21 odpowiedzi w tym temacie

[Bodziuuuu]

cze. mam taki problem, ze jak proboje wejsc np na ktorys z dyskow (c,d,e,f) z pulpitu to sie nic nie dzieje. Na dyski moge wchodzić tylko przez mój komputer. Niby nic, a jednak jest troszke uciązliwe Nowe skróty robiłem i nic to nie daje.
btw łatwa szansa na zdobycie pointsów za pomoc

[Amciek]

zrob sobie skrot do mojego komputera xD szybciej i mniej skrotow

a tak serio to nie wiem co to może być. Jestes pewien ze sciezka dostepu w skrocie jest dobra? ex. "C:\"

[Juri]

Ew wir to może być modyfikujący cos w mountpoints2 albo w shellu. Daj log Z hijackthis'a.

[Bodziuuuu]

Pierwszy raz miałem styczność z tym programem, jeśli zrobiłem coś nie tak to mówić Ostatnio coś mam właśnie nie tak z komputerem, jakieś dziwne fazy jak te skróty. Dzieki jeśli ktoś powie czy coś jest nie tak i jesli ten progrma nic nie pokazał, to znaczy ze nie mam zadnego syfu w postaci wirusow ?
A oto log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:28:29, on 2009-06-10
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe
C:\Program Files\ArcaBit\ArcaVir\AVMenu.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Programy\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\VDOTool\TBPanel.exe
C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe
C:\Program Files\ArcaBit\ArcaUpdate\update.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Cyberlink\Shared files\RichVideo.exe
C:\Program Files\ArcaBit\ArcaVir\FileMonSV.exe
C:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe
C:\Program Files\ArcaBit\Common\TaskScheduler.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Programy\Gadu-Gadu\gg.exe
C:\Program Files\Programy\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wyborcza.pl/0,0.html?p=013
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\Programy\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ABRegmon] C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe
O4 - HKLM\..\Run: [AvMenu] C:\Program Files\ArcaBit\ArcaVir\AVMenu.exe
O4 - HKLM\..\Run: [ArcaCheck] C:\Program Files\ArcaBit\ArcaVir\ArcaCheck.exe /startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Programy\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TBPanel] C:\Program Files\VDOTool\TBPanel.exe /A
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\Programy\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Programy\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Programy\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Programy\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.p...kanerOnline.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\Programy\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: TS_LogonListener - C:\WINDOWS\SYSTEM32\TS_LogonListener.dll
O23 - Service: ArcaBit FileMonitor (ABFileMon) - ArcaBit - C:\Program Files\ArcaBit\ArcaVir\FileMonSV.exe
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit - C:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe
O23 - Service: ArcaBit.Core.Configurator - ArcaBit - C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe
O23 - Service: ArcaBit.Core.LoggingService - ArcaBit - C:\Program Files\ArcaBit\Common\ArcaBit.Core.LoggingService.exe
O23 - Service: ArcaBit.TaskScheduler - ArcaBit sp. z o.o. - C:\Program Files\ArcaBit\Common\TaskScheduler.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ArcaBit Update Service (AVUpdate) - ArcaBit - C:\Program Files\ArcaBit\ArcaUpdate\update.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe

--
End of file - 6308 bytes

Użytkownik Bodziuuuu edytował ten post 10 czerwca 2009 - 06:35

[Owi]

Log jest w porządku na pierwszy rzut oka. Patrząc tak na szybkiego to co prawda nie wszystko musi Ci się uruchamiać z tych programów, ale nie widać nic podejrzanego.



Co do samego pytania trzeba byloby zobaczyc jak te skróty wyglądają i czy rzeczywiście nie ma żadnych objawów. A w Mój Komputer jak wejdziesz i klikasz w dyski to się normalnie otwierają? Czy robisz to poprzez ppm i ekslporuj na przykład?


ps.

A czy skróty do folderów mozesz robic czy też nie? Może w głównych katalogach dysków masz pliki autorun.inf (ukryte)? Wyszukaj czy na dyskach nie masz plików pagefile.sys.vbs

[Bodziuuuu]

Przez moj komputer otwieraja sie normalnie, tyle ze pojawiaja sie w nowym oknie (w sumie nie wiem jak bylo wczesniej, czy w nowym oknie, czy w tym samym i przechodzilo do np do c bo nigdy nie wchodzilem przez moj komputer).
A jesli chodzi o skroty, to co mam tam sprawdzic ? Element docelowy C:\, klawisz skrótu : brak, uruchom: normalne okno

EDIT

Owi i tu coś jest nie tak, bo jak daje pokaż ukryte pliki i foldery daje ok, mryga ekran jakbym odswiezyl i spowrotem automatycznie wraca opcja nie pokazuj ukrytych plikow i folderow

Użytkownik Bodziuuuu edytował ten post 10 czerwca 2009 - 06:56

[Owi]

masz syfa

jezeli Ciebie nie odetnie to sprawdz poprzez total commandera. W menu widok daj zeby wyswietlal wszystkie ukryte pliki.

