Widać tu między innymi rootkita:
DRV - [2010/05/17 17:12:46 | 000,000,000 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\nvgubxm.sys -- (nvgubxm)
Czyli sprawa infekcyjna więc zabieramy się za usuwanie.
1. Skonstruuj skrypt tekstowy, który zostanie załadowany w OTLPE. Otwórz Notatnik i wklej w nim:
:Files
C:\WINDOWS\System32\fjhdyfhsn.bat
C:\WINDOWS\system32\drivers\nvgubxm.sys
C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
C:\Documents and Settings\NetworkService\Dane aplikacji\qvjsge.dat
C:\Documents and Settings\dom\Menu Start\Programy\Autostart\wwwzuc32.exe
:Services
nvgubxm
:OTL
O2 - BHO: (no name) - {A20854FD-DDB5-4931-8F76-D11EA2364D94} - No CLSID value found.
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
O4 - Startup: C:\Documents and Settings\dom\Menu Start\Programy\Autostart\wwwzuc32.exe (Ghisler Software GmbH)
:Commands
[emptytemp]
Plik zapisz pod nazwą FIX.TXT
2. Plik FIX.TXT umieść na pendrive lub innym urządzeniu przenośnym, które może być podpięte do komputera.
3. Podpinasz urządzenie przenośne startujesz z płyty OTLPE.
4. Uruchamiasz z Pulpitu program OTLPE zgodnie ze wskazówkami montując rejestr. Klikasz w Run Fix. Zostanie zgłoszony komunikat o braku skryptu i wtedy wskazujesz plik o nazwie FIX.TXT. OTLPE wykona zadanie i poda log, który zachowasz bo będziesz go prezentował.
5. Wykonujesz restart komputera. Jeśli całe zadanie się uda, system Windows zastartuje prawidłowo.
6. Wytwarzasz z poziomu systemu już normalny log z OTL + GMER. Dołączasz także log z OTLPE powstały z czyszczenia.
.