Analiza logów Combofix i Malwarebytes po wykryciu rootkita i Trojan.Vundo

Przyniesiono mi dzisiaj notebooka z prośbą o format ponieważ zaczął zamulać i internet przestał działać a antywirus coś niby wykrył. Więc oczywiście od razu włączyłem Combofixa który na początku wykrył rootkita w c:\windows\system32\kddel.exe po czym jeszcze pousuwał jeszcze trochę plików. Uruchomiłem jeszcze Malwerbytes, który wykrył 167 infekcji w tym Trojan.Vundo. Proszę o sprawdzenie załączonych logów czy jeszcze coś pozostało do usunięcia.

Edit:
Ta wykryta infekcja Vundo w Malwerbytes musiała być tylko pozostałością ponieważ VundoFix nic nie wykrył.

Odinstaluj:
c:\program files\free-downloads.net
c:\program files\Conduit

Wklej do notatnika:
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"=-

[-HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"=-

[-HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{ECDEE021-0D17-467F-A1FF-C7A115230949}"=-

[-HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

Zapisz jako fix.reg i uruchom.

Usun w hijackthis:
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT1098640
IE: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRman000

Odinstaluj Firefox, usun katalog profilu i zainstaluj ponownie.

Wszystko wykonane, co do usunięcia w Hijackthis:
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT1098640
IE: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRman000
już tego nie było, prawdopodobnie Malwarebytes już to usunął. Zamieszczam jeszcze log z Combofix do kontroli.

Wyglada ok.