Analiza loga ComboFix

Post16 sie 2013, 13:33

Witam,

Proszę o sprawdzenie loga: Dostępne tylko dla zarejestrowanych użytkowników

Usuwałam ComboFixem wirusa z nagłówkiem "Polizja. Biuro Służby Kryminalnej".

Z góry dziękuję za pomoc.

Post16 sie 2013, 19:58

Usuwałam ComboFixem wirusa z nagłówkiem "Polizja. Biuro Służby Kryminalnej".

To nie jest skaner antywirusowy. Nie można Go używać ot tak. To silnie ingerujące w system narzędzie, które może doprowadzić do trwałego, nieodwracalnego uszkodzenia systemu. Wejdź w START -> URUCHOM -> i wklej tam:

"F:\ComboFix.exe" /uninstall

To spowoduje odinstalowanie Combofix.

"{08234a0d-cf39-4dca-99f0-0c5cb496da81}" = Bing Bar
"{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}" = BrowserProtect
"SpywareBlaster_is1" = SpywareBlaster 4.6
"MozillaMaintenanceService" = Mozilla Maintenance Service
"hola Chrome Toolbar" = hola Chrome Toolbar
"holasearch" = holasearch toolbar
"DAEMON Tools Toolbar" = DAEMON Tools Toolbar
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{9520BD31-226A-4D5D-B900-6C0CDBA75BF0}_is1" = Onlinesupport 5.0.8232 QS
"{77C4850C-3592-4A2F-B652-ACB77A1EF77C}" = Bing Bar Platform

