Landuss

Oprogramowanie zabezpieczające proszę wyłączyć i wykonać powyższe logi tak jak pisałem. Formatów nie strzelaj tak bo to bez sensu, to można łatwo usunąć.

Ciężko powiedzieć o co może chodzić Kasperskyemu. To, że u siebie dostajesz taki komunikat to nie znaczy, że u wszystkich klientów odwiedzających stronę tak jest. To zależy od oprogramowania zabezpieczającego, sygnatur, baz danych. Kiedyś była taka infekcja iframe i nie wiem czy można to pod to podpasować bo dawno jej nie widzieliśmy. Na czym to polega? Pozwolę sobie zacytować pewną wypowiedź @picasso: Na początek proponuję zweryfikować stronę za pomocą narzędzi online - Unmask Parasites lub Wepawet. Wykonaj też skan za pomocą Malwarebytes Anti-Malware.

Zostawiłbym to i nic już tutaj nie ruszał. Często tak jest, że Gmer wykazuje szczątki po rootkicie, który kiedyś mógł być. Z tym już nic się nie robi bo to też nie jest w żaden sposób szkodliwe. Gdyby naprawde był rootkit Kaspersky TDSSKiller by to wykazał, zaś Gmer miałby taką linie: Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior; TDL4 <-- ROOTKIT !!! Generalnie jeżeli nie masz problemów z systemem to nie ma się czego obawiać.

Wejdź w start >>> w polu szukania wpisz uruchom >>> regedit do klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar i usuń tam ten ciąg jeśli będzie {D4027C7F-154A-4066-A1AD-4243D8127440} Możesz też ewentualnie wyszukać w rejestrze tą wartość i usunąć. Jest zawsze alternatywa - start >>> w pole szukania wpisujesz uruchom >>> cmd i wklepujesz SC DELETE sptd W kwestii XP i tego "rootkita" co pokazujesz na obrazku z MBAM to fałszywy alarm. To sterownik Kasperskyego i są takie w logu dwa do pary: DRV - File not found [Kernel | Unknown | Stopped] -- C:\WINDOWS\System32\DRIVERS\59242422.sys -- (59242422) DRV - [2009-09-25 16:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | Unknown | Running] -- C:\WINDOWS\system32\drivers\59242421.sys -- (59242421) Czyli nie należy się tym przejmować. Można zamontować skrypt usuwający drobne szczątki i to wykonaj. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Unknown | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | Unknown | Stopped] -- C:\DOCUME~1\On\LOCALS~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Unknown | Stopped] -- C:\WINDOWS\System32\DRIVERS\59242422.sys -- (59242422) O2 - BHO: (no name) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - No CLSID value found. O2 - BHO: (no name) - {E33CF602-D945-461A-83F0-819F76A199F8} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-746137067-1078081533-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKU\.DEFAULT..\RunOnce: [showDeskFix] File not found O4 - HKU\S-1-5-18..\RunOnce: [showDeskFix] File not found O4 - HKU\S-1-5-19..\RunOnce: [showDeskFix] File not found O4 - HKU\S-1-5-20..\RunOnce: [showDeskFix] File not found O20 - Winlogon\Notify\klogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O28 - HKLM ShellExecuteHooks: {4F07DA45-8170-4859-9B5F-037EF2970034} - Reg Error: Key error. File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Logów żadnych już nie musisz pokazywać. Na systemie XP zaktualizuj obowiązkowo IE do stanu Internet Explorer 8. Nawet jeśli nie korzystasz jest to wymagane.

Wszystko wygląda dobrze. Drobnostki na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z USBFix w celu nałożenia zabezpieczenia.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files $RECYCLE.BIN /alldrives RECYCLER /alldrives :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Wklej log z usuwania, który powinien się otworzyć w notatniku.

To co pokazujesz na obrazku to fałszywy alarm. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport. Dla pewności wykonaj też raport z Kaspersky TDSSKiller

Prosze wkleić wymagane tutaj logi z OTL + GMER lub RootRepeal w razie problemów.

