Landuss

Infekcja usunięta i nic tu więcej nie ma do roboty. Użyj na koniec opcji Sprzątanie z OTL oraz wyzeruj stan przywracania systemu: KLIK

Infekcja pomyślnie usunięta. Wykonaj czynności końcowe. 1. Użyj opcji Sprzątanie z OTL. 2. Pozbądź się Ask Toolbar za pomocą Ad-Remover 3. Wyzeruj stan przywracania systemu: KLIK 4. Wykonaj skan za pomocą Malwarebytes Anti-Malware 5. Aktualizacja Java: INSTRUKCJE.

To bierz się za pozostałe rzeczy bo Ask jest tutaj najmniej istotny, później podam jak usunąć inaczej.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [File_System | Auto | Stopped] -- C:\Windows\System32\DRIVERS\eamonm.sys -- (eamonm) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" [2011/01/03 14:42:23 | 000,001,860 | ---- | M] () -- C:\Users\Ewelna\AppData\Roaming\Mozilla\Firefox\Profiles\plf94is0.default\searchplugins\search.xml O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () O4 - HKCU..\Run: [AdobeBridge] File not found :Files C:\Users\Ewelna\AppData\Local\Temp*.html :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz log z GMER

Temat zostaje oczyszczony ze zbędnych postów. W logach właściwie nic nie ma, a logi wskazują, ze masz system mocno modyfikowany. Natomiast system pod kątem rootkitów nie został sprawdzony. Niepokoić mogą jedynie błędy w dzienniku zdarzeń, które wykazuje log z OTL dlatego dla pewności wykonaj skan za pomocą Kaspersky TDSSKiller. Jeśli program cośznajdzie ustaw opcję Skip i wklej tutaj raport.

1. Start > w polu szukania wpisz regedit > wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Dwuklik w wartość Startup i zastąp obecny tam ciąg prawidłową ścieżką Windows 7: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\Temp C:\Program Files\My applications :OTL DRV - File not found [Kernel | On_Demand | Running] -- I:\Download\Antywirusy, firewalle\ESET NOD32 Antivirus 4.2.40.10 3264bit [PL][Fix][Aladyn1111]\Fix\vista.sys -- (vista) FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163" FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Odinstaluj następujące śmieci - Google Toolbar / Ask Toolbar / DAEMON Tools Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\bMnPd05200 :OTL IE - HKU\S-1-5-21-4012735213-1145039086-931838622-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://uk.ask.com?o=15179&l=dis FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.9.1.14019 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=PF&o=15176&locale=en_UK&apn_uid=2D45FB35-3CF4-4E21-9E05-65A0877B2C36&apn_ptnrs=RW&apn_sauid=815D681E-C52B-4A5D-B8D5-84044438CF9C&apn_dtid=YYYYYYYYGB&q=" [2010/10/25 10:23:02 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\MARZENA\AppData\Roaming\Mozilla\Firefox\Profiles\gthypea4.default\extensions\DTToolbar@toolbarnet.com [2010/10/28 18:19:30 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\MARZENA\AppData\Roaming\Mozilla\Firefox\Profiles\gthypea4.default\extensions\toolbar@ask.com [2011/01/02 16:36:32 | 000,002,569 | ---- | M] () -- C:\Users\MARZENA\AppData\Roaming\Mozilla\Firefox\Profiles\gthypea4.default\searchplugins\askcom.xml [2010/10/25 10:22:57 | 000,002,059 | ---- | M] () -- C:\Users\MARZENA\AppData\Roaming\Mozilla\Firefox\Profiles\gthypea4.default\searchplugins\daemon-search.xml O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-4012735213-1145039086-931838622-1000..\RunOnce: [bMnPd05200] C:\ProgramData\bMnPd05200\bMnPd05200.exe (Microsoft Corporation) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Temat powinien być w dziale wirusów i tam zostanie przeniesiony. Windows Defender Apps Control to pewnego rodzaju infekcja. 1. Start > w polu szukania wpisz regedit > wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Dwuklik w wartość Startup i zastąp obecny tam ciąg prawidłową ścieżką Windows Vista: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\My applications C:\Users\Piotrek\AppData\Local\Temp*.html :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\My applications\vista.sys -- (vista) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Piotrek\AppData\Local\Temp\o1394bul.sys -- (o1394bul) DRV - File not found [Kernel | On_Demand | Stopped] -- G:\JLU\NRC_TEST\Everest_Ultimate_5.00.1673b_Portable\kerneld.wnt -- (EverestDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\btwaudio.sys -- (btwaudio) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\blbdrive.sys -- (blbdrive) FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" [2009-08-10 20:14:23 | 000,001,201 | ---- | M] () -- C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\f2rtbrwe.default\searchplugins\winamp-search.xml O3 - HKU\S-1-5-21-3266407316-3741902626-688742045-1003\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - No CLSID value found. :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Wklejasz nowe logi z OTL oraz z Gmer na ustawieniu (Rootkit >>> zaznaczyć tylko Usługi >>> zaznaczyć Pokaż wszystko >>> Szukaj >>> Zapisz)