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV:64bit: - File not found [Kernel | System | Stopped] -- C:\Program Files\Bosch\ESItronic\KTS500\winio.sys -- (WINIO)
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {ec29edf6-ad3c-4e1c-a087-d6cb81400c43}
IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchterms}&l=dis&o=HPNTDF
IE:64bit: - HKLM\..\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE:64bit: - HKLM\..\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=HPNTDF&pc=HPNTDF&src=IE-SearchBox
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {ec29edf6-ad3c-4e1c-a087-d6cb81400c43}
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchterms}&l=dis&o=HPNTDF
IE - HKLM\..\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\..\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=HPNTDF&pc=HPNTDF&src=IE-SearchBox
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-4258674832-4175548978-1267062532-1001\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-4258674832-4175548978-1267062532-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-4258674832-4175548978-1267062532-1001\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-4258674832-4175548978-1267062532-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-4258674832-4175548978-1267062532-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&babsrc=SP_ss&mntrId=4CF0002682BD2290&affID=119357&tsp=4976
IE - HKU\S-1-5-21-4258674832-4175548978-1267062532-1001\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchterms}&l=dis&o=HPNTDF
IE - HKU\S-1-5-21-4258674832-4175548978-1267062532-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-4258674832-4175548978-1267062532-1001\..\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-4258674832-4175548978-1267062532-1001\..\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=HPNTDF&pc=HPNTDF&src=IE-SearchBox
FF - prefs.js..browser.search.order.1: "Delta Search"
FF - prefs.js..browser.search.useDBForOrder: "false"
FF - prefs.js..browser.startup.homepage: "http://www1.delta-search.com/?babsrc=HP_ss&mntrId=4CF0002682BD2290&affID=119357&tsp=4976"
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpWinExt,version=5.0: C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\msntoolbar@msn.com: C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\Firefox
[2011-12-15 09:46:09 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Rafał\AppData\Roaming\mozilla\Firefox\Profiles\knvu2l4w.default\extensions\DTToolbar@toolbarnet.com
[2013-08-16 13:58:08 | 000,000,000 | ---D | M] (Delta Toolbar) -- C:\Users\Rafał\AppData\Roaming\mozilla\Firefox\Profiles\knvu2l4w.default\extensions\ffxtlbr@delta.com
[2013-05-26 15:25:45 | 000,000,000 | ---D | M] (HolaSearch) -- C:\Users\Rafał\AppData\Roaming\mozilla\Firefox\Profiles\knvu2l4w.default\extensions\ffxtlbr@holasearch.com
[2013-05-26 15:25:17 | 000,006,498 | ---- | M] () -- C:\Users\Rafał\AppData\Roaming\mozilla\firefox\profiles\knvu2l4w.default\searchplugins\babylon.xml
[2013-05-26 15:25:17 | 000,006,498 | ---- | M] () -- C:\Users\Rafał\AppData\Roaming\mozilla\firefox\profiles\knvu2l4w.default\searchplugins\BrowserProtect.xml
[2011-12-15 09:45:57 | 000,002,055 | ---- | M] () -- C:\Users\Rafał\AppData\Roaming\mozilla\firefox\profiles\knvu2l4w.default\searchplugins\daemon-search.xml
[2013-05-26 15:08:47 | 000,001,294 | ---- | M] () -- C:\Users\Rafał\AppData\Roaming\mozilla\firefox\profiles\knvu2l4w.default\searchplugins\delta.xml
[2013-05-26 15:25:54 | 000,001,304 | ---- | M] () -- C:\Users\Rafał\AppData\Roaming\mozilla\firefox\profiles\knvu2l4w.default\searchplugins\holasearch.xml
O2 - BHO: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found.
O20 - HKLM Winlogon: Shell - (C:\PROGRA~3\iupecpffiaewbcpceai.bat) - C:\ProgramData\iupecpffiaewbcpceai.bat ()
O20 - AppInit_DLLs: (c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll) - File not found
[2013-08-16 13:08:14 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013-08-16 12:50:43 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013-08-16 12:50:24 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013-08-16 18:02:58 | 000,000,064 | RHS- | M] () -- C:\Windows\SysNative\drivers\wd.winsecurity
[2013-08-16 18:02:57 | 000,000,064 | RHS- | M] () -- C:\Windows\SysNative\drivers\vwifibus.winsecurity
[2013-08-16 17:40:33 | 000,000,064 | RHS- | M] () -- C:\Windows\SysNative\drivers\winusb.winsecurity
[2013-08-16 17:40:32 | 000,000,064 | RHS- | M] () -- C:\Windows\SysNative\drivers\WUDFRd.winsecurity
[2013-08-16 17:40:05 | 000,000,000 | -H-- | M] () -- C:\ProgramData\cm-lock
[2013-08-15 13:00:54 | 000,000,165 | ---- | M] () -- C:\ProgramData\iupecpffiaewbcpceai.reg
[2013-08-15 13:00:54 | 000,000,070 | ---- | M] () -- C:\ProgramData\iupecpffiaewbcpceai.bat
[2013-08-14 17:00:16 | 000,000,700 | ---- | M] () -- C:\Windows\ESIDATA.ini
[2013-08-15 13:00:56 | 000,001,103 | ---- | M] () -- C:\Users\Rafał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iupecpffiaewbcpceai.lnk
[2013-03-13 01:01:51 | 000,033,366 | ---- | C] () -- C:\Users\Rafał\32767-1662250497.WibuCmRaC
[2013-03-13 01:01:14 | 000,154,181 | ---- | C] () -- C:\Users\Rafał\128-2608230.WibuCmRaC
[2013-03-12 22:51:05 | 000,033,366 | ---- | C] () -- C:\Users\Rafał\32767-1662208257.WibuCmRaC
[2013-05-26 15:25:34 | 000,000,000 | ---D | M] -- C:\Users\Rafał\AppData\Roaming\holasearch
[2012-02-13 11:44:54 | 000,000,000 | ---D | M] -- C:\Users\Rafał\AppData\Roaming\OpenCandy
[2013-06-22 20:34:29 | 000,000,000 | ---D | M] -- C:\Users\Rafał\AppData\Roaming\Systweak
[2011-12-01 23:29:30 | 000,000,000 | ---D | M] -- C:\Users\Rafał\AppData\Roaming\TP
[2011-12-02 18:22:22 | 000,000,000 | ---D | M] -- C:\Users\Rafał\AppData\Roaming\Windows Live Writer
[2011-11-19 13:00:20 | 000,000,000 | ---D | M] -- C:\Users\Rafał\AppData\Roaming\Synaptics
@Alternate Data Stream - 32 bytes -> C:\Windows:CM_d34c0b9d3dbe56e66e3886623b1f002764a97ce84db53aae89a8cdd32026bb5c
@Alternate Data Stream - 32 bytes -> C:\Windows:CM_c8fbbf4a505c90ba2f75a64c6579e4bf4c2afabeaa63a8d0f6399ed9ca038ae0
@Alternate Data Stream - 32 bytes -> C:\Windows:CM_4c09c6a837b828f8e71ff53bdfa462592466a103481eefe431e5b35c94a386a5
@Alternate Data Stream - 32 bytes -> C:\Windows:CM_1f24a44e6b128c2d77667e26df6bc247ed05d9ea5eb435533ab783378d367198

:Services
gupdate
gupdatem

:Files
C:\Program Files (x86)\Google\Update
C:\Program Files (x86)\MSN Toolbar
$RECYCLE.BIN /alldrives
C:\Windows\tasks\*.*
c:\windows\SysWow64\sho9681.tmp
c:\users\Default\AppData\Local\temp
c:\users\Rafał\com.attensity.bosch.esi.updateclient.StartUpdateClient.tmp
c:\programdata\iupecpffiaewbcpceai.reg
c:\programdata\iupecpffiaewbcpceai.bat
c:\users\Rafał\*.tmp
c:\windows\SysWow64\*.tmp
c:\users\Rafał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iupecpffiaewbcpceai.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth Manager.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\CodeMeter Control Center.lnk

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Easybits Recovery"=-
"DSA_F10TimeoutSetter"=-
"DSA_AutoBackup"=-
"ITSecMng"=-
"3200 Scan2PC"=-
"StartDDM"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL.

