Zablokowany komputer UKASH - Prośba o pomoc

[SonGokudj]

Witam

 

Mam ten sam problem co wszyscy dziś

Będę bardzo wdzięczny za pomoc - jestem w rozpaczy bo moja praca magisterska leży. Boję się że utracę dane.

Bardzo bardzo proszę Panią Administratorkę o pomoc .... PLS.

 

Przepraszam ale w tej panice nie doczytałem wszystkich wymgań OTL.

Poniżej wszystkie już mam nadzieję właściwe pliki.

Extras.Txt

OTL.Txt

[SonGokudj]

Wiem że nie jestem jedyny od wczoraj z tym problemem ale bardzo bardzo ładnie proszę - muszę dokońćzyć pracę mgr na poniedziałek.

Sytuacja jest naprawdę kryzysowa... Oczywiście możecie liczyć na moje wsparcie waszej strony...

Pozdrawiam

[picasso]

Do uzupełnienia posta / wymiany załączników poprawnymi służy opcja Edytuj. Posty sklejam, nadwyżkę logów obcinam.

 

Logi z OTL:

- przepuszczałeś tu jakiś skrypt. Takich rzeczy nie wolno robić. To skrypty unikatowe dla danego systemu.

- czy to na pewno logi z właściwego konta i nie zmanipulowane msconfig? Ja tu nie widzę w ogóle wpisu startowego tej infekcji. Jest tylko poboczny folder infekcji C:\Users\Daniel\AppData\Roaming\hellomoto.

 

 

.

[SonGokudj]

Włączyłem jedynie Trojan Kilera ale był darmowy ... nie jestem fachowcem od tych rzeczy.

Znalazłem taki opis na jednej ze stron w sieci ze ten progrma pomaga ale po skanie okazało się że jest odpłatyn 150 PLN ,

MOże ja coś źle zrobiłem z OTL ale tak jak było napisane włączyłem opcje które trzeba i zaznaczyłem użyj filtrowania.

Robiłem to w trybie awaryjnym, Odpalałem kompa kilka razy tryb awaryjny włącza się normalnie a tryb normalny po właczeniu pokazuje ekran blokady.

[picasso]

Zrób nowy log z OTL, bo coś tu nie dowierzam w co widzę. Już bez Extras.

[SonGokudj]

Picasso

Odpaliłem ponownie kompa w trybie normalany i Win 7 włączył mi się "normalnie" czyli bez strony blokady

Zrobiłem odrazu skan OTL pliki poniżej.

Bardzo Ci dziękuję za pomoc Choć Win już działa to proszę zerknij co mam zrobić żeby nie wróciło to pskudztwo - nie wierzę w cuda i samonaprawy.

 

P.S. Pierwszy raz jestem na Twojej stronie i wielki szacun za to co robisz (pomoc potrzebna czy też nie - Win działa - to wsparcie poszło bo takie inicjatywy trzeba wspierać).

OTL.Txt

[picasso]

Wnioski: infekcja musiała zostać czymś usunięta, bo ja też nie wierzę w cuda i samonaprawy. UKASH nie ma predyspozycji samozanikowych. W związku z tym mogę tu zrobić tylko to co widzę jeszcze do korekty, a są to już rzeczy skali kosmetycznej:

 

1. W Google Chrome są śmieciarskie wtręty:

 

========== Chrome  ==========
 
CHR - plugin: Babylon Chrome Plugin (Enabled) = C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\BabylonChromePI.dll
CHR - Extension: Babylon Chrome OCR = C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\

 

W menedżerze rozszerzeń odinstaluj Babylon Chrome OCR. Jest i drugie wystąpienie, czyli wtyczka Babylon, ale usunięcie wtyczki to już inna operacja, czyli bezpośrednia edycja pliku Preferences. Jako wzornik operacji ten post i punkt 3: KLIK. Po tym należy ręcznie usunąć z dysku folder C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb.

