Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=irtest1" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112454&tt=220512_53all&babsrc=SP_ss&mntrId=166c1e71000000000000002618d91e35" IE - HKCU\..\SearchScopes\{9913A0AD-24F3-4BFE-89DF-4A9BB5C07D69}: "URL" = "http://search.softonic.com/MON00005/tb_v1?q={searchTerms}&SearchSource=4&cc=" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=112454&tt=220512_53all&babsrc=KW_ss&mntrId=166c1e71000000000000002618d91e35&q=" [2012-05-27 09:00:26 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Slawek\AppData\Roaming\mozilla\Firefox\Profiles\ummca3mg.default\extensions\ffxtlbr@babylon.com [2012-05-27 12:49:49 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\Slawek\AppData\Roaming\mozilla\Firefox\Profiles\ummca3mg.default\extensions\plugin@yontoo.com [2012-05-27 12:49:44 | 000,001,801 | ---- | M] () -- C:\Users\Slawek\AppData\Roaming\Mozilla\Firefox\Profiles\ummca3mg.default\searchplugins\funmoods.xml [2012-05-27 09:00:46 | 000,002,060 | ---- | M] () -- C:\Users\Slawek\AppData\Roaming\Mozilla\Firefox\Profiles\ummca3mg.default\searchplugins\softonic.xml O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\Slawek\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [wmcodecdspps] C:\Users\Slawek\AppData\Local\Microsoft\Windows\2420\wmcodecdspps.exe () :Files C:\Users\Slawek\AppData\Local\Temp*.html C:\Users\Slawek\M-10-6897-8685-3464 C:\Users\Slawek\AppData\Roaming\hellomoto C:\Users\Slawek\AppData\Local\Microsoft\Windows\2420 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Yontoo 1.10.02 / Babylon toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie wstawiaj logów na tego typu hostingach gdzie jeszcze kod trzeba przepisywać. Masz o tego opcję załączniki na forum. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDyEyDzz0AtCzy0EyCzytAtN0D0Tzu0StBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1543338681" IE:64bit: - HKLM\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDyEyDzz0AtCzy0EyCzytAtN0D0Tzu0StBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1543338681" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDyEyDzz0AtCzy0EyCzytAtN0D0Tzu0StBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1543338681" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://searchya.com/?chnl=dcom-100&s=1&cr=914423506&cd=2XzutAtN2Y1L1QzutN0D0TzutBtDtCtBtDyCtDtC&q=" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKLM\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDyEyDzz0AtCzy0EyCzytAtN0D0Tzu0StBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1543338681" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDyEyDzz0AtCzy0EyCzytAtN0D0Tzu0StBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1543338681" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=bf2&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&babsrc=SP_ss_cr&mntrId=9e77e693000000000000002185948066" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKCU\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDyEyDzz0AtCzy0EyCzytAtN0D0Tzu0StBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1543338681" IE - HKCU\..\SearchScopes\94A2AE90-7B04-4CE9-92A8-E74303397600: "URL" = "http://searchya.com/?chnl=dcom-100&s=1&cr=914423506&cd=2XzutAtN2Y1L1QzutN0D0TzutBtDtCtBtDyCtDtC&q={searchTerms}" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4:64bit: - HKLM..\Run: [EmpoweringTechnology] C:\Program Files\Acer\Empowering Technology\Framework.Launcher.exe boot File not found O4 - HKCU..