Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-2875983138-1208449623-3461169583-1000..\Run: [1019783830] C:\Users\BEATA\AppData\Local\akk.exe () O35 - HKU\S-1-5-21-2875983138-1208449623-3461169583-1000..exefile [open] -- "C:\Users\BEATA\AppData\Local\ihf.exe" -a "%1" %* O37 - HKU\S-1-5-21-2875983138-1208449623-3461169583-1000\...exe [@ = exefile] -- "C:\Users\BEATA\AppData\Local\ihf.exe" -a "%1" %* [2011-08-02 19:48:20 | 000,009,496 | -HS- | M] () -- C:\Users\BEATA\AppData\Local\2i357l366m1q0fi2o1lb8707810y7vmrs6d [2011-08-02 19:48:20 | 000,009,496 | -HS- | M] () -- C:\ProgramData\2i357l366m1q0fi2o1lb8707810y7vmrs6d [2011-08-02 19:56:38 | 000,000,000 | ---- | C] () -- C:\Users\BEATA\AppData\Local\ihf.dll [2011-08-02 19:56:38 | 000,000,000 | ---- | C] () -- C:\Users\BEATA\AppData\Local\akk.dll :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj zbędne sponsoringi - Conduit Engine / PC Gear EN Generic Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Sporo odpadków znalazł Ad-Remover. Uruchom go ponownie, ale tym razem wybierz opcję usuwania obiektów znalezionych. Po tej czynności wykonaj nowy log ze skanowania.

W logach nie widać żadnej infekcji. Pierwszym podejrzanym wydaje się być Symantec. Na próbę pozbądź się go uruchamiając narzędzie Norton Removal Tool. W dalszej kolejności wykonaj skrypt do OTL usuwający drobne odpadki - w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.intl.acer.yahoo.com" IE - HKU\S-1-5-21-2804215111-817085855-1126239459-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.intl.acer.yahoo.com" IE - HKU\S-1-5-21-2804215111-817085855-1126239459-1006\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.3.3.123 [2010-05-07 17:59:26 | 000,002,238 | ---- | M] () -- C:\Documents and Settings\XP\Dane aplikacji\Mozilla\Firefox\Profiles\fsze8lhz.default\searchplugins\askcom.xml O4 - HKLM..\Run: [HPPQVideo] File not found O4 - HKLM..\Run: [PCSpeedUp] File not found O4 - HKLM..\Run: [pdfSaver3] File not found O4 - HKU\S-1-5-21-2804215111-817085855-1126239459-1006..\Run: [ALLUpdate] File not found O4 - HKU\S-1-5-21-2804215111-817085855-1126239459-1006..\Run: [NokiaOviSuite2] File not found O4 - HKU\S-1-5-21-2804215111-817085855-1126239459-1006..\RunOnce: [shockwave Updater] File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Przecież dałem ci linka na niebiesko jak na tacy. Wejdź w niego, odnajdź to narzędzie i masz tam cały opis.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\Babylon C:\Users\Marcin\AppData\Local\Babylon C:\Users\Marcin\AppData\Roaming\Babylon C:\ProgramData\nircmd.exe :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch" IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "http://startsear.ch/?q=" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=9e8a14260000000000006cf049e0b991&tlver=1.4.31.2&instlRef=sst&ss=1&affID=100395&q=" [2011-06-25 22:38:18 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\mdrh4hc5.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-04-22 20:07:28 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\mdrh4hc5.default\extensions\engine@conduit.com [2011-04-22 20:07:28 | 000,000,863 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\mdrh4hc5.default\searchplugins\conduit.xml [2011-05-18 15:06:52 | 000,000,632 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\mdrh4hc5.default\searchplugins\startsear.xml [2011-04-23 10:22:41 | 000,001,583 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\mdrh4hc5.default\searchplugins\web-search.xml [2011-06-08 20:55:25 | 000,000,000 | ---D | M] (vShare Add-On) -- C:\Program Files\Mozilla Firefox\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} [2011-07-22 23:54:34 | 000,000,000 | ---D | M] (Babylon) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [ares] File not found O4 - HKCU..\Run: [EA Core] File not found O4 - HKCU..\Run: [FlashGet 3] File not found O4 - HKCU..\Run: [jushed] C:\ProgramData\jushed.exe ( ) O4 - HKCU..\Run: [Kookos] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj paski sponsoringowe Ask Toolbar / DAEMON Tools Toolbar oraz wątpliwej reputacji wtyczkę vShare.tv plugin 1.0 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Avira ci starczy, ale jak wiadomo nie ma idealnego antywirusa i każdy coś przepuszcza. Infekcja zmieniła w rejestrze uruchamianie IE, ale było to już naprawiane w skrypcie i według logów powinno być w porządku. Sprawdź dla pewności rejestr: Start > w polu szukania wpisz Uruchom > regedit i wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command Nastepnie sprawdź czy jest tam przypisana prawidłowa ścieżka uruchamiania IE a więc u Ciebie C:\Program Files (x86)\Internet Explorer\iexplore.exe