 

2. Mini skrypt poprawkowy. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2012-07-06 18:51:36 | 000,000,000 | ---D | C] -- C:\Users\Daniel\AppData\Roaming\hellomoto
[2012-06-10 22:38:38 | 000,000,000 | ---D | C] -- C:\Users\Daniel\AppData\Roaming\OpenCandy
[2010-03-28 18:56:18 | 000,002,035 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchFxt.xml
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542"
O4 - HKLM..\Run: [incmd]  File not found
O4 - HKCU..\Run: []  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany + otworzy się log z wynikami usuwania. I tylko ten mi przedstaw, tyle wystarczy.

 

 

P.S. Pierwszy raz jestem na Twojej stronie i wielki szacun za to co robisz (pomoc potrzebna czy też nie - Win działa - to wsparcie poszło bo takie inicjatywy trzeba wspierać).

 

Bardzo dziękuję.

 

 

.

[SonGokudj]

Witam

 

Wykonałem podany skrypt i wrzucam otrzymany LOG, albo jestem gapowaty albo nie wiem gdzie znaleźć menager rozszeżeń. Nie mam Google Chrome

07072012_224039.txt

[picasso]

Skrypt wykonany.

 

 

albo jestem gapowaty albo nie wiem gdzie znaleźć menager rozszeżeń

 

Musisz otworzyć przeglądarkę Google Chrome i wejść do Opcji lub od razu z paska adresów polecenia chrome://extensions + chrome://plugins. A to się nie zgadza:

 

Nie mam Google Chrome

 

Raporty wskazują coś kompletnie przeciwnego. Otóż widzę wpis na liście zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome

 

OTL podaje też pełną konfigurację tej przeglądarki (wyciągnął to z dysku + rejestru):

 

========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\15.0.874.106\gcswf32.dll
CHR - plugin: Java Deployment Toolkit 6.0.230.5 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll
CHR - plugin: Java™ Platform SE 6 U23 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files (x86)\Microsoft Silverlight\4.0.50917.0\npctrl.dll
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\15.0.874.106\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\15.0.874.106\pdf.dll
CHR - plugin: Babylon Chrome Plugin (Enabled) = C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\BabylonChromePI.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.79\npGoogleUpdate3.dll
CHR - plugin: MSN\u00AE Toolbar (Enabled) = C:\Program Files (x86)\MSN Toolbar\Platform\4.0.0357.1\npwinext.dll
CHR - plugin: Unity Player (Enabled) = C:\Users\Daniel\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: Babylon Chrome OCR = C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\

 

 

 

.

[SonGokudj]

Witam

 

Pls. o pomoc, zaatakował mnie UKASH - w załączeniu logi z OLT.

Bardzo będę wdzięczny za pomoc....

 

Dzięki, mam nadzieję że zrobiłem wszystko zgodnie z instrukcją.

 

Pozdrawiam

 

Daniel.

Extras.Txt

OTL.Txt

[picasso]

Temat dołączam do poprzedniego. Niezbyt dawno temu byłeś tu z tym samym ... Przy okazji, nowy OTL potwierdza, że kwestia Google Chrome nie została skorygowana, nadal widać wpis na liście zainstalowanych programów + konfigurację na dysku.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-877702136-2145338818-763332896-1000..\Run: [qgrsbrduigffmby] C:\ProgramData\qgrsbrdu.exe (TechnoTrend AG)
[2012-09-01 15:40:07 | 000,000,000 | ---D | C] -- C:\ProgramData\vtxangpgidwkfjn
[2012-09-01 15:40:07 | 000,078,043 | ---- | M] () -- C:\ProgramData\uzthcdxtuovfosx
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

.

[SonGokudj]

W załączenie OLT oraz rej. po czyszczeniu.

Odinstalowałem Google Chrome, czy terz jest ok ?

P.S. mam pytanie jak skutecznie się zabezpieczyć przed tego typu problemami użwałem do tej pory darmowego AVG ale może jest coś lepszego / skuteczniejszego

OTL.Txt

09012012_181215.txt

[picasso]

Odinstalowałem Google Chrome, czy terz jest ok ?

