Wyskakujący komunikat NOD32 - Adres został zablokowany

Witam,

Od wczoraj wyskakuje mi komunikat z Nod'a -

Adres został zablokowany
Adres URL:
"tooldawn.com/ad_type.php.....
AdresIP:
64.120.244.196:80

Skanowanie komputera nie pomogło, NOD nie zapisuje nawet tego alertu w dzienniku zdarzeń.
Combofix też tego nie usunął

Kod:

http://www.wklej.eu/index.php?id=49f0c39398 - Hijack
http://www.wklej.eu/index.php?id=fa5f3ec5fa - OTL
http://www.wklej.eu/index.php?id=6a5fd70ad0 - Extras
http://www.wklej.eu/index.php?id=e93f45fe73 - Combofix

Proszę o analizę
Pozdrawiam tezet

ComboFixa używamy tylko wtedy, gdy poprosimy o to na forum, nie należy korzystać z niego na własną rękę.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
PRC - [2010-12-13 17:39:17 | 000,194,560 | ---- | M] () -- C:\Windows\Cminoa.exe
SRV - File not found [Auto | Stopped] -- C:\Program Files\NewTech Infosystems\Backup Now EZ\BackupNowEZSvr.exe -- (NTI BackupNowEZSvr)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Instalki\MoreTV\HWIONT.sys -- (HWIONT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\blbdrive.sys -- (blbdrive)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
FF - prefs.js..browser.search.defaultthis.engineName: "MyAshampoo Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&SearchSource=3&q={searchTerms}"
O3 - HKU\S-1-5-21-2542373815-1129221075-394260086-1000\..\Toolbar\WebBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - Reg Error: Value error. File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
[2010-12-14 10:19:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Max Secure
[2010-12-14 10:18:44 | 023,312,912 | ---- | C] (Max Secure Software ) -- C:\Users\Tomek\Desktop\maxspywaredetector.exe
[2010-12-14 10:17:04 | 000,000,000 | ---D | C] -- C:\Users\Tomek\AppData\Local\Max Secure Software
[2010-12-14 12:51:20 | 000,000,246 | -H-- | M] () -- C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"=-
"Skytel"=-
"ISUSScheduler"=-
"IgfxTray"=-
"HotKeysCmds"=-
"Persistence"=-
"SunJavaUpdateSched"=-


:Files
C:\Windows\Cminoa.exe

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

nowy log OTL -

Kod:

http://www.wklej.eu/index.php?id=3147361701

W OTL wklej:

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Kod:

http://www.wklej.eu/index.php?id=76689ba0fa

- raport Malwarebytes

Ok, możesz jeszcze opróżnić kwarantannę Malwarebytes.

Wielkie dzięki za pomoc