Z darmowych śmiało mogę polecić Avire. Lekki i raczej nie sprawiający problemów antywirus. Takie jest moje zdanie.

To jest błąd i fałszywy alarm skanera. Możesz dodać sobie ten obiekt do wyjątków bo pewnie coś takiego w AVG istnieje. Poszperaj w ustawieniach.

Operacja pomyślnie wykonana. Czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK. 3. Zaktualizuj Java: KLIK.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\system32\lfquklausprxwe.dll :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\mcdbus.sys -- (mcdbus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\cmudax.sys -- (cmudax) IE - HKU\S-1-5-21-1482476501-2139871995-842925246-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-01-02 18:42:01 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\6so9yucw.default\searchplugins\search.xml O2 - BHO: (revenuestreaming browser enhancer) - {F9E6CE0A-AEBE-67B5-1FB4-02225EDBDDC1} - C:\WINDOWS\system32\lfquklausprxwe.dll () O4 - HKLM..\Run: [GProton] C:\Documents and Settings\All Users\GProton.exe () O4 - HKLM..\Run: [qpppoebcytikif] C:\WINDOWS\System32\lfquklausprxwe.dll () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Tak wykonałem jeszcze edycje skryptu, ale jeśli sobie poradziłeś to w porządku. W obecnych logach nie widać już śladu aktywnej infekcji. Użyj jeszcze opcji Sprzątanie z OTL i wyzeruj stan przywracania systemu poprzez chwilowe jego wyłączenie.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe -- (AcronisOSSReinstallSvc) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\System32\drivers\WPRO_40_1340.sys -- (WPRO_40_1340) WinPcap Packet Driver (WPRO_40_1340) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\System32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [File_System | Auto | Stopped] -- C:\windows\System32\DRIVERS\eamonm.sys -- (eamonm) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\System32\drivers\EagleNT.sys -- (EagleNT) IE - HKU\S-1-5-21-3521551021-1966395288-1005186300-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3521551021-1966395288-1005186300-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () [2010/12/03 16:01:28 | 000,000,000 | ---D | C] -- C:\Users\Maciej\AppData\Local\searchplugins :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Usługa startuje na systemowym userinit co może znaczyć, że sam plik też jest zaprawiony choć po tych logach nie jestem w stanie tego jednoznacznie stwierdzić a są to jedynie przypuszczenia. Plik pójdzie na wymianę a wszystko to zrobisz z zewnątrz. PRZYGOTOWANIA 1. Pobierz oryginalny userinit pod XP SP3 zgodnie z twoim systemem: KLIK 2. Stwórz w Notatniku plik tekstowy o następującej treści: :Services userinit vbmaca0d UnlockerDriver5 :OTL O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found [2009/10/03 00:26:14 | 000,735,680 | ---- | C] () -- C:\WINDOWS\System32\msitttmp.dll [2009/10/03 00:25:25 | 000,037,376 | ---- | C] () -- C:\WINDOWS\System32\drivers\vbmaca0d.sys :Commands [emptytemp] Plik zapisz pod nazwą FIX.TXT 3. Pobrany plik userinit.exe + plik FIX.TXT umieść na pendrive lub innym urządzeniu przenośnym, które może być podpięte do komputera. OPERACJA Z POZIOMU OTLPE Podpinasz urządzenie przenośne z plikami + startujesz z płyty OTLPE i wykonujesz: 1. Z Pulpitu płyty OTLPE uruchamiasz Mój komputer. Z urządzenia przenośnego przenosisz plik userinit.exe i wklejasz go do C:\WINDOWS\system32 oraz C:\WINDOWS\system32\dllcache 2. Uruchamiasz z Pulpitu program OTLPE zgodnie ze wskazówkami montując rejestr. Klikasz w Run Fix. Zostanie zgłoszony komunikat o braku skryptu i wtedy wskazujesz plik o nazwie FIX.TXT. OTLPE wykona zadanie i poda log, który zachowasz bo będziesz go prezentował. 3. Restart komputera. Jeśli wszystko pójdzie dobrze spróbuj zrobić normalnie logi z OTL + Gmer spod systemu. Możesz też załączyć log powstały z usuwania OTLPE.