 

Log z OTL zrobiony po deinstalacji? Jeśli tak, deinstalacja nie usunęła wszytkiego, bo w logu niezmiennie widoczna konfiguracja Google Chrome. Poprawka pod tym kątem:

 

1. Start > w polu szukania wpisz regedit > sprawdź czy jest poniższy klucz (skasuj):

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome

 

Przez SHIFT+DEL skasuj z dysku folder C:\Users\Daniel\AppData\Local\Google\Chrome.

 

2. Dla formalności zrób nowy log OTL, ale ogranicz go: opcję Rejestr ustaw na Użyj filtrowania, za to pozostałe na Brak + szukanie plików na Żadne.

 

 

P.S. mam pytanie jak skutecznie się zabezpieczyć przed tego typu problemami użwałem do tej pory darmowego AVG ale może jest coś lepszego / skuteczniejszego

 

W dyskusji na temat tej infekcji przeplatają się różne wątki: KLIK.

 

 

 

.

[SonGokudj]

Witam.

 

Z Ukashem miałem już doczynienia dwa razy (bez waszej pomocy nie dałbym wogóle rady) i ten był trzeci, choć udało mi się samemu z tym uporać., dzięki temu co podpatrzyłem na forum. Trochę analizy tego co było co wpisywane było w wykonaniu skryptu i co nieco zakumałem. Choć fachowce nie jestem Z resztą to czysta amatorka i fak że miałem trochę czasu.

W każdym razie najważniejsze że zlokalizowałem źródło problemów (przenośny dysk pod USB ) na który przechodził u mnie z rąk do rąk.

Ale do sedna. Po "usunięciu" złych wpisów i zrobieniu restartu pozostał mi wyskakujący błąd że brak jest w User/Daniel/ (...)/OCBrowser (...) - niestety nie dało się skopiować tekstu

Pls tylko o podpowiedź lub pomoc w naprawie tego problemu wszystko inne już działa normalnie tylko to okienko wyskakuje mi raz na godzinę i po włączeniu WIN 7 (klika OK- znika ) i pracuję normalnie. nie wiem czy to kwestianadal UKASHA (odnośnika) czy coś za dużo usunołem ..

 

W załączeniu świeży OTL, i Extr... oraz log po ostatnim wykonaniu skryput...

 

Dzięki...

 

EDIT: Akurat wyskoczyło treść brzmi:

 

Wystąpił problem podczas uruchamiania pliku

c:\USER\DANIEL\AppData\Roaming\OpenCandy\3C5CB547F9884CBA91

DBE7118E89BF56\OCBrowserHelper_1.0.3.85.dll

 

Nie można odnaleźć określonego modułu

Extras.Txt

OTL.Txt

10032012_212321.txt

[picasso]

Ten temat doklejam do poprzedniego, bo jest tu niejako kontynuacja niektórych wątków. W logu OTL nie widać oznak infekcji. Są tylko szczątki adware Babylon w Google Chrome, o czym było już mówione poprzednio:

 

========== Chrome  ==========
 
CHR - plugin: Babylon Chrome Plugin (Enabled) = C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\BabylonChromePI.dll
CHR - Extension: Babylon Chrome OCR = C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\

 

W poprzednim wątku twierdziłeś, że Google Chrome odinstalowane. Bieżący log nadal pokazuje pełną konfigurację tej przeglądarki. Nie wygląda na to, że wykonałeś zalecenia z mojego poprzedniego posta #13. Czyli wykonaj.

 

 

udało mi się samemu z tym uporać., dzięki temu co podpatrzyłem na forum

 

Tu się niestety posunąłeś za daleko:

 

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-877702136-2145338818-763332896-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:explorer.exe deleted successfully.
File move failed. C:\Windows\SysWOW64\explorer.exe scheduled to be moved on reboot.
C:\Users\Daniel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini moved successfully.

