Landuss

W logu usługi od ZeroAccess: SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\w200bus.dll -- (lvusbsta) SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\sbhooksvc.dll -- (DLARTL_M) Na początek zacznij od użycia ComboFix i zaprezentuj log. Po tym działaniu wykonaj też nowe logi z OTL oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) i załącz do posta.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..keyword.URL: "http://startsear.ch/?q=" O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found O4 - HKU\S-1-5-21-662459261-2097686485-2363488366-1004..\Run: [MSConfig] C:\Users\sandoz\ukxhonw.exe () [2012-03-04 15:36:55 | 000,333,312 | ---- | C] (YourCompany) -- C:\Users\sandoz\bm.exe :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Brak oznak infekcji w podanych logach. Temat zmienia dział. Możliwe, że to kwestia rozszerzeń explorera więc trzeba to sprawdzić. Pobierz i uruchom ShellExView a następnie posegreguj za pomocą kolumny producenta wszystkie różowe (niedomyślne) rozszerzenia, z wciśniętym CTRL zaznacz hurtem i wyłącz. Zrestartuj system i zobacz czy problem nadal wystepuje. No właśnie ważna sprawa to właśnie nieaktualny, odcięty od aktualizacji system bez najnowszego SP oraz IE. Uzupełnij Service Pack 3 oraz Internet Explorer 8: KLIK

ZeroAccess tu na pewno był, ale wygląda on jakby w szczątkach a nie w pełnej aktywności. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\isecurity.exe C:\windows\SysNative\%APPDATA% C:\windows\SysNative\dds_log_trash.cmd C:\Users\Paweł Borecki\AppData\Local\2f9019f4 :OTL FF - prefs.js..browser.startup.homepage: "chrome://speeddial/content/speeddial.xul" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [] File not found O20 - HKU\S-1-5-21-1619967832-464622753-3573894926-1000 Winlogon: Shell - (C:\Users\Paweł Borecki\AppData\Local\2f9019f4\X) - File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log. 3. Następnie uruchamiasz OTL na dodatkowym warunku, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs C:\Windows\*. /RP /s C:\Windows|$NtUninstallKB5202$;true;true;false /FP Klik w Skanuj. Pokazujesz nowy log z OTL oraz z Farbar Service Scanner (zaznacz wszystko do skanowania).

To by było na tyle i można przejść do kroków końcowych. 1. Użyj opcji Sprzątanie z OTL oraz opcji Uninstall z AdwCleaner 2. Wklej do ntoatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\RegTool.exe] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 3. Zaktualizuj Jave oraz Firefoxa do najnowszych wersji - KLIK 4. Opróżnij folder przywracania systemu: KLIK

2 godziny to zbyt długo się wydaje więc przerwij to i wklej z niego log (o ile takowy powstał), a jak nie to spróbuj go uruchomić ponownie. Jeśli nadal będą problemy to sporządź też wymagane tu logi z OTL + Gmer

Wyglądało by na to, że infekcja rootkit ustała. Na wszelki wypadek uruchom tutaj teraz spod działającego systemu ComboFix i wklej log.

Infekcja usunięta i nic tu więcej nie widać. Wykonaj parę rzeczy na koniec. 1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Michał\Pulpit\ComboFix.exe" /uninstall co spowoduje poprawne odinstalowanie programu 2. Użyj opcji Sprzątanie z OTL. 3. Koniecznie zaktualizuj system oraz IE: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Service Pack 3 + Internet Explorer 8 4. Opróżnij folder przywracania systemu: KLIK

Z poziomu OTLPE uruchom edytor rejestru i następnie wchodzisz do klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems Prawoklikiem dajesz na wartość Windows i Modyfikuj poniższy ciąg zamieniając we wskazanym przeze mnie miejscu "consrv" na "winsrv" (uważaj abyś się nie pomylił): "Windows" = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=consrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 "Windows" = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 Zapisujesz zmiany i restartujesz system. Jesli system uruchomi się poprawnie uruchamiasz na nim narzędzie ComboFix i prezentujesz z niego log oraz wykonujesz nowe raporty z OTL.