Za co jest odpowiedzialny ten konkretny plik to trudno powiedzieć ale siedzi w folderze NLDRV a taki folder ma związek z cache z kopiami sterowników. Myslę, że mimo wszystko nie ma się czym przejmować bo nie jest to nic krytycznego.

W logach nie ma śladu aktywnej infekcji i nie ma tu nic do roboty. Wygląda na pomyłkę.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.selectedEngine: "DAEMON Search" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 [2010-12-15 19:32:01 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\psp9sutz.default\extensions\DTToolbar@toolbarnet.com [2010-12-15 19:31:57 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\psp9sutz.default\searchplugins\daemon-search.xml :Files D:\lpl.exe RECYCLER /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i USBFix.

Musisz pokazać logi OTL + Gmer oraz USBFix z opcji Listing. Bez tego nie da się postawić diagnozy.

Infekcja pomyślnie usunięta. Wykonaj jeszcze poniższe czynności. 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK 3. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack. 1 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2800.1106) "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.4 - Polish Szczegóły w tym temacie: INSTRUKCJE.

To bardzo prosta do usunięcia infekcja. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Games-Masters.com\CABAL Online (Europe)\GameGuard\dump_wmimmc.sys -- (dump_wmimmc) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Misiek\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132) IE - HKU\S-1-5-21-1409082233-842925246-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-03-30 12:18:53 | 000,000,000 | ---D | M] (RadioBar Toolbar) -- C:\Documents and Settings\Misiek\Dane aplikacji\Mozilla\Firefox\Profiles\dbyenk8p.default\extensions\radiobar@toolbar [2010-12-31 09:01:15 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Misiek\Dane aplikacji\Mozilla\Firefox\Profiles\dbyenk8p.default\searchplugins\search.xml [2010-03-30 12:18:59 | 000,001,598 | ---- | M] () -- C:\Documents and Settings\Misiek\Dane aplikacji\Mozilla\Firefox\Profiles\dbyenk8p.default\searchplugins\web-search.xml O4 - HKLM..\Run: [GProton] C:\Documents and Settings\All Users\GProton.exe () O4 - HKU\S-1-5-21-1409082233-842925246-682003330-1003..\Run: [PlayNC Launcher] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Dokładnie tak. Opcja Listing wszystko pokarze. Jeśli chcesz to możesz zrobić logi i pokazać do wglądu. Tylko zrób to czytelnie żeby się komputery nie pomieszały.

Wszystko pomyślnie usunięte. Wykonaj na koniec poniższe punkty. 1. Użyj opcji Sprzątanie z OTL 2. Wyzeruj stan przywracania systemu: KLIK 3. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.2 - Polish Szczegóły w tym temacie: INSTRUKCJE.

Infekcja wygląda na pomyślnie usuniętą. Problemy powinny minąć. Użyj teraz opcji Sprzątanie z OTL oraz wyzeruj stan przywracania systemu: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService) DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KRAKEN~1.FRO\USTAWI~1\Temp\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KRAKEN~1.FRO\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio) IE - HKU\S-1-5-21-1708537768-1844823847-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2786678" FF - prefs.js..browser.search.defaultthis.engineName: "Conduit Engine Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=ConduitEngine&SearchSource=3&q={searchTerms}" [2009-07-18 00:02:48 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Kraken.FROKS\Dane aplikacji\Mozilla\Firefox\Profiles\aum97s0e.default\searchplugins\BearShareWebSearch.xml [2010-12-20 20:36:02 | 000,000,913 | ---- | M] () -- C:\Documents and Settings\Kraken.FROKS\Dane aplikacji\Mozilla\Firefox\Profiles\aum97s0e.default\searchplugins\conduit.xml [2010-02-26 23:08:51 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Kraken.FROKS\Dane aplikacji\Mozilla\Firefox\Profiles\aum97s0e.default\searchplugins\daemon-search.xml [2009-07-18 00:02:48 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml [2009-09-21 11:24:16 | 000,001,329 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml O3 - HKU\S-1-5-21-1708537768-1844823847-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found. :Files RECYCLER /alldrives C:\WINDOWS\System32\kernel32Q.dll :Reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Kraken.FROKS^Menu Start^Programy^Autostart^xe0305.exe] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.