To trzeba tylko usunąć z rejestru. Po prostu wklej do Notatnika taki tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bron-Spizaetus] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tok-Cirrhatus] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\facemoods] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\Empty] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BabylonToolbar] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Wpisy powinny zniknąć. Możesz przejść do czynności końcowych: 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj wazne aktualizacje: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416023FF}" = Java 6 Update 23 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1033-7B44-A91000000001}" = Adobe Reader 9.1 Szczegóły aktualizacyjne w tym wątku: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Według logów infekcja pomyślnie usunięta. Można przejść do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj system (brak SP1 i IE9): KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. Jeśli chodzi o MSSE to niepotrzebnie go ruszałeś bo to nie była wina programu sama w sobie tylko infekcji, która po prostu wyłączyła jego usługę. Nie wiem czemu masz taki błąd, ale może spróbuj użyć narzędzia Fixit MS .

Ale tego to ja w logach nie widzę, więc sprecyzuj o co ci chodzi i gdzie ty to widzisz lub po prostu spróbuj to dokasować bo to szczątki. Tymczasem wykonaj kolejny skrypt o takiej zawartości: :Files C:\Program Files (x86)\Save :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] ""="C:\Program Files (x86)\Internet Explorer\iexplore.exe" :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found Nowy log z OTL i Ad-Remover do oceny.

Ale zupełnie nic się nie wykonało. Prosze powtórzyć skrypt i patrzyć czy nie ma jakichś błędów.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found O4 - HKCU..\Run: [2167343815] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O35 - HKCU\..exefile [open] -- "C:\Users\Domownik\AppData\Local\yel.exe" -a "%1" %* O37 - HKCU\...exe [@ = exefile] -- "C:\Users\Domownik\AppData\Local\yel.exe" -a "%1" %* [2011-07-26 19:33:07 | 000,009,344 | -HS- | M] () -- C:\Users\Domownik\AppData\Local\63ay3110m00q1av1x121r0s8jv2 [2011-07-26 19:33:07 | 000,009,344 | -HS- | M] () -- C:\ProgramData\63ay3110m00q1av1x121r0s8jv2 :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj niepotrzebne śmieci - Babylon Toolbar / DAEMON Tools Toolbar / facemoods 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Nie wiem skąd taki problem bo ten sposób powinien działać. W takim razie przejdźmy do usuwania. 1. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: "C:\ProgramData\csrs.exe" "C:\ProgramData\winloqon.exe" "C:\Program Files\Common Files\svhost.exe" "C:\Users\PRZEMEK\AppData\Roaming\Mozilla\Firefox\Profiles\ga9is2g2.default\searchplugins\search.xml" "C:\Users\PRZEMEK\AppData\Roaming\Mozilla\Firefox\Profiles\ga9is2g2.default\searchplugins\daemon-search.xml" DeleteRegValue: HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\csrs HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\svhost HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\winloqon Klik w Execute Now. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj niepotrzebne paski - DAEMON Tools Toolbar / Pasek narzędzi AOL 5.0 3. Wklejasz raport z BlitzBlank oraz z AD-Remover z trybu skanowania. Starasz się też wykonać OTL (powinien już działać)

