P.S: Myślałem że to satality ale pobrałem wszystko do jego usuwania, zrobiłem według zasad na stronie Kasperskiego i nic.
EDIT: Jest! Udało mi się jakoś wysmażyć te logi od otl.
:OTL
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:67F3B08F6FAE5EAF
O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\winlog\winlog.exe ()
O4 - HKU\S-1-5-21-1085031214-299502267-1644491937-1003..\Run: [HKCU] C:\WINDOWS\system32\winlog\winlog.exe ()
O7 - HKU\S-1-5-21-1085031214-299502267-1644491937-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\winlog\winlog.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Policies = C:\WINDOWS\system32\winlog\winlog.exe ()
O37 - HKU\S-1-5-21-1085031214-299502267-1644491937-1003\...exe [@ = exefile] -- Reg Error: Key error. File not found
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"11172:TCP"=-
:Commands
[emptytemp]
ale te 2 programy dalej nie działają.
:filefind
regedit.exe
taskmgr.exe
:regfind
regedit.exe
taskmgr.exe
O4 - Startup: C:\Documents and Settings\Kwasek\Menu Start\Programy\Autostart\DesktopVideoPlayer.lnk = C:\Documents and Settings\Kwasek\Ustawienia lokalne\Dane aplikacji\vghd\bin\vghd.exe (Totem Entertainment)
O4 - HKU\S-1-5-21-1085031214-299502267-1644491937-1003..\Run: [Windows UI] C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI\WinUI.exe (Mozilla Corporation)
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\BumpTop.lnk = C:\Program Files\BumpTop\BumpTop.exe ()
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI\WinUI.exe) - C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI\WinUI.exe (Mozilla Corporation)
SystemLook 30.07.11 by jpshortstuff
Log created at 15:15 on 04/08/2012 by Kwasek
Administrator - Elevation successful
========== filefind ==========
Searching for "regedit.exe"
C:\WINDOWS\regedit.exe ------- 149504 bytes [20:51 14/04/2008] [20:51 14/04/2008] FD317A23C3EB2A856E74279FBE04B9C2
C:\WINDOWS\system32\dllcache\regedit.exe --a--c- 149504 bytes [20:51 14/04/2008] [20:51 14/04/2008] FD317A23C3EB2A856E74279FBE04B9C2
Searching for "taskmgr.exe "
C:\WINDOWS\system32\taskmgr.exe --a---- 139776 bytes [20:51 14/04/2008] [20:51 14/04/2008] 37C4DA5CA7D84C145150D00946064850
C:\WINDOWS\system32\dllcache\taskmgr.exe --a--c- 139776 bytes [20:51 14/04/2008] [20:51 14/04/2008] 37C4DA5CA7D84C145150D00946064850
========== regfind ==========
Searching for "regedit.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\regedit.exe"="Edytor rejestru"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\regedit.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open\command]
@="regedit.exe %1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\DefaultIcon]
@="%SystemRoot%\regedit.exe,1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
@=""regedit.exe" "%1""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\regedit.exe"="Edytor rejestru"
[HKEY_USERS\S-1-5-21-1085031214-299502267-1644491937-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\regedit.exe"="Edytor rejestru"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\regedit.exe"="Edytor rejestru"
Searching for "taskmgr.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithList]
"a"="taskmgr.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\taskmgr.exe"="Menedżer zadań systemu Windows"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
[HKEY_USERS\S-1-5-21-1085031214-299502267-1644491937-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithList]
"a"="taskmgr.exe"
[HKEY_USERS\S-1-5-21-1085031214-299502267-1644491937-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\taskmgr.exe"="Menedżer zadań systemu Windows"
-= EOF =-
:OTLO4 - HKU\S-1-5-21-1085031214-299502267-1644491937-1003..\Run: [Windows UI] C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI\WinUI.exe (Mozilla
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI\WinUI.exe) - C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI\WinUI.exe (Mozilla Corporation)
:Files
C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI
C:\WINDOWS\system32\winlog
:Commands
[emptytemp]
Start -> Uruchom-> CMD>wklep sfc /scannow (będziesz musiał włożyć płytę z Windowsem) , to polecenie sprawdzi poprawność plików systemowych
Wykrytych kluczy rejestru: 2
[color=#FF0000]HKCU\Software\DC3_FEXEC (Malware.Trace) -> Nie wykonano akcji.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack[/color]) -> Nie wykonano akcji.
Wykrytych wartości rejestru: 1
[color=#00FFFF]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe|Debugger (Security.Hijack) -> Data: 0 -> Nie wykonano akcji.
[/color]
Wykryte wpisy rejestru systemowego: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Złe: ("regedit.exe" "%1") Dobre: (regedit.exe "%1") -> Nie wykonano akcji.
wojtas napisał(a):wykonaj usuwanie tych kluczy i powiedz ja sytuacja.
Użytkownicy przeglądający to forum: wuwunibs oraz 4 gości