\Run: [sqlncli] C:\Users\operator\AppData\Local\Microsoft\Windows\2675\sqlncli.exe () :Files C:\Users\operator\AppData\Local\Temp*.html C:\Users\operator\AppData\Roaming\hellomoto C:\Users\operator\AppData\Local\Microsoft\Windows\2675 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / DAEMON Tools Toolbar / DealPly / Facemoods Toolbar / free-downloads.net Toolbar / Funmoods Web Search / I Want This / Reganam Toolbar / SearchYa Toolbar on IE and Chrome / ShopperReports / Winamp Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Toolbar / Funmoods / Facemoods / DealPly / I Want This 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Duh\LOCALS~1\Temp\catchme.sys -- (catchme) [2012-02-02 11:41:26 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Duh\Application Data\Mozilla\Firefox\Profiles\myi50er0.default\searchplugins\sweetim.xml O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKU\S-1-5-21-1606980848-2077806209-839522115-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [TSTheme] C:\Documents and Settings\Duh\Local Settings\Application Data\Microsoft\Windows\2952\TSTheme.exe () :Files C:\Documents and Settings\Duh\Application Data\hellomoto C:\Documents and Settings\Duh\Local Settings\Application Data\Microsoft\Windows\2952 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.4 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Niestety na tym systemie jest jeszcze trojan ZeroAccess. Potrzebny raport uzupełniający. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://domredi.com/1/" IE - HKCU\..\URLSearchHook: {9384bd4c-dd14-4be9-80f7-f6277511e4f5} - No CLSID value found IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1066435" FF - prefs.js..browser.startup.homepage: "http://domredi.com/1/" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {9384BD4C-DD14-4BE9-80F7-F6277511E4F5} - No CLSID value found. O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\t\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [serialui] C:\Users\t\AppData\Local\Microsoft\Windows\685\serialui.exe () :Files C:\Users\t\M-10-6897-8685-3464 C:\Users\t\AppData\Roaming\hellomoto C:\Users\t\AppData\Local\Microsoft\Windows\685 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3529812568-2476480997-3760517529-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=110000&babsrc=HP_ss&mntrId=1ea1716e0000000000001a4bd6a0a85a" IE - HKU\S-1-5-21-3529812568-2476480997-3760517529-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=1ea1716e0000000000001a4bd6a0a85a" IE - HKU\S-1-5-21-3529812568-2476480997-3760517529-1000\..\SearchScopes\{B94833D1-922C-4E0E-A465-C0ABC56C0528}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=71D4FF54-7785-481F-9868-97C6190C9431&apn_sauid=70EF3971-C019-4697-B669-EF55C3DDBACC" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=110000&babsrc=HP_ss&mntrId=1ea1716e0000000000001a4bd6a0a85a" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.3.0244 FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 [2011-04-23 08:26:32 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Damian\AppData\Roaming\mozilla\Firefox\Profiles\4zysrcxe.default\extensions\DTToolbar@toolbarnet.com [2012-02-12 10:41:54 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3529812568-2476480997-3760517529-1000..\Run: [] File not found O4 - HKU\S-1-5-21-3529812568-2476480997-3760517529-1000..\Run: [Microsoft Windows Manager] C:\Users\Damian\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-3529812568-2476480997-3760517529-1000..\Run: [TabbtnEx] C:\Users\Damian\AppData\Local\Microsoft\Windows\4665\TabbtnEx.exe () :Files C:\Users\Damian\AppData\Local\Temp*.html C:\Users\Damian\M-10-6897-8685-3464 C:\Users\Damian\AppData\Roaming\hellomoto C:\Users\Damian\AppData\Local\Microsoft\Windows\4665 :Reg [HKEY_USERS\S-1-5-21-3529812568-2476480997-3760517529-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Babylon toolbar on IE / DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-3894080676-3054358842-2607150260-1000..\Run: [sMBHelper] C:\Users\User\AppData\Local\Microsoft\Windows\4481\SMBHelper.exe () :Files C:\Users\User\AppData\Roaming\hellomoto C:\Users\User\M-10-6897-8685-3464 C:\Users\User\AppData\Local\Microsoft\Windows\4481 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Mimo wszystko wykonaj to co napisałem i wklej nowe logi z OTL. To nie koniec zaleceń.

Gdzie on to widzi? W jakiej lokalizacji i na jakim pliku?

