Witam,
Jestem kolejnym użytkownikiem zaatakowanym przez przez w/w wirusa.
Wykonałem skanowanie programem Malwarebytes - poniżej raport po
skanowaniu oraz skanowanie OTL ( poniżej również raport ).
Co mam ew. zrobić w następnym kroku. Z góry dziękuję za pomoc.
Pzdr, Mariusz.
RAPORT: Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.orgWersja bazy: v2012.03.04.03
Windows XP Service Pack 3 x86 NTFS (Tryb Awaryjny z dostępem do sieci)
Internet Explorer 8.0.6001.18702
igorek :: DV6000 [administrator]
2012-03-04 17:37:17
mbam-log-2012-03-04 (17-37-17).txt
Typ skanowania: Szybkie skanowanie
Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM
Odznaczone opcje skanowania: P2P
Przeskanowano obiektów: 175387
Upłynęło: 3 minut(y), 39 sekund(y)
Wykrytych procesów w pamięci: 1
D:\WINDOWS\system32\crrss.exe (Trojan.Zbot.USZ) -> 2012 -> Usuń po ponownym uruchomieniu.
Wykrytych modułów w pamięci: 0
(Nie znaleziono zagrożeń)
Wykrytych kluczy rejestru: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antivirus Protection 2012 (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
Wykrytych wartości rejestru: 7
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|crrss (Trojan.Zbot.USZ) -> Data: D:\WINDOWS\system32\crrss.exe -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winlogon (Trojan.Zbot.USZ) -> Data: D:\Documents and Settings\igorek\winlogon.exe -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|geups5uwfd8r (Trojan.FakeAlert) -> Data: D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Antivirus Protection 2012 SH (Trojan.FakeAlert) -> Data: D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Antivirus Protection 2012 SM (Trojan.FakeAlert) -> Data: D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\securitymanager.exe -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Antivirus Protection 2012 (Trojan.FakeAlert) -> Data: “D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\AntivirusProtection2012.exe” /STARTUP -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
HKCU\Software\Microsoft|adver_id (Malware.Trace) -> Data: 0 -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
Wykryte wpisy rejestru systemowego: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Zbot.USZ) -> Złe: (D:\WINDOWS\system32\crrss.exe) Dobre: () -> Dodanie do kwarantanny i naprawa pliku zakończyły się powodzeniem.
wykrytych folderów: 0
(Nie znaleziono zagrożeń)
Wykrytych plików: 15
D:\WINDOWS\system32\crrss.exe (Trojan.Zbot.USZ) -> Usuń po ponownym uruchomieniu.
D:\Documents and Settings\igorek\winlogon.exe (Trojan.Zbot.USZ) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\securitymanager.exe (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\AntivirusProtection2012.exe (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Documents and Settings\igorek\Ustawienia lokalne\Temp\23894729347.exe (Trojan.Zbot.USZ) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Documents and Settings\igorek\Ustawienia lokalne\Temp\8FF7.tmp (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Documents and Settings\igorek\Pulpit\Antivirus Protection 2012.lnk (Rogue.AntiVirusPro) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Documents and Settings\igorek\Ustawienia lokalne\Temp\ppddfcfux.exxe (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Documents and Settings\igorek\Ustawienia lokalne\Temp\w32rim_mem.exe (Trojan.Downloader) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Documents and Settings\igorek\Ustawienia lokalne\Temp\wrfwe_di.exe (Trojan.Downloader) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Documents and Settings\igorek\Ustawienia lokalne\Temp\dffuck.exe (Malware.Trace) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Documents and Settings\igorek\Dane aplikacji\cgdf.bat (Malware.Trace) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Documents and Settings\igorek\Menu Start\Programy\Palladium for Windows.lnk (Rogue.Palladium) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
D:\Documents and Settings\igorek\uidsave.dat (Malware.Trace) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
(zakończone
OTL logfile created on: 2012-03-04 17:53:10 - Run 1
OTL by OldTimer - Version 3.2.35.1 Folder = D:\
Windows XP Home Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd
501,98 Mb Total Physical Memory | 112,43 Mb Available Physical Memory | 22,40% Memory free
1,20 Gb Paging File | 0,91 Gb Available in Paging File | 75,50% Paging File free
Paging file location(s): D:\pagefile.sys 756 1512 [binary data]