Sporządź jeszcze log z rootkit detectora - GMER lub w razie problemów z RootRepeal z tego samego linka. W związku z infekcją z urządzenia przenośnego wskazane jest też abyś przy podpiętym urządzeniu wykonał log z USBFix z opcji Listing

Spróbuj jeszcze tak - Otwórz Notatnik i wklej do niego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule] "AtTaskMaxHours"=dword:00000048 "DisplayName"="@%SystemRoot%\\system32\\schedsvc.dll,-100" "Group"="SchedulerGroup" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\schedsvc.dll,-101" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,4c,00,6f,00,67,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,\ 00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,\ 65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,\ 65,00,72,00,73,00,6f,00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,\ 00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,\ 6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,\ 00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,\ 54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\ 00,53,00,65,00,52,00,65,00,73,00,74,00,6f,00,72,00,65,00,50,00,72,00,69,00,\ 76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 73,00,63,00,68,00,65,00,64,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,\ 00 "ServiceDllUnloadOnStop"=dword:00000001 "ServiceMain"="ServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\Enum] "0"="Root\\LEGACY_SCHEDULE\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj ten FIX.REG. Zrestartuj komputer i daj znać czy to coś pomogło.

W logach nic nie ma już naprawdę. Jeśli dałeś log RootRepeal to Gmer niepotrzebny bo on to samo widzi tak na przyszłość. Znam ten błąd. W Start > w polu szukania wpisz services.msc >>> z prawokliku Uruchom jako Administrator. Na liście usług wyszukaj usługę Harmonogram zadań. Sprawdź czy Typ uruchomienia to Automatyczny, a usługa jest w stanie jako zastartowana.

Wszystko wygląda dobrze. W takim razie tak jak wspominasz możesz już usunąć Qoobox oraz użyć opcji Sprzątanie z OTL. Wyzeruj też przywracanie systemu i to by było na tyle.

Loga z Gmer nie widzę żebyś wkleił. Wykonasz teraz skrypt usuwający drobne szczątki. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu) DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\blbdrive.sys -- (blbdrive) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\avfsfilter.sys -- (AVFSFilter) IE - HKU\S-1-5-21-2759657243-3996208387-2974778866-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search IE - HKU\S-1-5-21-2759657243-3996208387-2974778866-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" [2010-09-06 13:11:19 | 000,001,196 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\FireFox\Profiles\r6yd7ja3.default\searchplugins\winamp-search.xml O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found [2010-09-21 21:28:30 | 000,000,186 | ---- | M] () -- C:\Windows\Tasks\{940150C4-A3ED-4CF4-A613-A6AD96D7230B}.job [2010-10-29 20:53:41 | 000,000,186 | ---- | M] () -- C:\Windows\Tasks\{C555EFEE-A6D4-45C3-907B-45CB5D4BC69E}.job :Files C:\Users\user\AppData\Local\Temp*.html :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach brak śladu aktywnej infekcji.