1. Wklej do notatnika ten tekst: Driver:: xzpmbf NetSvc:: xzpmbf Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 2. Prezentujesz nowy log z ComboFix.

Jeśli chodzi o sprawy dysku to proszę napisać w dziale Hardware bo to nie jest temat na ten dział stosując się uprzednio do zasad tamtego działu. Tutaj temat zamykam. BTW: Spybota odinstaluj, przestarzały program i nie na obecne czasy.

Zacznijmy od tego, że nie o taki log nam tutaj chodzi. ComboFix został użyty na start niepotrzebnie i w dodatku jest to stara wersja o czym świadczy ustęp "Tryb zredukowanej funkcjonalności" Zacznij od podania prawidłowych logów z OTL + Gmer

ZeroAccess tutaj na pewno jest co widać w logu a BSOD jest spowodowany prawdopodobnie nieprawidłowym usunięciem obiektu rootkita consrv.dll i być może w rejestrze jest odnośnik do obiektu, którego już nie ma. Wykonaj log z OTLPE na dodatkowym warunku: Wszystkie opcje przestaw na Żadne + Brak natomiast w oknie Własne opcje skanowania/Skrypt wklej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s Kliknij w Skanuj i zaprezentuj ten log.

Rzeczywiście, wcześniej nie zauważyłem tego. Tyle, że OTLPE widzi tu system jako na partycji C a nie na H Tak czy inaczej OTLPE pokazuje naruszony sterownik Windows przez infekcje: DRV - [2008/04/13 14:21:00 | 000,162,816 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\netbt.sys -- (NetBT) Plik będzie trzeba wymienić. 1. Pobierz zdrowy plik netbt.sys: KLIK + przygotuj w Notatniku plik tekstowy z treścią skryptu: :Files C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB15912$ /C C:\Windows\$NtUninstallKB15912$ C:\Documents and Settings\All Users\Dane aplikacji\isecurity.exe :Reg [HKEY_USERS\S-1-5-21-436374069-1177238915-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run] "Internet Security"=- :OTL SRV - [2008/04/14 12:21:43 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto] -- C:\WINDOWS\system32\http.dll -- (itmrtsvc) NetSvcs: itmrtsvc - C:\WINDOWS\system32\http.dll (Oak Technology Inc.) [2012/03/02 07:34:01 | 000,000,000 | -HS- | M] () -- C:\windows\System32\dds_trash_log.cmd :Commands [emptytemp] Plik netbt.sys + plik skryptu należy umieścić na pendrive, który będzie obecny w trakcie startu z płyty OTLPE. 2. Start z OTLPE i do wykonania następujące akcje: - uruchamiasz "My computer" i ręcznie przekopiowujesz z pendrive plik netbt.sys do lokalizacji C:\WINDOWS\system32\drivers - uruchamiasz OTL, do okna Custom Scans/Fixes przeklejasz treść skryptu zapisaną w Notatniku na pendrive i klik w Run Fix. Z tego działania powstanie log, który będziesz prezentować. Restart do Windows. 3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 4. Już z poziomu normalnie uruchomionego systemu dajesz logi do oceny z GMER + log z wynikami przetwarzania skryptu z punktu 2 oraz nowy z OTL na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs H:\Windows\*. /RP /s H:\Windows|$NtUninstallKB15912$;true;true;false /FP Klik w Skanuj.