%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Program Files
Drive C: | 1,00 Gb Total Space | 0,96 Gb Free Space | 95,84% Space Free | Partition Type: NTFS
Drive D: | 66,38 Gb Total Space | 22,55 Gb Free Space | 33,98% Space Free | Partition Type: NTFS
Drive E: | 7,13 Gb Total Space | 1,51 Gb Free Space | 21,14% Space Free | Partition Type: FAT32
Computer Name: DV6000 | User Name: igorek | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Processes (SafeList) ==========
PRC - [2012-03-04 17:52:26 | 000,584,704 | ---- | M] (OldTimer Tools) – D:\OTL.exe
PRC - [2012-01-13 14:53:16 | 000,981,680 | ---- | M] (Malwarebytes Corporation) – D:\Program Files\Malwarebytes’ Anti-Malware\mbam.exe
PRC - [2009-03-21 15:08:59 | 000,027,136 | ---- | M] (Unizeto Sp. z o.o.) – D:\WINDOWS\system32\crrss.exe
PRC - [2008-04-14 21:51:18 | 001,035,264 | ---- | M] (Microsoft Corporation) – D:\WINDOWS\explorer.exe
========== Modules (No Company Name) ==========
MOD - [2009-02-27 19:04:20 | 000,311,296 | ---- | M] () – D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\pdfshell.POL
========== Win32 Services (SafeList) ==========
SRV - File not found [Disabled | Stopped] – -- (HidServ)
SRV - File not found [On_Demand | Stopped] – -- (AppMgmt)
SRV - [2012-02-06 17:49:30 | 000,748,440 | ---- | M] (Spigot, Inc.) [Auto | Stopped] – D:\Program Files\Application Updater\ApplicationUpdater.exe – (Application Updater)
SRV - [2011-07-03 11:05:21 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Stopped] – D:\Program Files\Avira\AntiVir Desktop\avguard.exe – (AntiVirService)
SRV - [2011-04-29 07:38:41 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Stopped] – D:\Program Files\Avira\AntiVir Desktop\sched.exe – (AntiVirSchedulerService)
SRV - [2010-03-04 22:38:00 | 000,071,096 | ---- | M] () [Auto | Stopped] – D:\Program Files\CDBurnerXP\NMSAccessU.exe – (NMSAccess)
========== Driver Services (SafeList) ==========
DRV - File not found [Kernel | On_Demand | Stopped] – -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] – -- (UIUSys)
DRV - File not found [Kernel | On_Demand | Stopped] – -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] – -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] – -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] – -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] – -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] – -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] – -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] – -- (Changer)
DRV - [2012-03-04 17:42:41 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] – D:\WINDOWS\system32\drivers\cckdvu.sys – (bwjbdpyv)
DRV - [2012-03-04 17:36:51 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\mbamswissarmy.sys – (MBAMSwissArmy)
DRV - [2011-07-03 11:05:24 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] – D:\WINDOWS\system32\drivers\avipbb.sys – (avipbb)
DRV - [2011-07-03 11:05:24 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] – D:\WINDOWS\system32\drivers\avgntflt.sys – (avgntflt)
DRV - [2010-01-04 09:30:54 | 000,113,280 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\ewusbnet.sys – (ewusbnet)
DRV - [2010-01-04 09:30:54 | 000,102,528 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\ewusbmdm.sys – (hwdatacard)
DRV - [2010-01-04 09:30:54 | 000,100,736 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\ewusbdev.sys – (hwusbdev)
DRV - [2009-11-12 13:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand | Stopped] – D:\WINDOWS\System32\drivers\StarOpen.sys – (StarOpen)
DRV - [2009-05-11 10:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] – D:\Program Files\Avira\AntiVir Desktop\avgio.sys – (avgio)
DRV - [2009-05-11 08:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] – D:\WINDOWS\system32\drivers\ssmdrv.sys – (ssmdrv)
DRV - [2008-11-17 14:23:16 | 003,636,864 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] – D:\WINDOWS\system32\drivers\NETw5x32.sys – (NETw5x32) Intel®
DRV - [2008-10-09 14:42:42 | 000,017,408 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\KMWDFILTER.sys – (KMWDFILTER)
DRV - [2008-05-02 10:58:12 | 000,017,536 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\ccdcmb.sys – (nmwcd)
DRV - [2008-04-28 19:22:10 | 000,009,344 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand | Running] – D:\WINDOWS\system32\drivers\CPQBttn.sys – (HBtnKey)
DRV - [2007-11-01 07:26:36 | 000,989,696 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\HSF_DPV.sys – (HSF_DPV)
