctwa przy każdym uruchomieniu systemu?

Dodam, że przez ten wpis w rejestrze czekam dodatkowe 30 sekund na uruchomie windy. Pomocy!

[Kolobos]

Najlepiej sciagnij sobie hijackthis:

http://www.spychecker.com/program/hijackthis.html

Przeskanuj system, a wyniki skanowania wklej na forum bo pewnie masz cos jeszcze ;-)

 

Tak w ogole to wystarczylo uzyc szukaj w rejestrze i wpisac:

kernels32.exe i bys znalazl gdzie jest wpis ale log i tak wklej.

[westsajd]

Polecam programik Registry Healer :) Naprawia złe wpisy w rejestrze, usuwa puste wpisy itp. Bardzo dobry programik, polecam.

 

A tak BTW. to czemu usuwałeś ręcznie trojana? Antywirusy go nie widziały czy jak?

 

Możesz także usunąć zły wpis w autostarcie.

HKEY_LM/SOFTWARE/Microsoft/Windows/CurrenVersion/Run

HKEY_CU/SOFTWARE/Microsoft/Windows/CurrenVersion/Run

[znaj]

Udało mi się usunąć ten wpis poprzez wyszukanie w rejestrze nazwy kernels32.exe i teraz wszystko chodzi jak dawniej. :)

Poniżej prezentuję loga z hijackthis, może są tu jeszcze jakieś syfy?

 

 

Logfile of HijackThis v1.99.1

Scan saved at 13:34:29, on 2005-06-10

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Programy\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Program Files\Programy\Panda Antivirus Platinum\pavsrv51.exe

C:\Program Files\Programy\Panda Antivirus Platinum\AVENGINE.EXE

C:\Program Files\Programy\Panda Antivirus Platinum\APVXDWIN.EXE

C:\Program Files\Programy\Tlen.pl\tlen.exe

C:\Program Files\Programy\Gadu-Gadu\gg.exe

C:\Program Files\Programy\Phone\Skype.exe

C:\Program Files\Drivers\Bluetooth Software\BTTray.exe

C:\PROGRA~1\Drivers\BLUETO~1\BTSTAC~1.EXE

C:\Program Files\Programy\Panda Antivirus Platinum\pavProxy.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Zbyszek\Pulpit\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Programy\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Programy\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [sCANINICIO] "C:\Program Files\Programy\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Programy\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Programy\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Programy\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [skype] "C:\Program Files\Programy\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\Programy\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe

O18 - Filter: text/html - (no CLSID) - (no file)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Programy\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Programy\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\Programy\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\Programy\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

[Kolobos]

Usun w hijackthis te wpisy:

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

F2 - REG:system.ini: Shell=

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe

O18 - Filter: text/html - (no CLSID) - (no file)

 

 

Nie zaszkodzi tez jak przeskanujesz system tym:

http://download.microsoft.com/download/8/1...wareInstall.exe