Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\e4ldr.sys -- (IKANLOADER2) DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\EAPPkt.sys -- (EAPPkt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\e4usbaw.sys -- (e4usbaw) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\tomek\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) IE - HKLM\..\SearchScopes\{71C63272-91A7-436a-843D-A1C641D1C626}: "URL" = "http://search.shareazaweb.com/web?src=ieb&systemid=3&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Ask" FF - prefs.js..browser.search.order.1: "Ask" FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=" [2009-07-06 17:35:11 | 000,000,682 | ---- | M] () -- C:\Documents and Settings\marcin\Dane aplikacji\Mozilla\Firefox\Profiles\c4espf14.default\searchplugins\ask.xml O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - Reg Error: Value error. File not found O3 - HKU\S-1-5-21-1482476501-2052111302-682003330-1004\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - Reg Error: Value error. File not found O4 - HKLM..\Run: [termmgr] C:\Documents and Settings\marcin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4158\termmgr.exe File not found O4 - HKLM..\Run: [wscinterop] C:\Documents and Settings\tomek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1714\wscinterop.exe () :Files C:\Documents and Settings\marcin\Dane aplikacji\hellomoto C:\Documents and Settings\tomek\Dane aplikacji\hellomoto C:\Documents and Settings\tomek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1714 C:\Documents and Settings\marcin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4158 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / My Global Search Bar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKCU\..\SearchScopes\{B7B664DF-3AF9-4C8E-8148-F42BB7831D27}: "URL" = "http://www.ask.com/web?o=15710&l=dis&q={searchTerms}" [2012-05-20 17:36:29 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Swiser\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - HKCU..\Run: [sxstrace] C:\Users\Swiser\AppData\Local\Microsoft\Windows\3472\sxstrace.exe () :Files C:\a9da47000508c4583dd8 C:\Users\Swiser\AppData\Roaming\hellomoto C:\Users\Swiser\AppData\Local\Microsoft\Windows\3472 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentControl2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Oba tematy łączę. W logach nie widać ani śladów infekcji, ani keyloggera...

Infekcje masz usuniętą w całości. Wykonaj czynności kończące: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz nie widzę tego w najnowszym logu więc wygląda, że zostało usunięte, teraz pytanie jak jest z problemem?

Sality nie zawsze łatwo wyleczyć i często jest tak, że kończy się nawet na formacie. Tu wygląda, że zaprawiłeś się na nowo podpinając zainfekowane urządzenie przenośne np. pendrive. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [deovuus] C:\Users\Suwak\deovuus.exe (Microsoft) :Files autorun.inf /alldrives netsh firewall reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz z USBFix z opcji Listing przy podpiętym urządzeniu przenośnym.

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKU\S-1-5-21-1928705827-898787858-933831383-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found [2012-04-15 20:48:17 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Łyszka\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1928705827-898787858-933831383-1000..\Run: [werdiagcontroller] C:\Users\Łyszka\AppData\Local\Microsoft\Windows\3234\werdiagcontroller.exe () :Files C:\Users\Łyszka\AppData\Roaming\hellomoto C:\Users\Łyszka\AppData\Local\Microsoft\Windows\3234 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie odpowiedziałeś na pytanie czy działa zapora Windows?

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wpisz: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SRTSPX.SYS -- (SRTSPX) DRV - File not found [File_System | System | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SRTSP.SYS -- (SRTSP) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS -- (NAVEX15) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS -- (NAVENG) :Files C:\Windows\Installer\{c5705496-cf3b-6adb-76fd-6170f657d6fc} C:\Users\ASUS\AppData\Local\{c5705496-cf3b-6adb-76fd-6170f657d6fc} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Lecimy dalej. Pobierz na dysk tego fixa ode mnie: KLIK Kliknij prawym przyciskiem myszy na ten plik i daj Scal. Zresetuj system. Podaj nowy log z FSS. Sprawdź czy działa zapora systemu Windows.