DRV - [2007-11-01 07:25:32 | 000,211,456 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\HSFHWAZL.sys – (HSFHWAZL)
DRV - [2007-11-01 07:25:22 | 000,731,520 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\HSF_CNXT.sys – (winachsf)
DRV - [2007-09-26 05:01:32 | 002,236,032 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\NETw4x32.sys – (NETw4x32) Sterownik karty Intel®
DRV - [2006-07-26 21:44:42 | 000,581,632 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\CHDAud.sys – (HdAudAddService)
DRV - [2006-06-07 10:39:56 | 000,061,952 | ---- | M] (Ricoh) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\5U870CAP.sys – (5U870CAP_VID_1262&PID_25FD)
DRV - [2006-05-12 12:19:04 | 001,342,602 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\btkrnl.sys – (BTKRNL)
DRV - [2006-05-12 12:16:44 | 000,057,320 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] – D:\WINDOWS\system32\drivers\btwusb.sys – (BTWUSB)
DRV - [2005-12-22 16:02:22 | 000,051,840 | ---- | M] (REDC) [Kernel | On_Demand | Running] – D:\WINDOWS\system32\drivers\rimsptsk.sys – (rimsptsk)
DRV - [2005-11-16 19:28:32 | 000,028,928 | ---- | M] (REDC) [Kernel | On_Demand | Running] – D:\WINDOWS\system32\drivers\rimmptsk.sys – (rimmptsk)
DRV - [2005-11-01 17:08:00 | 000,308,992 | ---- | M] (REDC) [Kernel | On_Demand | Running] – D:\WINDOWS\system32\drivers\rixdptsk.sys – (rismxdp)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKLM…\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM…\SearchScopes{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: “URL” = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.softonic.com/MON00084/tb_ … rce=10&cc=
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU…\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - D:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll (Spigot, Inc.)
IE - HKCU…\SearchScopes,DefaultScope = {DFA9B6E4-4492-4DE1-9E9E-F9A16F035448}
IE - HKCU…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=RY&apn_dtid=&apn_uid=330FE6AE-8C27-47AB-A58E-AC0B2CD0F9AE&apn_sauid=FDA7164E-13A4-498F-A572-D2A54790186D
IE - HKCU…\SearchScopes{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: “URL” = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKCU…\SearchScopes{9714F8D7-ACF8-4D43-B66E-F95AB92EF50F}: “URL” = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8&rlz=1I7IRFD_pl
IE - HKCU…\SearchScopes{CE9C080F-7960-463C-8BDB-5BA6FBBC8A06}: “URL” = http://search.yahoo.com/search?fr=chr-g … =302398&p={searchTerms}
IE - HKCU…\SearchScopes{DFA9B6E4-4492-4DE1-9E9E-F9A16F035448}: “URL” = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyEnable” = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyServer” = 73.149.32.52:80
========== FireFox ==========
FF - prefs.js…network.proxy.type: 0
FF - prefs.js…browser.search.param.yahoo-fr: “chr-greentree_ff&type=302398&ilc=12”
FF - prefs.js…browser.search.order.1: “Ask.com”
FF - prefs.js…browser.search.defaultengine: “Ask.com”
FF - prefs.js…browser.search.defaultenginename: “Ask.com”
FF - prefs.js…browser.startup.homepage: “http://search.softonic.com/MON00084/tb_v1?SearchSource=13&cc=”
FF - prefs.js…browser.search.selectedEngine: “Search the web (Softonic)”
FF - prefs.js…keyword.URL: “http://search.softonic.com/MON00084/tb_v1?SearchSource=2&cc=&q=”
FF - HKLM\Software\MozillaPlugins@adobe.com/FlashPlayer: D:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins@google.com/npPicasa3,version=3.0.0: D:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins@java.com/JavaPlugin: D:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins@microsoft.com/WPF,version=3.5: d:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: D:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
[2011-03-16 02:31:15 | 000,000,000 | —D | M] (No name found) – D:\Documents and Settings\igorek\Dane aplikacji\Mozilla\Extensions
[2012-03-04 15:08:58 | 000,000,000 | —D | M] (No name found) – D:\Documents and Settings\igorek\Dane aplikacji\Mozilla\Firefox\Profiles\s4rdf4rj.default\extensions
[2012-03-04 15:08:59 | 000,000,000 | —D | M] (Softonic Toolbar) – D:\Documents and Settings\igorek\Dane aplikacji\Mozilla\Firefox\Profiles\s4rdf4rj.default\extensions\ffxtlbra@softonic.com
[2012-03-04 15:08:58 | 000,002,060 | ---- | M] () – D:\Documents and Settings\igorek\Dane aplikacji\Mozilla\Firefox\Profiles\s4rdf4rj.default\searchplugins\softonic.xml
O1 HOSTS File: ([2006-03-02 13:00:00 | 000,000,742 | ---- | M]) - D:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - D:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll (Spigot, Inc.)
