Kolejny biedny komputer zatkany przez UKASH :/

[Patronius]

Witam serdecznie, mój komp jest kolejną ofiarą tego badziewnego UKASHa :/

bardzo proszę o pomoc, z góry dziękuję.

Extras.Txt

OTL.Txt

[picasso]

Logi z OTL robione z poziomu złego konta, wbudowanego w system Administratora:

 

Computer Name: PATRONIKUS | User Name: Administrator | Logged in as Administrator.

 

Rejestry kont i foldery są różne = różne logi.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [cahqwghguzfmucj] C:\Documents and Settings\All Users\Dane aplikacji\cahqwghg.exe (Brother)
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\xnbyetpouuylfye
C:\Documents and Settings\All Users\Dane aplikacji\ejxpxyntmlhmavm
C:\Documents and Settings\All Users\Dane aplikacji\dhfffxifcikqris
C:\Documents and Settings\All Users\Dane aplikacji\*.exe
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. Loguj się na właściwe konto.

 

2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[Patronius]

oki, zatem to jest nowy log z OTL:

 

 

OTL logfile created on: 2012-07-15 19:19:26 - Run 2

OTL by OldTimer - Version 3.2.54.0 Folder = C:\

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

622,98 Mb Total Physical Memory | 210,49 Mb Available Physical Memory | 33,79% Memory free

1,49 Gb Paging File | 1,16 Gb Available in Paging File | 77,75% Paging File free

Paging file location(s): C:\pagefile.sys 936 1872 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 9,77 Gb Total Space | 1,54 Gb Free Space | 15,74% Space Free | Partition Type: NTFS

Drive D: | 15,44 Gb Total Space | 0,74 Gb Free Space | 4,77% Space Free | Partition Type: NTFS

 

Computer Name: PATRONIKUS | User Name: P@tronikus | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

========== Processes (SafeList) ==========

 

PRC - [2012-07-15 12:00:09 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\OTL.exe

PRC - [2012-05-15 11:17:40 | 000,425,984 | ---- | M] (ESET, spol. s r.o.) -- C:\Program Files\Eset\UpdateReminder.exe

PRC - [2012-05-15 10:08:06 | 000,949,376 | ---- | M] (Eset ) -- C:\Program Files\Eset\nod32kui.exe

PRC - [2012-05-15 10:08:06 | 000,552,064 | ---- | M] (Eset ) -- C:\Program Files\Eset\nod32krn.exe

PRC - [2012-05-11 09:33:50 | 000,924,600 | ---- | M] (Mozilla Corporation) -- C:\Program Files\Mozilla Firefox\firefox.exe

PRC - [2012-04-17 17:19:40 | 003,671,872 | ---- | M] (DT Soft Ltd) -- C:\Program Files\DAEMON Tools Lite\DTLite.exe

PRC - [2008-04-15 00:51:46 | 000,082,944 | ---- | M] (IBM Corporation) -- C:\WINDOWS\system32\tp4mon.exe

PRC - [2008-04-14 22:51:18 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

 

 

========== Modules (No Company Name) ==========

 

MOD - [2012-07-15 09:31:47 | 009,465,032 | ---- | M] () -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_265.dll

MOD - [2012-05-11 09:33:48 | 001,952,696 | ---- | M] () -- C:\Program Files\Mozilla Firefox\mozjs.dll

 

 

========== Win32 Services (SafeList) ==========

 

SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)

SRV - [2012-07-15 09:31:51 | 000,250,056 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)

SRV - [2012-05-15 10:08:06 | 000,552,064 | ---- | M] (Eset ) [Auto | Running] -- C:\Program Files\Eset\nod32krn.exe -- (NOD32krn)

SRV - [2012-05-11 09:33:51 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)

 

 

========== Driver Services (SafeList) ==========

 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)

DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)

DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)

DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)

DRV - File not found [Kernel | System | Stopped] -- -- (Changer)

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a2y76wrs)

DRV - [2012-06-09 08:18:36 | 000,477,240 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

DRV - [2012-05-15 10:08:07 | 000,512,096 | ---- | M] (Eset ) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\amon.sys -- (AMON)

DRV - [2012-05-15 10:08:06 | 000,015,424 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\nod32drv.sys -- (nod32drv)

DRV - [2010-01-06 05:31:32 | 001,714,176 | R--- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\athuw.sys -- (AR9271)

DRV - [2008-04-14 00:06:02 | 000,231,552 | ---- | M] (Acer Laboratories Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ac97ali.sys -- (aliadwdm)

DRV - [2005-05-25 22:59:12 | 001,133,056 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)

DRV - [2001-08-17 23:48:14 | 000,011,520 | ---- | M] (IBM Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\TwoTrack.sys -- (TwoTrack)

 

 

========== Standard Registry (SafeList) ==========

 

 

========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

========== FireFox ==========

 

FF - user.js - File not found

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_265.dll ()

FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2321: C:\Program Files\Real Alternative\browser\plugins\nppl3260.dll (RealNetworks, Inc.)

FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1483: C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll (RealNetworks, Inc.)