Wytłumacz co to znaczy "nie mogę wkleić". Jak jest jakiś problem próbuj w trybie awaryjnym. Na pewno? Raport trzeba zapisać z opcji Rootkit >>> Szukaj >>> Zapisz

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\Svxzcknx.job C:\Windows\SysWow64\netlogonl.dll :OTL IE - HKU\S-1-5-21-1798725384-1447157442-3589185926-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.daum.net/" IE - HKU\S-1-5-21-1798725384-1447157442-3589185926-1000\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found O3 - HKU\S-1-5-21-1798725384-1447157442-3589185926-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-1798725384-1447157442-3589185926-1000..\Run: [Horloger] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. MSSE: podobnie jak wyżej - usługa o nazwie Microsoft Antimalware Service, a Typ uruchomienia ma mieć przestawiony na Automatyczny. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Odinstaluj całkowicie z systemu Spybot Search & Destroy - program przestarzały i niezgodny do końca z twoim systemem 64-bitowym. 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Nadal nie widzimy loga z Gmer więc? Przejdźmy na razie do usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\update.2 C:\WINDOWS\update.5.0 C:\WINDOWS\update.tray-10-0 C:\WINDOWS\update.tray-10-0-lnk C:\WINDOWS\ufa C:\WINDOWS\info1 C:\WINDOWS\rpcminer C:\WINDOWS\phoenix C:\WINDOWS\av_ico C:\WINDOWS\update.tray-9-0-lnk C:\WINDOWS\update.tray-9-0 C:\WINDOWS\update.tray-12-0-lnk C:\WINDOWS\update.tray-12-0 C:\WINDOWS\System32\drivers\etc\hîsts C:\WINDOWS\loader2.exe_ok C:\WINDOWS\systemup.exe.vir C:\Documents and Settings\Administrator\Pulpit\spybotsd162.exe C:\Documents and Settings\Administrator\Pulpit\trjsetup682.exe :Services srvbtcclient NIS McComponentHostService AVP srviecheck srvsysdriver32 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\update.tray-12-0\svchost.exe"=- "C:\WINDOWS\update.tray-10-0-lnk\svchost.exe"=- "C:\WINDOWS\update.1\svchost.exe"=- "C:\WINDOWS\update.2\svchost.exe"=- :OTL O2 - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - File not found O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - File not found O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - File not found O2 - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - File not found O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - File not found O4 - HKLM..\Run: [1496962.exe] C:\WINDOWS\TEMP\1496962.exe () O4 - HKLM..\Run: [6490763.exe] C:\WINDOWS\TEMP\6490763.exe () O4 - HKLM..\Run: [7983220.exe] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\7983220.exe () O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe () O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe () O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe () O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe () O9 - Extra Button: &Klawiatura wirtualna - {4248FE82-7FCB-46AC-B270-339F08212110} - File not found O9 - Extra Button: &Sprawdzanie adresów internetowych - {CCF151D8-D089-449F-A5A4-D9909053F20F} - File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Usuń szczątki po Nortonie za pomocą Norton Removal Tool oraz odinstalować przestarzały program Spybot - Search & Destroy 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj i prezentujesz nowe logi.

Tu nie chodzi o system, winę ponosi rodzaj infekcji qooqlle, która to blokuje uruchamianie OTL. Jest na to rada - pobierz narzędzie OTH i umieść go obok OTL. Wybierz w nim opcję zabicia procesów "Kill All Processes", a następnie opcję "Start OTL".

Zacznij od wklejenia prawidłowych i wymaganych tutaj logów z OTL oraz GMER.

Nadal coś mi się tutaj nie podoba a konkretnie systemowy userinit.exe, który nie ma markera Microsoftu i jest widoczny w logu a nie powinien: PRC - [2010-07-31 06:19:18 | 000,041,994 | ---- | M] () -- C:\WINDOWS\system32\userinit.exe O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe () To może sugerować podstawienie pliku falsyfikatem. Plik trzeba będzie wymienić. 1. Pobierz oryginalny userinit.exe pod Xp SP3: KLIK. Plik umieść bezpośrednio na dysku C:\ 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Processes killallprocesses :Files C:\WINDOWS\System32\dllcache\userinit.exe|C:\userinit.exe /replace C:\WINDOWS\System32\userinit.exe|C:\userinit.exe /replace Klik w Wykonaj skrypt. 3. Nowy log do oceny.