O2 - BHO: (Softonic Helper Object) - {E87806B5-E908-45FD-AF5E-957D83E58E68} - D:\Program Files\Softonic\softonic\1.5.11.5\bh\softonic.dll (Softonic.com)
O3 - HKLM…\Toolbar: (Softonic Toolbar) - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - D:\Program Files\Softonic\softonic\1.5.11.5\softonicTlbr.dll (Softonic.com)
O3 - HKLM…\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - D:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKCU…\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU…\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM…\Run: [crrss] D:\WINDOWS\system32\crrss.exe (Unizeto Sp. z o.o.)
O4 - HKCU…\Run: [winlogon] D:\Documents and Settings\igorek\winlogon.exe (Unizeto Sp. z o.o.)
O4 - HKLM…\RunOnce: [Malwarebytes Anti-Malware] D:\Program Files\Malwarebytes’ Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM…\RunOnce: [Malwarebytes Anti-Malware (cleanup)] D:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes\Malwarebytes’ Anti-Malware\cleanup.dll (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - D:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Wyślij do interfejsu &Bluetooth - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra ‘Tools’ menuitem : @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupda … 1255639875 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/s … wflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 89.151.0.5 89.151.0.27
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces{D73B5F32-B396-44D7-AC23-EC03CEC023EB}: DhcpNameServer = 89.151.0.5 89.151.0.27
O20 - HKLM Winlogon: Shell - (Explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (D:\WINDOWS\system32\userinit.exe) - D:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (D:\WINDOWS\system32\crrss.exe) - D:\WINDOWS\system32\crrss.exe (Unizeto Sp. z o.o.)
O20 - HKCU Winlogon: Shell - (explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (“D:\Documents and Settings\igorek\winlogon.exe”) - D:\Documents and Settings\igorek\winlogon.exe (Unizeto Sp. z o.o.)
O24 - Desktop Components:0 (Moja bieżąca strona główna) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010-04-14 16:09:55 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT – [NTFS]
O32 - AutoRun File - [2010-04-14 11:17:52 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT – [NTFS]
O32 - AutoRun File - [2001-07-27 13:07:38 | 000,000,000 | -HS- | M] () - E:\AUTOEXEC.BAT – [FAT32]
O33 - MountPoints2{55cf35ce-b6e0-11e0-924c-0018de331439}\Shell - “” = AutoRun
O33 - MountPoints2{55cf35ce-b6e0-11e0-924c-0018de331439}\Shell\AutoRun\command - “” = G:\AutoRun.exe
O33 - MountPoints2{d9b7bffa-afb8-11e0-923a-0018de331439}\Shell - “” = AutoRun
O33 - MountPoints2{d9b7bffa-afb8-11e0-923a-0018de331439}\Shell\AutoRun\command - “” = G:\AutoRun.exe
O33 - MountPoints2{d9b7bffe-afb8-11e0-923a-0018de331439}\Shell - “” = AutoRun
O33 - MountPoints2{d9b7bffe-afb8-11e0-923a-0018de331439}\Shell\AutoRun\command - “” = G:\AutoRun.exe
O33 - MountPoints2{de586e30-5ee3-11e1-93e6-0018de331439}\Shell - “” = AutoRun
O33 - MountPoints2{de586e30-5ee3-11e1-93e6-0018de331439}\Shell\AutoRun\command - “” = G:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM…comfile [open] – “%1” %*
O35 - HKLM…exefile [open] – “%1” %*
O37 - HKLM…com [@ = comfile] – “%1” %*
O37 - HKLM…exe [@ = exefile] – “%1” %*
========== Files/Folders - Created Within 30 Days ==========