Na dysk wejść ci nic nie powinno jeśli nie wchodziłeś w dyski przenośne. Rozpoczynamy usuwanie. Urządzenia mają być oczywiście podpięte. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives autorun.inf /alldrives reaipek.exe /alldrives reaipekx.exe /alldrives E:\New Folder.lnk E:\Passwords.lnk E:\Documents.lnk E:\Pictures.lnk E:\Music.lnk E:\Video.lnk F:\Pelusa.lnk F:\New Folder.lnk F:\Passwords.lnk F:\Documents.lnk F:\Pictures.lnk F:\Music.lnk F:\Video.lnk G:\$AVG.lnk $RECYCLE.BIN /alldrives G:\$RECYCLE.BIN.lnk G:\Allegro.pl.lnk G:\Asus.lnk G:\autorun.inf.lnk G:\Cambridge In Use.lnk G:\DO WYSLANIA.lnk G:\Documents.lnk G:\Filmy.lnk G:\Instalki.lnk G:\instrument.txt.lnk G:\LIST DO DIATTY.txt.lnk G:\LIST DO JAZYNY.txt.lnk G:\LIST DO MARYSI.txt.lnk G:\list od darii.txt.lnk G:\list od marysi.txt.lnk G:\Luis.lnk G:\Moje dokumenty.lnk G:\Music.lnk G:\Muzyka od Glosnika.lnk G:\Muzyka.lnk G:\Nagrania.lnk G:\New Folder.lnk G:\Passwords.lnk G:\Pictures.lnk G:\Sao Jose.lnk G:\Strona SooF.lnk G:\System Volume Information.lnk G:\São José-02.lnk G:\Ubezpieczenie EVS.lnk G:\Video.lnk G:\waino.exe G:\wainox.exe G:\Wilson.lnk G:\Wolontariat 2010.lnk G:\Zdjecia.lnk H:\zprud.exe H:\reaipek.exe H:\reaipekx.exe H:\clarice.lnk H:\VANJA.lnk H:\klade.lnk H:\MENINIKO.lnk H:\Doc. Diversos.lnk H:\Eduardo.lnk H:\FOUND.000.lnk H:\Animation.lnk H:\myfolder.lnk H:\Capa de Educaçao Física.doc.lnk H:\Joari-doc.lnk H:\CESJ.lnk H:\OS FIDALGOS.lnk H:\Liceu Jerico.lnk H:\Provas Extraordinarias.lnk H:\Programa Educacao Fisica.doc.lnk H:\Finalistas-2010.lnk H:\Docs.lnk H:\Curriculum Vitae Edmilson Lopes Sellu.doc.lnk H:\Prova II época.lnk H:\Joari-2.lnk H:\Windows XP SP3.lnk H:\Teste de Admissão-Jerico.lnk H:\Joao Manuel-Provas.lnk H:\CERTIFICADO DE PARTICIPAÇÃO.doc.lnk H:\Texos de Apoio.lnk H:\Timbrado.doc.lnk H:\Convite-02.doc.lnk H:\New Folder.lnk H:\Passwords.lnk H:\Documents.lnk H:\Pictures.lnk H:\Music.lnk H:\Video.lnk :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Pokazujesz nowy log z USBFix z tej samej opcji.

W awaryjnym też tak się dzieje? Spróbuj zrobić płytkę OTLPE i wykonaj logi.

W logach brak śladu aktywnej infekcji. Skonstruuje natomiast skrypt do OTL usuwający drobne szczątki i odchudzający autostart. System po tym zabiegu powinien szybciej się uruchamiać. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20101001.040\NAVEX15.SYS -- (NAVEX15) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20101001.040\NAVENG.SYS -- (NAVENG) FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search" FF - prefs.js..browser.search.defaultthis.engineName: "ArchiBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT144873&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Fast Browser Search" FF - prefs.js..browser.search.selectedEngine: "ArchiBar Customized Web Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT144873&q=" [2010-06-02 10:02:22 | 000,000,917 | ---- | M] () -- C:\Users\Claudia\AppData\Roaming\Mozilla\FireFox\Profiles\0uctyo78.default\searchplugins\conduit.xml [2009-10-22 17:12:55 | 000,005,407 | ---- | M] () -- C:\Users\Claudia\AppData\Roaming\Mozilla\FireFox\Profiles\0uctyo78.default\searchplugins\fast-browser-search.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found :Files C:\Users\Claudia\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"=- "ASUS Camera ScreenSaver"=- "ASUS Screen Saver Protector"=- "ATKOSD2"=- "CLMLServer"=- "ISUSScheduler"=- "nmapp"=- "nmctxth"=- "P2Go_Menu"=- "QPrinter 2.0 monitor"=- "SMSERIAL"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gadu-Gadu 10"=- "ISUSPM Startup"=- "Nokia.PCSync"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Do wglądu możesz pokazać log z usuwania.