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012-05-11 09:33:51 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins

 

[2012-03-28 08:04:58 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\P@tronikus\Dane aplikacji\Mozilla\Extensions

[2012-05-08 18:32:37 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\P@tronikus\Dane aplikacji\Mozilla\Firefox\Profiles\nx5qcc68.default\extensions

[2012-03-28 08:04:38 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions

[2012-05-11 09:33:51 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll

[2012-03-13 07:36:36 | 000,002,767 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\allegro-pl.xml

[2012-03-13 07:36:36 | 000,001,406 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fbc-pl.xml

[2012-03-13 07:36:36 | 000,000,917 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\merlin-pl.xml

[2012-03-13 07:36:36 | 000,000,858 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\pwn-pl.xml

[2012-03-13 07:36:36 | 000,001,183 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-pl.xml

[2012-03-13 07:36:36 | 000,001,683 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wp-pl.xml

 

O1 HOSTS File: ([2011-12-22 16:11:00 | 000,000,732 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

O4 - HKLM..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe (Eset )

O4 - HKLM..\Run: [TrackPointSrv] C:\WINDOWS\System32\tp4mon.exe (IBM Corporation)

O4 - HKLM..\Run: [updateReminder] C:\Program Files\Eset\UpdateReminder.exe (ESET, spol. s r.o.)

O4 - HKCU..\Run: [cahqwghguzfmucj] C:\Documents and Settings\All Users\Dane aplikacji\cahqwghg.exe File not found

O4 - HKCU..\Run: [ChomikBox] C:\Program Files\ChomikBox\chomikbox.exe ( )

O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)

O4 - HKCU..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\P@tronikus\Ustawienia lokalne\Dane aplikacji\smss.exe" File not found

O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\System32\imon.dll (Eset )

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINDOWS\System32\imon.dll (Eset )

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINDOWS\System32\imon.dll (Eset )

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\WINDOWS\System32\imon.dll (Eset )

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\WINDOWS\System32\imon.dll (Eset )

O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\WINDOWS\System32\imon.dll (Eset )

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\eksplorasi.exe") - File not found

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)

O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)

O24 - Desktop Components:0 (Moja bieżąca strona główna) - About:Home

O24 - Desktop WallPaper: C:\Documents and Settings\P@tronikus\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Documents and Settings\P@tronikus\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2012-05-15 10:12:38 | 000,000,007 | -HS- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O33 - MountPoints2\{e59e5310-abe4-11e1-b74c-92c680d55d29}\Shell - "" = AutoRun

O33 - MountPoints2\{e59e5310-abe4-11e1-b74c-92c680d55d29}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Toshiba Places.html

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

 

========== Files/Folders - Created Within 30 Days ==========

 

[2012-07-15 18:52:59 | 000,000,000 | ---D | C] -- C:\_OTL

[2012-07-15 13:10:10 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\OTL.exe

[2012-07-15 13:10:09 | 000,000,000 | ---D | C] -- C:\AdwCleaner Version1.700

[2012-06-26 20:12:14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\P@tronikus\Pulpit\Scan

[2012-06-13 17:07:52 | 000,123,392 | ---- | C] (Brother) -- C:\Documents and Settings\P@tronikus\ms.exe

 

========== Files - Modified Within 30 Days ==========

 

[2012-07-15 18:59:57 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2012-07-15 12:32:47 | 000,266,208 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2012-07-15 12:00:09 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\OTL.exe

[2012-07-15 11:13:13 | 000,123,392 | ---- | M] (Brother) -- C:\Documents and Settings\P@tronikus\ms.exe

[2012-07-15 09:31:53 | 000,000,930 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job

[2012-07-15 09:31:50 | 000,426,184 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe

[2012-07-15 09:31:49 | 000,070,344 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl

[2012-07-14 09:34:21 | 000,000,012 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\ReminderNextRun

[2012-07-14 01:02:39 | 000,040,448 | ---- | M] () -- C:\Documents and Settings\P@tronikus\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2012-07-13 20:59:01 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

 

========== Files Created - No Company Name ==========

 

[2012-06-13 17:08:17 | 000,000,052 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\dhfffxifcikqris

[2012-06-01 17:22:50 | 001,594,545 | ---- | C] () -- C:\WINDOWS\WANEUninstaller.exe

[2012-05-15 11:17:42 | 000,000,012 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ReminderNextRun

[2012-05-15 10:09:09 | 000,015,424 | ---- | C] () -- C:\WINDOWS\System32\drivers\nod32drv.sys

[2012-05-15 09:42:56 | 000,012,393 | ---- | C] () -- C:\Documents and Settings\P@tronikus\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin

[2011-11-04 21:03:34 | 000,040,448 | ---- | C] () -- C:\Documents and Settings\P@tronikus\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2011-10-29 15:40:03 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini

[2011-10-29 15:40:01 | 000,790,528 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll

[2011-10-29 15:40:01 | 000,134,144 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll

[2011-10-29 15:40:00 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll

[2011-10-29 15:28:21 | 000,165,376 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll

[2011-10-29 10:52:50 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat

[2011-10-29 10:43:01 | 000,021,856 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

[2011-10-29 01:40:15 | 000,004,293 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2011-10-29 01:38:44 | 000,266,208 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

< End of report >

 

a oto log z usuwania OTL:

 

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\cahqwghguzfmucj deleted successfully.