 

- Załączyłeś linię kierującą do 32-bitowego C:\Windows\SysWOW64\explorer.exe, a dyrektywa OTL wyrzuca równocześnie wpis + plik. Tego pliku nie wolno usunąć, jest prawidłowy. Na szczęście skrypt padł na tej komendzie i jej nie wykonał w 100% (plik zablokowany przez uprawnienia).

- Plik C:\Users\Daniel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini również był prawidłowy (tworzy go Windows Media Player), wygrzeb go z katalogu kwarantanny C:\_OTL i wstaw na poprzednie miejsce.

 

 

Wystąpił problem podczas uruchamiania pliku

c:\USER\DANIEL\AppData\Roaming\OpenCandy\3C5CB547F9884CBA91

DBE7118E89BF56\OCBrowserHelper_1.0.3.85.dll

 

Nie można odnaleźć określonego modułu

 

To nie jest związane z UKASH czy innymi trojanami. To błąd od adware OpenCandy, coś próbuje to załadować. Z OTL nie wynika co, bo brak takich danych. Wstępnie uruchom AdwCleaner, klik w opcję Search i podaj log wynikowy.

 

 

 

 

.

[SonGokudj]

Dziękuje Picasso jak zwykle mogę na Ciebie liczyć. Ukash był napewno bo wywaliło mi stronę z policja. Trochę faktycznie poniosło mnie z liniami skryptów ... Cóż amartszczyzna z mojej strony. Jak tylko wejdę do domu zrobię jak napisalaś , i wrzuce logi... Dziękuje za odpowiedź...

 

[picasso]

Ukash był napewno bo wywaliło mi stronę z policja.

 

Przecież nie mówię, że go nie było. Był = msconfig.dat (ładowany przez Shell) + msconfig.ini. Ja punktuję w skrypcie to co nie pochodziło od infekcji i nie powinno być usuwane.

 

 

.

[SonGokudj]

Wrzucam log z AdwCleanera.

AdwCleanerR1.txt

[picasso]

1. AdwCleaner widzi wpis OpenCandy w rejestrze i nie tylko to. Uruchom ponownie narzędzie i tym razem wybierz opcję Delete.

 

2. Do wykonania też zaległa czynność:

 

Start > w polu szukania wpisz regedit > sprawdź czy jest poniższy klucz (skasuj):

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome

 

Przez SHIFT+DEL skasuj z dysku folder C:\Users\Daniel\AppData\Local\Google\Chrome.

 

 

.

[SonGokudj]

Ok

Dzięki picasso, zacznę od usuniecia wpisu rejestru a potem AdwCleaner ...

Po południu się tym zajmę.

Jeszcze raz dzięki.

[SonGokudj]

OK... Wykonałem Delete przez Adw Cleaner, oraz wykasowałem CHrome.

Wrzucam dwa logi (S1) powstał po wykonaniu Delete, drugi z funkcji Serach (R2) (już po delete).

Chrome wyrzuciłem pomiędzy powyższymi czynnościami.

AdwCleanerR2.txt

AdwCleanerS1.txt

[picasso]

Powtórz jeszcze raz funkcję Delete, bo zostały szczątki adware. Następnie sam sobie sprawdź czy nowy Search coś widzi. Logów nie muszę oglądać. i wypowiedź się wyraźnie czy po usunęciu adware OpenCandy z rejestru ów błąd nadal występuje.

 

 

.

[SonGokudj]

Picasso HELP

 

Po zrobieniu drugi raz delete przez AdwCleaning znowu pojawił się UKASH

Wrzucam Logi... Cóż moja chupnicza metdoa nie pomogło na zbyt długo.

 

Dodam tylko że aby wejść i coś zrobić wymuszam wylogowanie z (CTRL+ALT+DEL) , i klikam anuluj jak pojawi się okno o tym że muszę coś tam zamknąć za program. Bo inaczej mam to badziewie też w Trybie Awaryjnym

Błąd z OpenCandy jest nadal rzyciłem w Regedit znalezienie OpenCandy ale nie mogłem znaleźć.

Extras.Txt

OTL.Txt

[picasso]

SonGokudj, do uzupełniania odpowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, zamiast pisanie posta pod postem. Napisałeś trzy posty w serii, sklejam.

