Dziwne klucze w rejestrze - screenshot & logi w poście

[Filas]

Zaczęło mnie to z deka denerwować także postanowiłem się dowiedzieć co to do cholery jest. Jest tego więcej.

OTL.txt:
http://wklej.org/id/365088/

Extras.txt:
http://wklej.org/id/365089/

Na logi z GMERa nie ma raczej szans, za każdym skanem BSODuje niezależnie od DTools.

[wojtas]

Uruchom OTL i w sekcji własne opcje skanowania / skrypt (Custom Scans/Fixes) wklej:

:OTL
IE - HKU\S-1-5-21-3105989464-1593778788-2663742427-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis
O3 - HKU\S-1-5-21-3105989464-1593778788-2663742427-1000\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found
O4 - HKU\S-1-5-21-3105989464-1593778788-2663742427-1000..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-21-3105989464-1593778788-2663742427-1000..\Run: [Taskbar Hide] C:\PROGRA~1\TASKBA~1\TaskBar.exe File not found

:Commands
[emptytemp]
[emptyflash]
[clearallrestorepoints]

Kliknij wykonaj skrypt (Run Fix). I potwierdź reset komputera .

zrób skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie ) i pokaż raport

Zamiast Gmera spróbuj zamiennie wykonać log z Root Repeal

[Filas]

Widać z powodu patchowanego kernela na więcej niż 3GB Root Repeal i GMER się crash.ują.

Kod: Zaznacz wszystko

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Wersja bazy: 4319

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

2010-07-16 15:45:45
mbam-log-2010-07-16 (15-45-45).txt

Typ skanowania: Szybkie skanowanie
Przeskanowano obiektów: 126714
Upłynęło: 5 minut(y), 19 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 1
Zainfekowanych folderów: 0
Zainfekowanych plików: 5

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
C:\Users\filas312\Documents\downloads\XBL Tools v2.3.EXE (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\filas312\AppData\Roaming\chrtmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\4GB-7600.RTM.x86.04.08.2009.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\explorer.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\Windows\System32\explorer\winlogon.exe (Backdoor.SpyNet.M) -> Quarantined and deleted successfully.


"C:\4GB-7600.RTM.x86.04.08.2009.exe (Trojan.Agent) -> Quarantined and deleted successfully." Rozumiem, że to z powodu zaimplementowanego tam mechanizmu restartującego PC.
I tak dziwne, że mimo że odpalam wszystko co się napatoczy to i tak jakoś to działa .
Mimo Malwarebytes klucze dalej istnieją, także raczej z tym muszę żyć.

[wojtas]

a daj czyszczenie rejestru:
http://www.programosy.pl/program,jv16-powertools.html

[Filas]

Zapuściłem czyszczenie ale akurat sprawdzając co chciał usuwać zauważyłem, że te właśnie cholerstwa olał.

[wojtas]

a gdzie dokładnie się znajdują ? podaj scieżke

[Filas]

Gałąź HKEY_CURRENT_USER.

[wojtas]

ciężko mi cokolwiek napisać... a jak je skasujesz wracają?

[Filas]

Pousuwane i jakoś póki co nie wraca. Zobaczymy. Jak coś zacznie się rąbać to napiszę znowu

Dodano 18.07.2010 18:45:37:

Delikatnie mówiąć połączenie zaczęło mi się psuć. Nic praktycznie nie działa jak powinno po usunięciu kluczy.