Według loga aktualnie zainfekowanym sterownikiem przez rootkita jest ten: DRV - [2008/04/14 15:41:06 | 000,065,280 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\serial.sys -- (Serial) Plik trzeba będzie wymienić. 1. Pobierz oryginalny czysty plik serial.sys: KLIK + przygotuj w Notatniku plik tekstowy z treścią skryptu: :Files C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB26811$ /C C:\Windows\$NtUninstallKB26811$ C:\WINDOWS\System32\dds_trash_log.cmd :OTL SRV - [2008/04/15 07:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto] -- C:\WINDOWS\system32\tappsrv.dll -- (prevxagent) NetSvcs: prevxagent - C:\WINDOWS\system32\tappsrv.dll (Oak Technology Inc.) :Commands [emptytemp] Plik serial.sys + plik skryptu należy umieścić na pendrive, który będzie obecny w trakcie startu z płyty OTLPE. 2. Start z OTLPE i do wykonania następujące operacje: - uruchamiasz "My computer" i ręcznie przekopiowujesz z pendrive plik serial.sys, zamieniając aktualny do katalogu C:\WINDOWS\system32\drivers - uruchamiasz OTL, do okna Custom Scans/Fixes przeklejasz treść skryptu zapisaną w Notatniku na pendrive i klik w Run Fix. Z tego działania powstanie log, który będziesz prezentować. Restart systemu 3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 4. Już spod normalnie uruchomionego systemu dajesz logi do oceny z wynikami przetwarzania skryptu z punktu 2 oraz nowy z OTL na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: C:\Windows\*. /RP /s C:\Windows|$NtUninstallKB26811$;true;true;false /FP Klik w Skanuj.

Na początek należy się tutaj zająć rootkitem ZeroAccess. Usuwanie spod działającego systemu obecnego wariantu tej infekcji właściwie graniczy z cudem i nie ma sensu dlatego trzeba użyć środowiska zewnętrznego. Na dowolnym dostępnym komputerze pobierz i wypal płytę OTLPE. Z poziomu tej płyty zrób log z OTL na warunkach dostosowanych, tzn. w sekcji Custom Scans/Fixes wklej: netsvcs C:\Windows\*. /RP /s C:\Windows\system32\drivers\*.* /md5 Klik w Scan. Przedstaw log.

Trzeba zrobić tutaj jeszcze poprawkę. Wykonaj kolejny skrypt o takiej zawartości: :Files C:\Documents and Settings\Administrator\Dane aplikacji\facemoods.com :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Software] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\facemoods.facemoodsHlpr] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\facemoods.facemoodsHlpr.1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\escort.DLL] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64182481-4F71-486b-A045-B233BD0DA8FC}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDE2C74F-58CC-4d71-8CE1-09DEBB8CFB78}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486B-A045-B233BD0DA8FC}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\autoruns.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avadmin.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avcenter.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avconfig.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avconsol.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avgnt.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avgrssvc.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avguard.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\AvMonitor.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avp.com] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avp.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\AVP32.EXE] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avscan.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdagent.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\CCenter.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drwadins.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drwebupw.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ekrn.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\filemon.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\GFRing3.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\guardgui.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\HijackThis.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KASMain.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KASTask.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KAV32.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KAVDX.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KAVPF.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KAVPFW.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KAVStart.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KPFW32.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KPFW32X.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Navapsvc.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Navapw32.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\NAVNT.EXE] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\NAVW32.EXE] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\NAVWNT.EXE] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\niu.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\nod32.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\nod32krn.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\OllyDBG.EXE] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\procexp.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\regedit.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\regmon.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\RegTool.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\scan32.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\zonealarm.exe] :Commands [reboot] Do oceny nowy log z OTL (bez ekstras) oraz z AdwCleaner.

Jest w porządku, do wykonania jeszcze parę rzeczy na koniec. 1. Użyj opcji Sprzatanie z OTL oraz opcji Delete z AdwCleaner. 2. Na wszelki wypadek zmień hasła logowania w serwisach. 3. Zaktualizuj wymienione niżej oprogramowanie do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.7 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Mozilla Firefox (3.6.27)" = Mozilla Firefox (3.6.27) Szczegóły aktualizacyjne: KLIK 4. Opróżnij folder przywracania systemu: KLIK

Infekcja została usunięta więc problemów już być nie powinno. Na koniec Użyj opcji Sprzątanie z OTL oraz opróżnij folder przywracania systemu: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-1646211249-2399695334-1628782233-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [Microsoft Firevall Engine] c:\users\public\mdm.exe () O4 - HKU\S-1-5-21-1646211249-2399695334-1628782233-1000..\Run: [Microsoft Firevall Engine] c:\users\public\mdm.exe () :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Według logów infekcji tutaj już nie ma więc w jakiś sposób musiała zostać usunięta. Czy na pewno Centrum nie da się uruchomić? Wykonaj poniższe czynności: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików".

Załącznika tutaj żadnego nie widać, ale przypominam, że logi z OTL mają być dwa - otl.txt oraz ekstras.txt oraz w przypadku jeśli to system 32-bitowy obowiązkowym logiem jest Gmer

Folder RECYCLER to folder systemowego kosza więc być powinien na dyskach i jego zostaw w spokoju zaś infekcja tutaj też jest. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files Recycled /alldrives RECYCLER /alldrives C:\Program Files\TZABjukd C:\WINDOWS\System32\aaaamons.exe C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml C:\Documents and Settings\lukasz.mokrzynski\Menu Start\Programy\Autostart\bbhlkfih.exe :Services RSVPJavaQuickStarterService :OTL O4 - HKU\S-1-5-21-4203109118-277277986-2428271543-500..\Run: [] File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\a2service.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ArcaCheck.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\arcavir.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashDisp.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashEnhcd.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashServ.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashUpd.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\aswUpdSv.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avcls.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz4.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz_se.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdinit.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\caav.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\caavguiscan.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\casecuritycenter.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ccupdate.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cfp.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cfpupdat.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cmdagent.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DRWEB32.EXE] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FAMEH32.EXE] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FPAVServer.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fpscan.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FPWin.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fsav32.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fsgk32st.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FSMA32.EXE] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\guardxservice.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\guardxup.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\navigator.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\NAVSTUB.EXE] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Nvcc.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\outpost.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\preupd.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\pskdr.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SfFnUp.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Vba32arkit.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\vba32ldr.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\vsserv.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Zanda.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\zapro.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Zlh.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\zoneband.dll] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programó odinstaluj niepotrzebny Facemoods Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Potrzebny tutaj jeszcze jeden skrypt do OTL o takiej zawartości: :Files C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar.job C:\Users\Mikołaj\AppData\LocalLow\Conduit C:\Users\Mikołaj\AppData\LocalLow\Toolbar4 :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2233703] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2269050] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2304157] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2843462] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\Conduit] [-HKEY_CURRENT_USER\Software\AppDataLow\Toolbar] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- "{30F9B915-B755-4826-820B-08FBA6BD249D}"=- "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- "{472734EA-242A-422B-ADF8-83D1E48CC825}"=- "{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"=- "{5E5AB302-7F65-44CD-8211-C1D4CAACCEA3}"=- "{5C81F57F-3CF7-4785-B4EF-11ACE31AEC4F}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}"=- "{5e5ab302-7f65-44cd-8211-c1d4caaccea3}"=- "{5e5ab302-7f65-44cd-8211-c1d4caaccea3}"=- "{5c81f57f-3cf7-4785-b4ef-11ace31aec4f}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks] "{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"=- "{5e5ab302-7f65-44cd-8211-c1d4caaccea3}"=- [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B295748D-FD8E-4EF2-A822-A3FF237E53DD}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\3319d2ea-6217-4f8f-a3f8-916f292380f7] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\824738c0-9220-48e4-9249-4c74408ff2b9] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\e27ea69f-8dc8-4d71-9c1b-bafc528d28af] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{826FA984-EC85-4164-BA05-EAE031CE2631}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ADADAEE2-457A-4984-A57C-E01C3A2BA612}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}] :OTL IE - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\URLSearchHook: {5c81f57f-3cf7-4785-b4ef-11ace31aec4f} - No CLSID value found IE - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found O3 - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\Toolbar\WebBrowser: (no name) - {5C81F57F-3CF7-4785-B4EF-11ACE31AEC4F} - No CLSID value found. O3 - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found. O3 - HKU\S-1-5-21-569617077-483490569-2739753594-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. Do obejrzenia dajesz nowy log z OTL (bez ekstras) i nowy z AdwCleaner ze skanowania.

Tyle, że AdwCleaner jest tutaj bardzo ważny bo dobrze nadaje się do tego typu odpadków. W takim razie spróbuj może z Ad-Remover z opcji Scan. Program o podobnych nastawieniach co AdwCleaner wprawdzie już nierozwijany, ale może uda się sporządzić raport. I co z Winamp Toolbar oraz XfireXO Toolbar? Nadal widzę w logu jako nieodinstalowane.