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found O4 - HKCU..\Run: [defskvebfbgvcxd] C:\Documents and Settings\All Users\Dane aplikacji\defskveb.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\itbmsyknfgbgrve C:\Documents and Settings\All Users\Dane aplikacji\hxptjjmibvsvekq C:\Documents and Settings\Mateusz\ms.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

O ComboFix to zapomnij jak najszybciej. Wcale nie trzeba tego używać by usunąć ZeroAccess. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Wykonane, klik w Sprzątanie w OTL. Hmm... skrypt miał za zadanie usunąć ewentualną blokadę widoczności. A czy na pewno przestawiasz dobre opcje aby uwidocznić obiekty?

Najpierw wykonaj skrypt a potem deinstaluj to co pisałem. Nie powinno być blokady bo skrypt ma za zadanie ją usunąć. Pokaż nowy log z OTL ze skanowania.

Rootkit poprawnie usunięty. Wykonaj na koniec: 1. Opróżnij przywracanie systemu: KLIK 2. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 7.0.5 - Polish Szczegóły aktualizacyjne: KLIK

Wszystko usunięte jak trzeba. Przejdź do kroków końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

USBFix spróbuj stąd pobrać: http://www.cybertrash.pl/Tata/USBFix/USBFix.html

W logach brak śladów infekcji, żadnego keyloggera też nie widać. To proces systemowy, bez niego Windows nie ma prawa startu. Wykonaj tylko kosmetykę: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=c733e54f-c925-11e1-95af-f04405b5210a" IE - HKU\S-1-5-21-2495847213-2601262595-933348279-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=c733e54f-c925-11e1-95af-f04405b5210a" IE - HKU\S-1-5-21-2495847213-2601262595-933348279-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=c733e54f-c925-11e1-95af-f04405b5210a&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=2&cf=c733e54f-c925-11e1-95af-f04405b5210a" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=c733e54f-c925-11e1-95af-f04405b5210a&q=" [2012-07-08 19:53:28 | 000,000,792 | ---- | M] () -- C:\Users\Greg\AppData\Roaming\Mozilla\Firefox\Profiles\n9kb875t.default\searchplugins\startsear.xml [2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: LiveVDO plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcdnsu.sys -- (nmwcdnsu) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\easytthr.sys -- (easytether) IE - HKU\S-1-5-21-4192319393-1702428328-1919773330-1006\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=8228b8ee-2f9b-11e1-8f1b-002269ccf2e5&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search" FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2010-09-07 18:52:06 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Samsung\Application Data\mozilla\Firefox\Profiles\2gtlwein.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2008-01-24 13:55:02 | 000,002,920 | ---- | M] () -- C:\Documents and Settings\Samsung\Application Data\Mozilla\Firefox\Profiles\2gtlwein.default\searchplugins\daemon-search.xml [2009-12-20 23:46:34 | 000,005,413 | ---- | M] () -- C:\Documents and Settings\Samsung\Application Data\Mozilla\Firefox\Profiles\2gtlwein.default\searchplugins\fast-browser-search.xml [2011-12-26 10:28:05 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Samsung\Application Data\Mozilla\Firefox\Profiles\2gtlwein.default\searchplugins\startsear.xml [2011-03-05 19:33:29 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Samsung\Application Data\Mozilla\Firefox\Profiles\2gtlwein.default\searchplugins\web-search.xml [2010-09-06 21:24:19 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Samsung\Application Data\Mozilla\Firefox\Profiles\2gtlwein.default\searchplugins\winamp-search.xml [2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKU\S-1-5-21-4192319393-1702428328-1919773330-1006\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found. O3 - HKU\S-1-5-21-4192319393-1702428328-1919773330-1006\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-4192319393-1702428328-1919773330-1006\..\Toolbar\WebBrowser: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - No CLSID value found. O4 - HKLM..