To jeszcze nie wszystko bo ostały się szczątki. Zamontuj kolejny skrypt do OTL: :Files C:\Documents and Settings\Robert\Ustawienia lokalne\Temp\svcnost.exe :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] ""="C:\Program Files\Internet Explorer\iexplore.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] ""="C:\Program Files\Mozilla Firefox\firefox.exe" :OTL O4 - HKU\S-1-5-21-776561741-1078081533-1417001333-1003..\Run: [{2D029808-E9F7-909A-D344-80D5E547099B}] File not found Nowy log z OTL i Ad-Remover do oceny.

Zabrakło obowiązkowego loga z GMER 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\Robert\Dane aplikacji\Wefoi C:\Documents and Settings\Robert\Dane aplikacji\Evul C:\Documents and Settings\Robert\Dane aplikacji\Zipo C:\Documents and Settings\Robert\Dane aplikacji\Egwiil :OTL O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O4 - HKLM..\Run: [RegistryMonitor1] File not found O4 - HKU\S-1-5-21-776561741-1078081533-1417001333-1003..\Run: [{2D029808-E9F7-909A-D344-80D5E547099B}] C:\Documents and Settings\Robert\Dane aplikacji\Zipo\umos.exe (Goods) O4 - HKU\S-1-5-21-776561741-1078081533-1417001333-1003..\Run: [4270472180] C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\qun.exe () O35 - HKU\S-1-5-21-776561741-1078081533-1417001333-1003..exefile [open] -- "C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\qun.exe" -a "%1" %* () O37 - HKU\S-1-5-21-776561741-1078081533-1417001333-1003\...exe [@ = exefile] -- "C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\qun.exe" -a "%1" %* () [2011-06-25 20:07:53 | 000,016,042 | -HS- | M] () -- C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\m7emi47fxs8m61r638r2pur4g876l0k075318wo18 [2011-06-25 20:07:53 | 000,016,042 | -HS- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\m7emi47fxs8m61r638r2pur4g876l0k075318wo18 :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\DOCUME~1\Robert\USTAWI~1\Temp\e.exe"=- "C:\DOCUME~1\Robert\USTAWI~1\Temp\svcnost.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj pasek sponsoringowy Ask Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

To by było na tyle z usuwania, do zrobienia poniższe punkty na zakończenie: 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj do najnowszej wersji Adobe Reader X. 3. Opróżnij folder przywracania systemu: KLIK.

Możesz to usunąć. Wyniki z System Volume Information są właściwie nieistotne bo to folder przywracania systemu więc i tak zostanie opróżniony zgodnie z zaleceniami z punktu 5.

W takim razie przejdźmy do czynności końcowych. 1. Użyj opcji Sprzątanie w OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Przeskanuj się za pomocą Malwarebytes Anti-Malware 4. Zaktualizuj Internet Explorer, Firefox, java i Adobe Reader: KLIK. 5. Opróżnij folder Przywracania systemu: KLIK. .