 

 

Cóż moja chupnicza metdoa nie pomogło na zbyt długo.

 

Nie, Twoje usuwanie było kompletne. Nastąpiła reinfekcja, prawdopodobnie z tego samego źródła co poprzednio (określony URL odwiedzony).

 

 

Błąd z OpenCandy jest nadal rzyciłem w Regedit znalezienie OpenCandy ale nie mogłem znaleźć.

 

Coś gdzieś musi się odwoływać do tego pliku. Będę robić szukanie.

 

 

---

Przechodząc do usuwania UKASH (oraz resztek adware BrowserManager):

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Daniel\AppData\Roaming\msconfig.dat
C:\Users\Daniel\AppData\Roaming\msconfig.ini
C:\Windows\SysWow64\Extensions
C:\Windows\SysWow64\searchplugins
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). I dodaj mi szukanie na OpenCandy. Uruchom SystemLook x64 i w oknie wklej:

 

:regfind

OpenCandy
 
:filefind
*OpenCandy*

 

 

 

.

[SonGokudj]

Zrobiłem wszystko jak w opisie.

Najpierw wykonałem załączony skrypt w OTL.

Powstał Log.

Potem po restarcie zrobiłem SystemLocka z podanym skryptem.

No i oczywiście wykonałem na koniec nowy skan w OTL.

Wszystko w załączeniu.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 18:07 on 06/10/2012 by Daniel

Administrator - Elevation successful

 

========== regfind ==========

 

Searching for "OpenCandy"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5DC3DF92-C96D-43DD-87FA-6C3ABA7AFAB2}]

"Path"="\OpenCandyHelperRun"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6CED5A77-39EE-4868-9C29-25A524D7D5E5}]

"Path"="\OpenCandyHelper"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OpenCandyHelper]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OpenCandyHelperRun]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OpenCandyHelperRunOnce]

 

========== filefind ==========

 

Searching for "*OpenCandy*"

C:\Windows\System32\Tasks\OpenCandyHelper --a---- 3708 bytes [19:33 27/09/2012] [17:31 03/10/2012] 841DF525C3C89E6D8035217C960CEC0F

C:\Windows\System32\Tasks\OpenCandyHelperRun --a---- 3180 bytes [18:03 30/09/2012] [17:31 03/10/2012] EE9C84CCEE94AD7F66DBE218CDC3228E

C:\_OTL\MovedFiles\10032012_000852\C_Windows\Tasks\OpenCandyHelper.job --a---- 706 bytes [19:33 27/09/2012] [21:57 02/10/2012] 02183E298715861B0557D9601D2FA926

C:\_OTL\MovedFiles\10032012_000852\C_Windows\Tasks\OpenCandyHelperRun.job --a---- 706 bytes [18:03 30/09/2012] [21:57 02/10/2012] 8E603154410D7DDBC274F7D1F8F28FED

C:\_OTL\MovedFiles\10032012_180321\C_Windows\Tasks\OpenCandyHelper.job --a---- 706 bytes [22:10 02/10/2012] [15:59 03/10/2012] 3515AC71D41A7EA70968B19410501C35

C:\_OTL\MovedFiles\10032012_180321\C_Windows\Tasks\OpenCandyHelperRun.job --a---- 706 bytes [22:10 02/10/2012] [15:59 03/10/2012] 5BAF64126F7020C7D0F29D259A935982

C:\_OTL\MovedFiles\10032012_194030\C_Windows\Tasks\OpenCandyHelper.job --a---- 706 bytes [16:05 03/10/2012] [17:31 03/10/2012] C08B1CCB947242563CD04853D163FC6D

C:\_OTL\MovedFiles\10032012_194030\C_Windows\Tasks\OpenCandyHelperRun.job --a---- 706 bytes [16:05 03/10/2012] [17:31 03/10/2012] AB570A3AD9E79C502EEBBAB1915D8806

 

-= EOF =-

OTL.Txt

10062012_175732.txt