Post18 sie 2013, 11:29

log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
log z ADWCleaner: Dostępne tylko dla zarejestrowanych użytkowników
log z TDSSKiller: Dostępne tylko dla zarejestrowanych użytkowników
logi z OTL: Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post18 sie 2013, 11:52

Error: Unable to interpret

Wygląda na to, że zapomniałaś wkleić

:OTL

który jest na początku logu.

Post18 sie 2013, 13:13

Wkleiłam jeszcze raz i oto log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników

-- 18 sie 2013, 13:13 --

I jeszcze raz zrobiłam skan OTL: Dostępne tylko dla zarejestrowanych użytkowników

Post18 sie 2013, 16:47

ADWCleaner.

Naciśnij w Nim przycisk Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = Dostępne tylko dla zarejestrowanych użytkowników{SUB_RFC1766}/srchasst/srchcust.htm
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{SUB_RFC1766}/srchasst/srchasst.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-4258674832-4175548978-1267062532-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
O2 - BHO: (Bing Bar BHO) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll File not found
O3 - HKU\S-1-5-21-4258674832-4175548978-1267062532-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
[2013-08-18 10:38:44 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013-08-18 13:03:03 | 000,000,064 | RHS- | M] () -- C:\Windows\SysNative\drivers\wfplwf.winsecurity
[2013-08-18 13:03:02 | 000,000,064 | RHS- | M] () -- C:\Windows\SysNative\drivers\usbuhci.winsecurity
[2013-08-18 12:40:33 | 000,000,064 | RHS- | M] () -- C:\Windows\SysNative\drivers\tcpip.winsecurity
[2013-08-18 12:40:32 | 000,000,064 | RHS- | M] () -- C:\Windows\SysNative\drivers\volmgrx.winsecurity
[2013-08-18 12:40:11 | 000,000,000 | -H-- | M] () -- C:\ProgramData\cm-lock
[2013-08-16 13:13:57 | 000,001,368 | ---- | M] () -- C:\Users\Rafał\Desktop\Wyczyść rejestr za darmo!.lnk
[2013-06-30 19:16:34 | 000,000,000 | ---D | M] -- C:\Users\Rafał\AppData\Roaming\_MDLogs
@Alternate Data Stream - 32 bytes -> C:\Windows:CM_d34c0b9d3dbe56e66e3886623b1f002764a97ce84db53aae89a8cdd32026bb5c
@Alternate Data Stream - 32 bytes -> C:\Windows:CM_c8fbbf4a505c90ba2f75a64c6579e4bf4c2afabeaa63a8d0f6399ed9ca038ae0
@Alternate Data Stream - 32 bytes -> C:\Windows:CM_4c09c6a837b828f8e71ff53bdfa462592466a103481eefe431e5b35c94a386a5
@Alternate Data Stream - 32 bytes -> C:\Windows:CM_1f24a44e6b128c2d77667e26df6bc247ed05d9ea5eb435533ab783378d367198

:Files
$RECYCLE.BIN /alldrives

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post18 sie 2013, 18:17

Log z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników
Logi OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post19 sie 2013, 22:46

Sentinel.

Użyj Dostępne tylko dla zarejestrowanych użytkowników.

CHR - homepage: Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O3 - HKLM\..\Toolbar: (@C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll,-100) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll File not found
[2013-08-18 10:38:44 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013-08-18 17:43:07 | 000,000,064 | RHS- | M] () -- C:\Windows\SysNative\drivers\wfplwf.winsecurity
[2013-08-18 17:43:06 | 000,000,064 | RHS- | M] () -- C:\Windows\SysNative\drivers\watchdog.winsecurity
[2013-08-18 17:43:05 | 000,000,064 | RHS- | M] () -- C:\Windows\SysNative\drivers\WUDFPf.winsecurity
[2013-08-18 17:43:03 | 000,000,064 | RHS- | M] () -- C:\Windows\SysNative\drivers\wimmount.winsecurity
[2013-08-18 17:42:48 | 000,000,000 | -H-- | M] () -- C:\ProgramData\cm-lock
[2013-08-16 12:45:51 | 000,001,120 | ---- | M] () -- C:\Users\Rafał\Desktop\Continue Mipony Download Manager Installation.lnk
@Alternate Data Stream - 32 bytes -> C:\Windows:CM_d34c0b9d3dbe56e66e3886623b1f002764a97ce84db53aae89a8cdd32026bb5c
@Alternate Data Stream - 32 bytes -> C:\Windows:CM_c8fbbf4a505c90ba2f75a64c6579e4bf4c2afabeaa63a8d0f6399ed9ca038ae0
@Alternate Data Stream - 32 bytes -> C:\Windows:CM_4c09c6a837b828f8e71ff53bdfa462592466a103481eefe431e5b35c94a386a5
@Alternate Data Stream - 32 bytes -> C:\Windows:CM_1f24a44e6b128c2d77667e26df6bc247ed05d9ea5eb435533ab783378d367198

:Files
$RECYCLE.BIN /alldrives

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.