Gmera sobie odpuśćmy już. Natomiast błąd MOM.Implementation pochodzi od sterowników ATI do twojej karty graficznej i to nie jest związane z infekcją. Wklej do Notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_USERS\S-1-5-21-1123561945-2000478354-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Run] "StartCCC"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys] @="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}] @="Universal Serial Bus controllers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}] @="CD-ROM Drive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}] @="Standard floppy disk controller" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}] @="Hdc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}] @="Keyboard" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}] @="Mouse" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}] @="PCMCIA Adapters" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}] @="SCSIAdapter" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}] @="System" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}] @="Floppy disk drive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}] @="Volume" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}] @="Human Interface Devices" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys] @="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}] @="Universal Serial Bus controllers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}] @="CD-ROM Drive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}] @="Standard floppy disk controller" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}] @="Hdc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}] @="Keyboard" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}] @="Mouse" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}] @="Net" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}] @="NetClient" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}] @="NetService" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}] @="NetTrans" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}] @="PCMCIA Adapters" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}] @="SCSIAdapter" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}] @="System" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}] @="Floppy disk drive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}] @="Volume" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}] @="Human Interface Devices" Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Wykonaj restart i sprawdź czy błąd jest nadal i czy działa tryb awaryjny. Jeśli jest OK to przejdziemy do końcowych działań.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives C:\WINDOWS\System\win32out.dll C:\WINDOWS\System\win32in.dll C:\WINDOWS\System32\explorxp.exe C:\WINDOWS\System32\settings.dll C:\WINDOWS\System32\drivers\str.sys :Services famxkotm CreateProcess :OTL IE - HKU\S-1-5-21-1123561945-2000478354-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fmz.qiwa.com O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O4 - HKLM..\Run: [bron-Spizaetus] File not found O4 - HKLM..\Run: [mhlclyg] File not found O4 - HKLM..\Run: [nhbivui] File not found O4 - HKU\S-1-5-21-1123561945-2000478354-1417001333-1003..\Run: [] File not found O4 - HKU\S-1-5-21-1123561945-2000478354-1417001333-1003..\Run: [Tok-Cirrhatus] File not found O4 - HKU\S-1-5-21-1123561945-2000478354-1417001333-1003..\Run: [wsctf.exe] File not found O7 - HKU\S-1-5-21-1123561945-2000478354-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-1123561945-2000478354-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O27 - HKLM IFEO\360rpt.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\360Safe.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\360tray.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\adam.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\AgentSvr.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\AppSvc32.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\ArSwp.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\AST.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\autoruns.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\AvastU3.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\avconsol.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\avgrssvc.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\AvMonitor.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\avp.com: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\avp.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\CCenter.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\ccSvcHst.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\EGHOST.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\FileDsty.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\FTCleanerShell.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\FYFireWall.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\ghost.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\HijackThis.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\IceSword.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\iparmo.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\Iparmor.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\irsetup.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\isPwdSvc.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\kabaload.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KaScrScn.SCR: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KASMain.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KASTask.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KAV32.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KAVDX.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KAVPF.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KAVPFW.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KAVSetup.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KAVStart.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KISLnchr.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KMailMon.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KMFilter.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KPFW32.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KPFW32X.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KPfwSvc.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KRegEx.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KRepair.com: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KsLoader.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KVCenter.kxp: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KvDetect.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KvfwMcl.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KVMonXP.kxp: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KVMonXP_1.kxp: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\kvol.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\kvolself.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KvReport.kxp: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KVScan.kxp: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KVSrvXP.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KVStub.kxp: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\kvupload.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\kvwsc.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KvXP.kxp: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KvXP_1.kxp: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KWatch.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KWatch9x.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\KWatchX.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\loaddll.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\MagicSet.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\mcconsol.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\mmqczj.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\mmsk.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\Navapsvc.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\Navapw32.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\nod32.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\nod32krn.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\nod32kui.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\NPFMntor.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\PFW.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\PFWLiveUpdate.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\QHSET.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\QQDoctor.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\QQKav.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\QQSC.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\Ras.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\Rav.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\RavMon.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\RavMonD.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\RavStub.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\RavTask.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\RegClean.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\rfwcfg.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\rfwmain.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\rfwsrv.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\RsAgent.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\Rsaupd.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\rstrui.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\runiep.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\safelive.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\scan32.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\shcfg32.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\SmartUp.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\SREng.EXE: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\symlcsvc.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\SysSafe.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\TrojanDetector.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\Trojanwall.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\TrojDie.kxp: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\UIHost.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\UmxAgent.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\UmxAttachment.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\UmxCfg.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\UmxFwHlp.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\UmxPol.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\upiea.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\UpLive.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\USBCleaner.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\vsstat.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\webscanx.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\WoptiClean.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found O27 - HKLM IFEO\zjb.exe: Debugger - C:\Program Files\Common Files\Microsoft Shared\xnxlufi.exe File not found :Reg [HKEY_USERS\S-1-5-21-1123561945-2000478354-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Run] "EXPLORER.EXE"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.