Syfek moze Ci total commandera zamykac, ale powinienes dac rade zobaczyc. Szukaj plików autorun.inf, *.cmd oraz *.exe

[Bodziuuuu]

Owi wszedlem przez nero, tam tez moge usuwac pliki i wszystko widzi, kiedys jak sie nie znalem to wywalilem plik systemowy i przy wlaczaniu kompa wyskakiwal blad brak plikow ntsc czy cos takiego .gif' class='bbc_emoticon' alt='::' />
a oto screeny kazdego z dysku, co to kurna jest !!
A Owi ja to do szkoly ide za ~15 minut, jak cos to potem bym odpisywał
btw to tak ma byc ? tego shitu tyle ? omg i nie sr** zarem wallhack jest do demek

Użytkownik Bodziuuuu edytował ten post 10 czerwca 2009 - 07:11

[uszczelka]

chyba jest tam zaduzo tych syfow . q9.cmd napewno zato odpowiada, bo sam to mialem jakis czas temu. to jego wina, ale do niego powinien byc jeszcze jakis autorun i jeszcze jeden bat. wywalilem go przez comandera tyle ze musialem wylaczyc explorera bo dziad sie kopiuje na inne dyski (co go del to on powracal. taka Syzyfowa praca)

[Bodziuuuu]

To bardzo bym prosił, aby ktoś tak napisał na 100% co moge skasować, żeby znowu czegoś nie usunąć, ze komputer sie nie wlaczy i format poleci ja lece do szkoly na 2 godziny, bede przed 11.

[Owi]

Sam nic nie kasuj
sciagnij traila noda32 i przeskanuj kompa
nastepnie sciagnij kasperskyego i przeskanuj kompa. Najlepiej to wypnij dyskl i zawiez do kogos kto przeskanuje z poziomu drugiego komputera.
Jak nie bedziesz mial do kogo to mozesz podrzucic do mnie

[uszczelka]

2a.exe, 6phx.com, 8.exe, gclwpivs.cmd, icxpa.cmd, q9.cmd, sm.exe, yhh.bat .Wedlug mnie to jest zbedne (xp napewno). sprawdz tez inne dyski, pendrivy, aparaty, telefon ... zlosliwe wchodzi gdzie sie da


q9.cmd zaden antyvir go umnie niewykrywal

Użytkownik uszczelka edytował ten post 10 czerwca 2009 - 07:35

[Owi]

Tak to są te pliki tylko ze ich ręczne usuniecie zbyt wiele nie da. Dlatego mowie o koneicznosci przeskanowania, najlepiej spoza systemu operacyjnego

[Bodziuuuu]

Usunalem je recznie, zaraz bede bawić sie w skanowanie, tylko ten plik 6phx.com, on ciagle powraca, przy wylaczonym explorerze nie pojawia sie znowu, ale reset kompa i dalej to samo, oby ten nod albo kasperski go wywalilo

[Owi]

ręcznie bez paru programów, bez wiedzy dokładnie co to za wirus, gdzie trzyma swoje pliki sklonowane, gdzie siedzi w rejsestrze, czy wspolpracuje z jakims rootkitem - nie usuniesz tego dobrze.

[Juri]

Dobra to jeśli chcesz mieć czysto to odpalaj ComboFixa, tylko uważaj bo on zmienia w systemie itp itd pare rzeczy więc zainstaluj konsolę odzyskiwania jak piszą. ComboFix to o wiele obszerniejszy log i sam usuwa zbędne śmieci. Możliwe iż sam se z tym poradzi bez ingerencji. Tylko uważaj na link. A i przydałoby sie żebyć miał płytkę z XPkiem aby podmienić ewentualne pliki ;p Pobierz z tego:

http://download.blee...Bs/ComboFix.exe

Użytkownik Juri edytował ten post 10 czerwca 2009 - 11:07

[Bodziuuuu]

Nod32 i Kasperski nie nie wykrywaly, mialem problem z plikiem 6hpx.com bo ciagle wracal. w koncu znalalzem jakis tam proces iexplorer zamknalem go, wczesniej wylaczylem neta i usunalem ten plik, res kompa i nie wraca. Skroty na pulpicie zaczely dzialac
Zostaje jedna kwestia - nie działa opcja pokaz ukryte pliki i foldery. Spytalem o porade wujka google i tam duzo ludzi ma z tym problem. Zauwazylem ze w hijackthis mam taki wpis O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe. Jakis paczesniak pisal na googlach ze to wirus i teraz pytanie, fixowac go w tym hijackthis ? nie zwali sie nic w systemie ? Jak to nie pomoże to co moge jeszcze robic ?
Juri jakos boje sie dotykac tego programu, jak cos spieprze to poleci format na 100% i bede mogl utracic dane, a tak jak nie bedzie zadnego wyjscia to pozgrywam na plyty to co trzeba i sam zrobie formata(ale mam nadzieje ze uda sie bez )

[Bodziuuuu]

Nie moge edytowac tamtego posta wiec piesze pod tym.
Juri obawiałem sie tego combo fixa, ale pogoglowalem i sporo osob go poleca wiec i ja go wykorzystalem. Wywalil mi wszystko, dyski dzialaja, opcja pokaz ukryk pliki i foldery rowniez loga juz wrzucac nie bede bo wszystko dziala.
Ale zawsze jest jakies ale ;] combo fix stworzyl mi ten dysk awarayjny, podczas odpalania kompa przez 2 sekundy go widac, niby nic ale da sie go wywalic ? jak nie to i tak bede zadowolony ;] wielkie dzieki wam wszystkim

Użytkownik Bodziuuuu edytował ten post 10 czerwca 2009 - 02:50

[Terminator]

Wiadomość wygenerowana automatycznie

Ten temat został zamknięty przez moderatora.

Powód:
chyba oll wyjaśnione

Jeżeli nie zgadzasz się z powyższą decyzją, proszę zaraportuj ten post - moderator bądź administrator rozważy sprawę ponownie.

Pozdrawia załoga TAWERNA[TP]

Użytkownik AmCIEk edytował ten post 20 sierpnia 2009 - 02:31
haha edytuje termika.. :D || Otwieram bo Bodziu prosił

[Bodziuuuu]

Cze. Miałem taki problem, że wszedłem na strone multiklanu spqr i zwiesiło mi kompa i antyvirus pokazywał mi, że do rejestru dodaje się jakieś reader_s.exe. Ja klikam, żeby nie wpisywać tego, a to ciągle wracało. Dlatego odpaliłem combo fixa, myśle, nie będe sie bawic, niech robi skan i wywala oll. Odpalam combo fixa i wyskkauje program sie uruchamia prosze czekac i totalna zwiecha kompa i leci reset. Po resecie odpalam znowu combo fixa i jest to samo, tyle, że wchodze na dysk C a tam jakieś katalogi kosmiczne się porobiły, ikonka wygladajaca jak moj komputer jako combo fix etc. Trudno wywalilem oll recznie, odlaczylem neta, wywalilem tego reader_e.exe z windowsa i ze startu i cofnalem system. Wszystko git, tyle ze minelo kilka dni, gram w kantera i wlaczam frendsy podczas gry i spadaja mi fpsy, wszystko się tnie, a nigdy tak nie bylo. Wchodze w menadzer procesow, a tam uzycie procesora 55% (mam core2duo e4500, wczesniej bylo to tylko kilka procent). Wylaczam csa i przy wlaczonym czystym windowsie mam wykorzystanie 50-55%. Jak to naprawić ?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:31:29, on 2009-08-20
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe
C:\Program Files\ArcaBit\ArcaVir\AVMenu.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Programy\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\VDOTool\TBPanel.exe
C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe
C:\Program Files\ArcaBit\ArcaUpdate\update.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Cyberlink\Shared files\RichVideo.exe
C:\Program Files\ArcaBit\ArcaVir\FileMonSV.exe
C:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe
C:\Program Files\ArcaBit\Common\TaskScheduler.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Gry\Steam\steam.exe
C:\Program Files\Programy\Gadu-Gadu\gg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Programy\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wyborcza.pl/0,0.html?p=013
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\Programy\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ABRegmon] C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe
O4 - HKLM\..\Run: [AvMenu] C:\Program Files\ArcaBit\ArcaVir\AVMenu.exe
O4 - HKLM\..\Run: [ArcaCheck] C:\Program Files\ArcaBit\ArcaVir\ArcaCheck.exe /startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Programy\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TBPanel] C:\Program Files\VDOTool\TBPanel.exe /A
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\Programy\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Programy\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Programy\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Programy\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.p...kanerOnline.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\Programy\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: TS_LogonListener - C:\WINDOWS\SYSTEM32\TS_LogonListener.dll
O23 - Service: ArcaBit FileMonitor (ABFileMon) - ArcaBit - C:\Program Files\ArcaBit\ArcaVir\FileMonSV.exe
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit - C:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe
O23 - Service: ArcaBit.Core.Configurator - ArcaBit - C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe
O23 - Service: ArcaBit.Core.LoggingService - ArcaBit - C:\Program Files\ArcaBit\Common\ArcaBit.Core.LoggingService.exe
O23 - Service: ArcaBit.TaskScheduler - ArcaBit sp. z o.o. - C:\Program Files\ArcaBit\Common\TaskScheduler.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ArcaBit Update Service (AVUpdate) - ArcaBit - C:\Program Files\ArcaBit\ArcaUpdate\update.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe

--
End of file - 6452 bytes


skan z tego hijackthis,ale ja jakoś nie widze nic podejrzanego