\Run: [sdchange] C:\Documents and Settings\Samsung\Local Settings\Application Data\Microsoft\Windows\191\sdchange.exe () :Files C:\Documents and Settings\Samsung\Application Data\hellomoto C:\Documents and Settings\Samsung\Local Settings\Application Data\Microsoft\Windows\191 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: LiveVDO plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Masz trojana ZeroAccess. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Nero\Nero 7\InCD\NBHRegInCDSrv.exe -- (NeroRegInCDSrv) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\tufhs.dll -- (hmutjz) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbVM305.sys -- (ZSMC0305) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.foxtab.com/?s=0&chnl=dcom&cd=2XzutBtN2Y1L1QzutDtDyDtAyEyDtDtDtDtDtDtDzy0EyC0EyEtN0D0TzutBtDtCtCtDzztCtC&cr=739079963 IE - HKLM\..\SearchScopes,DefaultScope = {36668FFD-7809-43FB-A609-999C5A7AB5FE}" IE - HKLM\..\SearchScopes\{36668FFD-7809-43FB-A609-999C5A7AB5FE}: "URL" = "http://search.foxtab.com/?q={searchTerms}&s=1&chnl=dcom&cd=2XzutBtN2Y1L1QzutDtDyDtAyEyDtDtDtDtDtDtDzy0EyC0EyEtN0D0TzutBtDtCtCtDzztCtC&cr=739079963" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT3031817" IE - HKCU\..\URLSearchHook: {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - No CLSID value found IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=1596C22B-CB82-41D4-B119-BF5D48F23056&apn_sauid=B40E1214-9F7D-4841-AE88-8D6A9F551FDA" IE - HKCU\..\SearchScopes\{36668FFD-7809-43FB-A609-999C5A7AB5FE}: "URL" = "http://search.foxtab.com/?q={searchTerms}&s=1&chnl=dcom&cd=2XzutBtN2Y1L1QzutDtDyDtAyEyDtDtDtDtDtDtDzy0EyC0EyEtN0D0TzutBtDtCtCtDzztCtC&cr=739079963" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "SFT_Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT3031817&SearchSource=13" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.0.19 FF - prefs.js..extensions.enabledItems: dealio@mybrowserbar.com:4.6 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.6 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=2&q=" [2012-07-30 16:55:30 | 000,002,299 | ---- | M] () -- C:\Documents and Settings\kamil\Dane aplikacji\Mozilla\Firefox\Profiles\fjkmnric.default\searchplugins\askcom.xml [2011-08-04 10:31:04 | 000,000,923 | ---- | M] () -- C:\Documents and Settings\kamil\Dane aplikacji\Mozilla\Firefox\Profiles\fjkmnric.default\searchplugins\conduit.xml [2009-11-23 22:03:36 | 000,002,395 | ---- | M] () -- C:\Documents and Settings\kamil\Dane aplikacji\Mozilla\Firefox\Profiles\fjkmnric.default\searchplugins\daemon-search.xml [2011-08-11 19:14:13 | 000,005,423 | ---- | M] () -- C:\Documents and Settings\kamil\Dane aplikacji\Mozilla\Firefox\Profiles\fjkmnric.default\searchplugins\Foxtab Web Search.xml [2011-01-23 14:40:49 | 000,001,244 | ---- | M] () -- C:\Documents and Settings\kamil\Dane aplikacji\Mozilla\Firefox\Profiles\fjkmnric.default\searchplugins\winamp-search.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [RavTimeXP] C:\WINDOWS\Mstray.exe File not found O4 - HKLM..\Run: [systemcpl] C:\Documents and Settings\kamil\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\66\systemcpl.exe () O4 - HKCU..\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater\AdobeUpdater.exe File not found O4 - HKCU..\Run: [amva] C:\WINDOWS\system32\amvo.exe File not found O4 - HKCU..\Run: [cdoosoft] C:\DOCUME~1\kamil\USTAWI~1\Temp\herss.exe File not found O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Documents and Settings\kamil\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.lnk File not found O4 - HKCU..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\kamil\Ustawienia lokalne\Dane aplikacji\smss.exe" File not found :Files E:\autorun.inf C:\Documents and Settings\kamil\*.exe C:\Documents and Settings\kamil\67134e6300015649 C:\Documents and Settings\kamil\M-10-6897-8685-3464 C:\Documents and Settings\kamil\Dane aplikacji\hellomoto C:\Documents and Settings\kamil\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\66 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Conduit Engine / DAEMON Tools Toolbar / DVDVideoSoftTB Toolbar Otwórz Firefox i w Dodatkach odmontuj: Winamp Toolbar / SFT_Polska Community Toolbar / Mario Forever Community Toolbar / DVDVideoSoftTB Community Toolbar / Vuze Remote Community Toolbar / Conduit Engine / Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jeszcze jeden skrypt wykonaj. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=110819&tt=3212_4&babsrc=HP_ss&mntrId=080967d300000000000060fb42f9c84a" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=3212_4&babsrc=KW_ss&mntrId=080967d300000000000060fb42f9c84a&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Web Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}" :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={220EED2E-6E34-4209-B822-9A3892648F97}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=c8bf5774000000000000f67bcb8132fe&tlver=1.4.19.19&affID=17160" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={220EED2E-6E34-4209-B822-9A3892648F97}" IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\InprocServer32 File not found IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=c8bf5774000000000000f67bcb8132fe&tlver=1.4.19.19&affID=17160" IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={220EED2E-6E34-4209-B822-9A3892648F97}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.1010000&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012/07/30 19:16:27 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Paulina Koko\AppData\Roaming\mozilla\Firefox\Profiles\rxajjdzy.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012/07/30 14:26:42 | 000,000,000 | ---D | M] (SweetPacks Toolbar for Firefox) -- C:\Users\Paulina Koko\AppData\Roaming\mozilla\Firefox\Profiles\rxajjdzy.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2012/07/30 14:26:50 | 000,004,002 | ---- | M] () -- C:\Users\Paulina Koko\AppData\Roaming\Mozilla\Firefox\Profiles\rxajjdzy.default\searchplugins\sweetim.xml [2011/06/02 22:26:05 | 000,002,423 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [uIAnimation] C:\Users\Paulina Koko\AppData\Local\Microsoft\Windows\848\UIAnimation.exe () O4 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1001..\Run: [AdobeBridge] File not found :Files C:\Users\Paulina Koko\AppData\Roaming\hellomoto C:\Users\Paulina Koko\AppData\Local\Microsoft\Windows\848 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks / pdfforge Toolbar v1.1.2 / Babylon toolbar / uTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\wudfrd.sys -- (WudfRd) DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\system32\WudfPf.sys -- (WudfPf) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) IE - HKU\S-1-5-21-515967899-1993962763-1417001333-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=e41e467c00000000000000265e49bc29" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=e41e467c00000000000000265e49bc29&tlver=1.4.35.10&affID=100474" [2011-09-08 18:16:27 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [xzfpgmopevjzyub] C:\Documents and Settings\All Users\Application Data\xzfpgmop.exe (Intel) O4 - HKU\S-1-5-21-515967899-1993962763-1417001333-1002..\Run: [xzfpgmopevjzyub] C:\Documents and Settings\All Users\Application Data\xzfpgmop.exe (Intel) :Files C:\Documents and Settings\All Users\Application Data\smzxodwxeqcyjqw C:\Documents and Settings\All Users\Application Data\vevsdiucwhlzere C:\Documents and Settings\All Users\Application Data\fkvepoaj.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-515967899-1993962763-1417001333-1002\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu sterowania odinstaluj śmiecia RelevantKnowledge 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [obuhmkxqeflxbff] C:\Documents and Settings\All Users\Dane aplikacji\obuhmkxq.exe () O4 - HKU\S-1-5-21-1297221847-1997709127-2785810652-1005..\Run: [obuhmkxqeflxbff] C:\Documents and Settings\All Users\Dane aplikacji\obuhmkxq.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\noopubfyeaewmba C:\Documents and Settings\All Users\Dane aplikacji\qgkgnghdwnnbhyi C:\Documents and Settings\All Users\Dane aplikacji\tvmmisdl.exe C:\Documents and Settings\All Users\Dane aplikacji\fbfszirp.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Ale tego loga nie mogę odczytać, same krzaki (usuwam załącznik). Jeszcze raz go załącz...