Nic tutaj prawie nie ma. Usuń jeszcze te dwa pliki po infekcji: [2011-08-21 22:51:11 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe [2011-08-21 22:48:27 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok Wcześniej nie widać było tego w logu bo infekcja siedziała na tym systemie jak widać od sierpnia ubiegłego roku a logi mają ograniczone pole widzenia czasowego na filtrowaniu. W kwestii WU podaj mi raz jeszcze nowy log z FSS

Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Właśnie to wskazuje na problem sprzętowy i może być to kwestia dysku. Załóż temat w dziale Hardware i opisz problem.

Start > Uruchom > regedit i skasuj ten klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore Restart systemu i sprawdź efekty.

W logach brak jakichkolwiek śladów infekcji a już tym bardziej Sality. Samo wykrycie nazwy Sality jeszcze nic nie znaczy. Dla pewności możesz się przeskanować za pomocą SalityKiller

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. W logu obecnym tutaj jest infekcja ZeroAccess. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-2427012931-4159376896-398562386-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKU\S-1-5-21-2427012931-4159376896-398562386-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109217&babsrc=SP_ss&mntrId=2c4e1e830000000000006cf049073eae" IE - HKU\S-1-5-21-2427012931-4159376896-398562386-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-2427012931-4159376896-398562386-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" [2012-07-19 06:08:07 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Maciej P. Kikta\AppData\Roaming\mozilla\Firefox\Profiles\ryzqiijc.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2011-02-25 11:45:46 | 000,002,059 | ---- | M] () -- C:\Users\Maciej P. Kikta\AppData\Roaming\Mozilla\Firefox\Profiles\ryzqiijc.default\searchplugins\daemon-search.xml [2012-03-12 12:16:15 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-2427012931-4159376896-398562386-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKU\S-1-5-21-2427012931-4159376896-398562386-1000..\Run: [Java] C:\Users\Maciej P. Kikta\AppData\Roaming\Microsoft\jusched.exe () O4 - HKU\S-1-5-21-2427012931-4159376896-398562386-1000..\Run: [sxstrace] C:\Users\Maciej P. Kikta\AppData\Local\Microsoft\Windows\772\sxstrace.exe () O4 - HKU\S-1-5-21-2427012931-4159376896-398562386-1000..\Run: [update] C:\Users\Maciej P. Kikta\AppData\Roaming\Microsoft\Svhost.exe () :Files C:\Users\Maciej P. Kikta\AppData\Roaming\hellomoto C:\Users\Maciej P. Kikta\AppData\Local\Microsoft\Windows\772 :Reg [HKEY_USERS\S-1-5-21-2427012931-4159376896-398562386-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie pisz Caps Lockiem. Sugeruję odinstalowanie Aviry na próbę i wtedy zobacz co się stanie.

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\InprocServer32 File not found IE - HKCU\..\SearchScopes\{09B93D82-75BE-40A8-A07D-E1E09BAE22A9}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000 IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll File not found O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll File not found O4 - HKLM..\Run: [] File not found :Files C:\ProgramData\6C82D12476E3EE93074C0E492F3B707C C:\Windows\Installer\{cff1e2fb-033a-3731-1d6f-369cf2c5d119} C:\Users\Kucharski Wacław\AppData\Local\{cff1e2fb-033a-3731-1d6f-369cf2c5d119} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Conduit Engine / Softonic-Polska Toolbar / Yahoo! Toolbar / Live Security Platinum 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Tu musi być jakaś inna przyczyna, nie masz żadnej infekcji. Czy ten problem występuje też w trybie awaryjnym?

Wraz z LSP masz niestety do pary ZeroAccess. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan.

W końcu miałem trochę czasu aby zakończyć sprawę. Walczyłem, ale niestety bez skutków. Wprawdzie Extended od WD, który podrzucił @MatiK chyba poradził sobie z bad sektorami bo potem nawet MHDD ich nie widział, ale mimo to ja nadal nie mogłem poprawnie zainstalować systemu. Ciągle coś było nie tak, albo instalacja się zatrzymywała zaraz na początku albo w fazie końcowej, która wymaga załadowania prawie do pulpitu wywalał błąd rejestru. A więc finał jest taki że dysk został wymieniony na nowy Dzięki za pomoc. Temacik sobie przymykam.

Potwierdzam, masz do pary ZeroAccess. Wykonaj raport dodatkowy. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan.