Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=966134" FF - prefs.js..browser.search.selectedEngine: "Yahoo" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2530240&SearchSource=13" FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=966134&p=" [2010-06-08 10:30:50 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Buki\Dane aplikacji\Mozilla\Firefox\Profiles\jiuz4mqy.default\searchplugins\conduit.xml [2009-07-17 15:32:32 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\Buki\Dane aplikacji\Mozilla\Firefox\Profiles\jiuz4mqy.default\searchplugins\daemon-search.xml O2 - BHO: (Dealio Toolbar) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll File not found O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Value error. File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Buki\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (Dealio Toolbar) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll File not found O3 - HKU\S-1-5-21-854245398-1214440339-839522115-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [GEST] File not found O4 - HKU\S-1-5-21-854245398-1214440339-839522115-1004..\Run: [api32] C:\Documents and Settings\Buki\Ustawienia lokalne\Temp\apiqq.exe () O4 - HKU\S-1-5-21-854245398-1214440339-839522115-1004..\Run: [dso32] C:\DOCUME~1\Buki\USTAWI~1\Temp\dsoqq.exe File not found O4 - HKU\S-1-5-21-854245398-1214440339-839522115-1004..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found O4 - HKU\S-1-5-21-854245398-1214440339-839522115-1004..\Run: [GameTracker] C:\Program Files\GameTracker\GTLite.exe File not found O4 - HKU\S-1-5-21-854245398-1214440339-839522115-1004..\Run: [nod32] C:\DOCUME~1\Buki\USTAWI~1\Temp\nodqq.exe File not found O4 - HKU\S-1-5-21-854245398-1214440339-839522115-1004..\Run: [Nowe Gadu-Gadu] C:\Program Files\Nowe Gadu-Gadu\gg.exe File not found O4 - HKLM..\RunOnce: [uninstall Adobe Download Manager] File not found :Files C:\09lf.exe C:\1gkbvsni.exe C:\1j038ki.exe C:\33r.exe C:\9d6resf.exe autorun.inf /alldrives C:\awb3ryk.exe C:\bu8.exe C:\cgaqyi.exe C:\cobn8w3.exe C:\eer6ril9.exe C:\eyruu.exe C:\f662sjd.exe C:\g6jk.exe C:\ggb6w.exe C:\h3wp9.exe C:\ho0q.exe C:\io3yalc.exe C:\iuvvl9f3.exe C:\jeo3ky.exe C:\jofk1wf.exe C:\krwyrv0d.exe C:\kyme.exe C:\lpl.exe C:\mk28sp.exe C:\n0qls.exe C:\o1o.exe C:\q0wfr.exe C:\r3q63rok.exe C:\r3x0k.exe RECYCLER /alldrives C:\rxf.exe C:\vi8f.exe C:\wa.exe C:\wq.exe C:\xcr.exe C:\yqq8eqil.exe $RECYCLE.BIN /alldrives D:\09lf.exe D:\1gkbvsni.exe D:\1j038ki.exe D:\33r.exe D:\9d6resf.exe D:\awb3ryk.exe D:\bu8.exe D:\cgaqyi.exe D:\cobn8w3.exe D:\eer6ril9.exe D:\eyruu.exe D:\f662sjd.exe D:\g6jk.exe D:\ggb6w.exe D:\h3wp9.exe D:\ho0q.exe D:\i8gcgmg.exe D:\io3yalc.exe D:\iuvvl9f3.exe D:\jeo3ky.exe D:\jofk1wf.exe D:\krwyrv0d.exe D:\kyme.exe D:\lpl.exe D:\mk28sp.exe D:\n0qls.exe D:\o1o.exe D:\p9rs.exe D:\q0wfr.exe D:\r3q63rok.exe D:\r3x0k.exe D:\rxf.exe D:\vi8f.exe D:\wa.exe D:\wq.exe D:\xcr.exe D:\yqq8eqil.exe E:\09lf.exe E:\1gkbvsni.exe E:\1j038ki.exe E:\33r.exe E:\9d6resf.exe E:\awb3ryk.exe E:\bu8.exe E:\cgaqyi.exe E:\cobn8w3.exe E:\eer6ril9.exe E:\eyruu.exe E:\f662sjd.exe E:\g6jk.exe E:\ggb6w.exe E:\h3wp9.exe E:\ho0q.exe E:\io3yalc.exe E:\iuvvl9f3.exe E:\jeo3ky.exe E:\jofk1wf.exe E:\krwyrv0d.exe E:\kyme.exe E:\lpl.exe E:\mk28sp.exe E:\n0qls.exe E:\o1o.exe E:\p9rs.exe E:\q0wfr.exe E:\r3q63rok.exe E:\r3x0k.exe E:\rxf.exe E:\vi8f.exe E:\wa.exe E:\wq.exe E:\xcr.exe E:\yqq8eqil.exe H:\autorun.9nf H:\lpl.exe H:\autorun.7nf H:\autorun.0nf H:\autorun.8nf H:\autorun.1nf H:\autorun.2nf H:\autorun.3nf H:\autorun.4nf H:\autorun.5nf H:\autorun.6nf :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu sterowania sekcja dodaj/usuń programy i odinstaluj śmieci - Gameztar Toolbar / Dealio Toolbar v4.0.2 / Alawar.com Toolbar / Softonic-Polska Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i USBFix z Listing.