C:\Documents and Settings\All Users\Dane aplikacji\cahqwghg.exe moved successfully.

========== FILES ==========

C:\Documents and Settings\All Users\Dane aplikacji\xnbyetpouuylfye folder moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\ejxpxyntmlhmavm moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\dhfffxifcikqris moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\glgqnaxy.exe moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\krrricbt.exe moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\mzjeyajq.exe moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\nysyuzme.exe moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\qtixdhok.exe moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\sbletqif.exe moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\xvdbagqk.exe moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\ywwhuysp.exe moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 93219 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->FireFox cache emptied: 5870292 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: P@tronikus

->Temp folder emptied: 512496331 bytes

->Temporary Internet Files folder emptied: 24702330 bytes

->FireFox cache emptied: 278887742 bytes

->Flash cache emptied: 12234 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2352022 bytes

%systemroot%\System32 .tmp files removed: 2596 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 5628150 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 792,00 mb

 

 

OTL by OldTimer - Version 3.2.54.0 log created on 07152012_185259

 

Files\Folders moved on Reboot...

 

PendingFileRenameOperations files...

 

Registry entries deleted on Reboot...

[picasso]

Na przyszłość: logi proszę dołączać przez załączniki lub ewentualnie via wklej.org. Poprzednie zadanie wprawdzie wykonane, ale zalogowanie na właściwe konto ujawniło kolejne obiekty infekcji, w tym o wiele więcej śladów starszej infekcji Brontok (poprzednio widzialny tylko modyfikowany plik HOSTS). Powtórka:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKCU..\Run: [cahqwghguzfmucj] C:\Documents and Settings\All Users\Dane aplikacji\cahqwghg.exe File not found
O4 - HKCU..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\P@tronikus\Ustawienia lokalne\Dane aplikacji\smss.exe" File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\eksplorasi.exe") - File not found
[2012-07-15 11:13:13 | 000,123,392 | ---- | M] (Brother) -- C:\Documents and Settings\P@tronikus\ms.exe
[2012-06-13 17:08:17 | 000,000,052 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\dhfffxifcikqris
[2012-05-15 09:42:56 | 000,012,393 | ---- | C] () -- C:\Documents and Settings\P@tronikus\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin

 

Klik w Wykonaj skrypt. Tym razem bez restartu.

 

2. Do oceny wystarczy tylko log z usuwania. Nie ma potrzeby tworzyć nowego skanu OTL.

 

 

.

[Patronius]

Dziękuję. Chyba będę musiał ściągnąć lepszego noda, chociaż przy nod 4 strasznie mi się mój ThnikPad grzał

Zatem wklejam log z usuwania

Nowy Dokument tekstowy.txt

[picasso]

Skrypt prawidłowo przetworzony. Przejdź do wykonania tej części:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z jego kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Przeprowadź skanowanie w Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary, co wydłuży skan znacząco, ale będzie pewniejszym potwierdzeniem (te odpadki po Brontok niepokojące). Przedstaw wyniki typu "Detected", o ile coś zostanie wykryte. Inny typ wyników mnie nie interesuje.

 

.

[Patronius]

Wykonałem wszystkie czynności, kasperski stwierdził, że "no threats detected". Jakiego antyvira byś mi poleciła?? Mój laptop to zabytek z początku wieku IBM ThinkPad

Celeron® CPU 2.00GHz

1.99GHz, 624 MB RAM

 

Z góry dzięki

[picasso]

Kasperskiego możesz odinstalować, o ile już tego nie zrobiłeś, co nastąpi przez zamknięcie okna. Na zakończenie:

 

1. Na dysku wolne miejsce na styk, zaczynaliśmy od:

 

Drive C: | 9,77 Gb Total Space | 0,77 Gb Free Space | 7,87% Space Free | Partition Type: NTFS

 

Po operacji czyszczenia plików tymczasowych w skrypcie zrobiło się:

 

Drive C: | 9,77 Gb Total Space | 1,54 Gb Free Space | 15,74% Space Free | Partition Type: NTFS

 

Prędzej czy później znów zbliżysz się do niebezpiecznej poprzeczki.

 

2. Podstawy aktulizacyjne do wykonania: KLIK. Z Twojej listy zainstalowanych:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> sprawdź wersję
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla FF) ----> już jest najnowsza
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

3. Dobór antywirusa:

 

Jakiego antyvira byś mi poleciła?? Mój laptop to zabytek z początku wieku IBM ThinkPad

 

Skoro o zabytku mowa, to może sprawdź jak się zachowuje na tej konfiguracji darmowa Panda Cloud Antivirus. Trudno przewidzieć wpływ na zasoby aż do czasu testowej instalacji.

 

 

.