Jedyne co tutaj jest wątpliwe to te wpisy od keyloggerów: O4 - HKLM..\Run: [rkfree] C:\Program Files\rkfree\rkfree.exe (Logixoft) O4 - HKLM..\Run: [sys32V2Contoller] C:\WINDOWS\mw2mmgr32\mw2mmgr32.exe File not found Pierwszy jest aktywny, zaś drugi wygląda na usunięty. Teraz pytanie czy to było tutaj montowane celowo? Znałem przypadki, ze tak dlatego pytam. Na razie tego nie ruszam do momentu wyjaśnienia. Generalnie w logach nie widzę śladu aktywnej infekcji. Cały problem może wynikać akurat nie z przyczyny infekcyjnej lecz również samego dysku. Można jednak zamontować skrypt usuwający drobne odpadki: :OTL RV - File not found [On_Demand | Stopped] -- C:\Program Files\Firebird\Firebird_2_1\bin\fbserver.exe -- (FirebirdServerDefaultInstance) SRV - File not found [Auto | Stopped] -- C:\Program Files\Firebird\Firebird_2_1\bin\fbguard.exe -- (FirebirdGuardianDefaultInstance) DRV - File not found [Kernel | Auto | Stopped] -- C:\windows\System32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | System | Stopped] -- C:\windows\System32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- C:\windows\System32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- C:\windows\System32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MediaCoder Audio Edition\SysInfo.sys -- (CrystalSysInfo) O4 - HKU\S-1-5-21-796845957-343818398-725345543-1004..\Run: [Google Update] C:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe File not found :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Andrzej\Ustawienia lokalne\Temp\~os14.tmp\rlvknlg.exe"=- "C:\Program Files\RelevantKnowledge\rlvknlg.exe"=- "C:\Program Files\SopCast\adv\SopAdver.exe"=- Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Możesz zaprezentować log z usuwania.

W porządku, wykonaj jeszcze poniższe zalecenia. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj skan przez Malwarebytes Anti-Malware 3. Zaktualizuj poniższe oprogramowanie: "{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java 6 Update 21 "Adobe Acrobat 5.0" = Adobe Acrobat 5.0 "Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8) Szczegóły i linki pobierania tutaj: INSTRUKCJE.

Spróbuj w trybie awaryjnym, może się uda. Napisałem ci wyżej. Podpinasz dysk i dajesz log z USBFix z opcji Listing.

No a gdzie nowe logi? Wykonaj i wklej bo samo się nie zrobi.

Rzeczywiście nie jest dobrze. W tej sytuacji uruchom ComboFix i wklej wynikowy log.

Niestety jest infekcja. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys -- (hwdatacard) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://searchhub.eu/?ih=&hl=pl" FF - HKLM\software\mozilla\Firefox\extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\2.bin File not found [2010-10-05 22:30:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Acer\Dane aplikacji\Mozilla\Firefox\Profiles\hojeydwx.default\extensions\support@searchhub.eu O4 - HKCU..\Run: [cacaoweb] C:\Program Files\cacaoweb\cacaoweb.exe () O4 - HKCU..\Run: [cdoosoft] C:\DOCUME~1\Acer\USTAWI~1\Temp\herss.exe File not found O4 - HKCU..\Run: [RegistryBooster] C:\Program Files\Uniblue\RegistryBooster\launcher.exe File not found O4 - HKCU..\Run: [updateMyDrivers] C:\UpdateMyDrivers.exe File not found :Files C:\Program Files\cacaoweb :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Program Files\cacaoweb\cacaoweb.exe"=- :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Tak da się, to nie ma żadnego znaczenia jaki jest system. Po tych czynnościach daj znać czy coś się zmieniło. Moim zdaniem powinno.

To by było na tyle z usuwania. Wykonaj jeszcze poniższe ważne czynności. 1. Użyj opcji Sprzątanie z OTL - to usunie program i jego kwarantanne. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Przeskanuj dysk za pomocą Malwarebytes Anti-Malware 4. Wykonaj obowiązkową aktualizację Windowsa oraz Internet Explorera nawet jeśli z niej nie korzystasz: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Service Pack 3 + Internet Explorer 8