Mamy tutaj infekcję z urządzenia przenośnego (pendrive, karta pamięci aparatu, telefonu) i najpierw to usuńmy a dopiero potem zobaczmy czy problem dalej występuje. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Spróbuj zresetować dane wbem - wklej do notatnika ten tekst: SC STOP winmgmt CD C:\WINDOWS\system32\WBEM RD /S /Q Repository SC START winmgmt PAUSE Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik W logach nie widać już aktywnej infekcji (usunięta przez ComboFix), ale jest parę śmieci które można usunąć + odchudzenie autostartu. 1. Natychmiast odinstalować jednego z antywirusów. Instalując drugiego mogłeś tylko pogorszyć sytuację z systemem bowiem występuje wtedy konflikt sterowników. Z poziomu dodaj/usuń programy odinstaluj też śmiecia Ask Toolbar. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\usbser_lowerfltj.sys -- (UsbserFilt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\PxHelp20.sys -- (PxHelp20) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ccdcmbo.sys -- (nmwcdc) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ccdcmb.sys -- (nmwcd) DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\MySecretFolder XP\MSF32.SYS -- (MSF32) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\fetnd5.sys -- (FETNDIS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\adiusbaw.sys -- (adiusbaw) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\adildr.sys -- (ADILOADER) General Purpose USB Driver (adildr.sys) IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL File not found IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.9.1.14019 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=CLA&o=15306&locale=en_US&apn_uid=3022BBAC-F89C-49FC-94C1-49DD1EE3AA13&apn_ptnrs=J3&apn_sauid=619A76DD-4A81-44AC-A3A9-38A39FEFCD15&apn_dtid=YYYYYYYYPL&q=" [2010-11-01 11:13:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Application Data\mozilla\Firefox\Profiles\0q7be5hu.default\extensions\toolbar@ask.com [2010-11-06 12:57:45 | 000,002,567 | ---- | M] () -- C:\Documents and Settings\Administrator\Application Data\Mozilla\FireFox\Profiles\0q7be5hu.default\searchplugins\askcom.xml O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. [2010-10-31 16:28:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Local Settings\Application Data\AskToolbar [2010-11-06 13:01:13 | 000,000,250 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Files C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\OpenOffice.org 1.1.0.lnk :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EzPrint"=- "ezShieldProtector for Px"=- "lxcgmon.exe"=- "MSF_Monitor"=- "NeroFilterCheck"=- "nwiz"=- "RaidTool"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach nie widać śladu aktywnej infekcji natomiast na twoją prośbę robię skrypt usuwający drobne szczątki i odchudzający autostart. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\CyberLink\Shared files\RichVideo.exe -- (RichVideo) Cyberlink RichVideo Service(CRVS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\VNUSB.sys -- (VNUSB) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\User\USTAWI~1\Temp\catchme.sys -- (catchme) [2010-11-06 13:01:02 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job :Files C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AudioHQ"=- "CanonSolutionMenu"=- "DeviceDiscovery"=- "KernelFaultCheck"=- "nwiz"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Logów żadnych już nie pokazujesz. Po tej czynności stosujesz opcję Sprzątanie z OTL. Na koniec ważnym krokiem jest wykonanie obowiązkowych aktualizacji oprogramowania: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 16 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish Szczegóły rozpisane w temacie: INSTRUKCJE.

Rzeczywiście znów to samo. Nie wiem dlaczego. Czy ty czasami nie podpinasz jakiegoś urządzenia przenośnego? Pendrive, telefon, karta pamięci itp bo tą drogą ta infekcja się głównie przenosi. Może tym razem użyj jakiejś szczepionki: KLIK / KLIK Po tym nowe logi, a OTL ma być na dodatkowym warunku netsvcs tak jak parę postów wyżej.

MBAM rzeczywiście wykrył infekcję, którą usunął pomyślnie. W logach nie ma więcej żadnej aktywnej infekcji. Użyj opcji Sprzątanie z OTL i to wszystko.

Log z Gmer źle zrobiony, działają sterowniki Alcohola: R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [2010-10-04 160640] R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [2010-10-04 5248] Usuń je za pomocą np. Autoruns a następnie wykonaj prawidłowo log z Gmer z pełnego skanu. ComboFix zgłasza problem z sumą kontrolną atapi: [7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys [-] 2008-04-13 22:10 . !HASH: COULD NOT OPEN FILE !!!!! . 96512 . . [------] . . c:\windows\system32\drivers\atapi.sys [-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\$NtServicePackUninstall$\atapi.sys Gmer jednak nie wykazuje modyfikacji na tym pliku. Na razie nie wiem co o tym myśleć dlatego potrzebny prawidłowo wykonany log z Gmer. Wykonaj jeszcze raport z Kaspersky TDSSKiller.

To żaden problem. Wykończ to przez Revo Uninstaller. Usuń też ten folder E:\Documents and Settings\yovita\Dane aplikacji\AskToolbar

Z kwarantanny wcale nie wynika że był tu jakiś typowy rootkit. Nic tutaj nie ma do roboty. Jedyne co możesz zrobić to z panelu sterowania > dodaj/usuń programy odinstalować śmiecia Ask Toolbar. ComboFix usuwał właśnie część tego toolbara. Odinstaluj też ComboFix - start >>> uruchom >>> wklej i wywołaj polecenie "e:\documents and settings\yovita\Pulpit\ComboFix.exe" /uninstall

Jeszcze powinien być log extras z OTL. Opcja Rejestr - skan dodatkowy powinna być zaznaczona na Użyj filtrowania. Wykonaj ten log. W obecnych logach żadnego rootkita nie widać. Wcale nie ma aktywnej infekcji. Ale log z ComboFix pochodzi z drugiego uruchomienia, a mi zależało na logu z pierwszego żeby było wiadomo co on tam zrobił. Możesz odszukać folder C:\Qoobox i gdzieś tam powinien być plik kwarantanny ComboFix-quarantined-files.txt. Przeklej jego zawartość.

Wklej tego loga oraz inne których tu wymagamy: KLIK

Zobacz czy nie ma loga w C:\_OTL. Jeśli nie to wykonaj po prostu nowe logi dla kontroli.

W logach nie widać śladu aktywnej infekcji. Usuniesz teraz jedynie drobne szczątki. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\btwusb.sys -- (BTWUSB) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\btwhid.sys -- (btwhid) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\btwdndis.sys -- (BTWDNDIS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\btport.sys -- (BTDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\btaudio.sys -- (btaudio) O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - Startup: C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\74BE16.lnk = C:\WINDOWS\System32\ACF7EF\74BE16.EXE File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Admin\Dane aplikacji\mrpky.exe) - C:\Documents and Settings\Admin\Dane aplikacji\mrpky.exe File not found :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Możesz wkleić log z usuwania, który powinien otworzyć się w notatniku. Sprawdziłbym ustawienie pamięci wirtualnej. A więc panel sterowania > przełącz do widoku klasycznego > System > Zaawansowane

Wygląda, że zeszło jak należy. W takim razie użyj opcji Sprzątanie z OTL w celu usunięcia programu i kwarantanny. Następnie start >>> uruchom >>> wklej i wywołaj polecenie "c:\documents and settings\Caba\Pulpit\ComboFix.exe" /uninstall - to usunie ComboFix i jego komponenty.

To wklej mi jeszcze nowe logi z OTL dla pewności.

Wklej do notatnika ten tekst: File:: c:\windows\system32\aunbdic.dll Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Nowy log do oceny.

Skrypt się poniekąd wykonał bo większość tych plików lnk została usunięta z urządzenia przenośnego. To jeszcze nie koniec rzeczywiście, ale zastosuj jeszcze teraz ComboFix i wklej log.

OTL jakoś nie może sobie z tym do końca poradzić. W takim wypadku użyj narzędzia ComboFix i wklej wynikowy log.

W logach brak śladu aktywnej infekcji. To co wykrył MBAM właściwie bez znaczenia. Temp to folder tymczasowy i wszelkie taki foldery można wyczyścić za pomocą TFC - Temp Cleaner, zaś wykryty KMService pochodzi od cracka Office: SRV - [2010-10-20 17:40:34 | 000,008,192 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\srvany.exe -- (KMService) Czyli tego nie usuwaj. Wspominasz o BSODach no to dla kontroli przydało by się kilka najnowszych zrzutów pamięci z folderu C:\Windows\Minidump.

Z tym nic nie robimy. To nie jest modyfikacja rootkita. Może to być zupełnie nieszkodliwa modyfikacja wynikająca przykładowo z instalacji niedomyślnego bootmanagera itp. W laptopach często jest to spotykane a to już sprawka producenta. W takim razie temat zamykam.

Na razie nie mam pomysłu na to. To jest narzędzie PV wbudowane do różnych narzędzi do logów np. do ComboFix. Nie ma potrzeby sie tym martwić. To często jest określane jako podejrzane. To jest bez sensu bo USBFix daje takie samo zabezpieczenia jak Flash Disinfector więc odpuść sobie. W twoich logach nic nie ma, a FindyKill niepotrzebnie ruszasz. To jest narzędzie pod konkretną infekcję - rootkit Bagle, a nie do tworzenia loga ot tak sobie.

Wykonaj kolejny skrypt do OTL: :OTL [2004-08-04 13:00:00 | 000,168,032 | RHS- | C] () -- C:\WINDOWS\System32\aunbdic.dll NetSvcs: wbnbhwhiy - File not found NetSvcs: kmdag - File not found NetSvcs: ooybokz - C:\WINDOWS\system32\aunbdic.dll () NetSvcs: tynxmrvm - C:\WINDOWS\system32\aunbdic.dll () NetSvcs: arcotz - C:\WINDOWS\system32\aunbdic.dll () NetSvcs: sxyeyeeoe - C:\WINDOWS\system32\aunbdic.dll () :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "4538:TCP"=- :Commands [emptytemp] Następnie wklej log z usuwania (powinien tworzyć się w notatniku) oraz nowe logi z OTL na dodatkowym warunku tak jak poprzednio.

Wykonaj jeszcze poniższe czynności. 1. Użyj opcji Sprzątanie w OTL. 2. Użyj opcji Vaccinate z USBFix w celu nałożenia zabezpieczenia. 3. Obowiązkowo zaktualizuj IE oraz Liska: INSTRUKCJE.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-1390067357-1303643608-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. :Files RECYCLER /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Zaprezentuj log z usuwania, który powinien otworzyć się w Notatniku.

Gdzie jest drugi log z OTL - extras.txt? Opcja Rejestr - skan dodatkowy ma być zaznaczona na Użyj filtrowania. Proszę ten log wykonać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\hgpndejl.sys -- (hgpndejl) :Files C:\WINDOWS\System32\aunbdic.dll :Services sxyeyeeoe :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wykonujesz nowy log z OTL na dodatkowych warunkach. W białym polu na dole wpisujesz netsvcs i klikasz w Skanuj. Pamiętaj też o zaznaczeniu opcji skanu dodatkowego jak napisałem wyżej. Prezentujesz powstałe logi. Z RootRepeal też wykonaj nowy.