[Resolvido!] Log para analise-

RUY · Dezembro 1, 2008

Explicação:

Ontem acessamos a intenet usando o firefox portavel, hoje ao acessar a internet o avast detectou um virus

BV:Autorun-G(Wrm), ele contaminou o arquivo autorun.ini do pen drive.

Nota:

O arquivo rundll32.exe foi apagado mas o recuperei.

Nota 2:

O usuário administrador, não consegue acessar o gerenciador de arquivos sendo que eu mesmo não o uso, apenas entro como usuário padrão, que tem alguns privilégios.

Nota 3:

Pen drive continua infectado, mas não detectei nada no micro.Gostaria de saber como posso livrar o pendrive desse arquivo.

Grato pela atenção.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:15:21, on 1/12/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Arquivos de programas\Tall Emu\Online Armor\oasrv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINNT\system32\cisvc.exe

C:\WINNT\System32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINNT\system32\PnkBstrA.exe

C:\WINNT\system32\PnkBstrB.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\WINNT\Explorer.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Tall Emu\Online Armor\oaui.exe

C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

C:\WINNT\system32\cidaemon.exe

C:\Arquivos de programas\Mobile Partner\Mobile Partner.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINNT\system32\msiexec.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Paltalk Messenger\paltalk.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\explore.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [OnlineArmor GUI] "C:\Arquivos de programas\Tall Emu\Online Armor\oaui.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Arquivos de programas\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Global Startup: BOOKcase 4.0.lnk = C:\Arquivos de programas\TEXTware\BOOKcase40\BC40CASE.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: PalTalk.lnk = C:\Arquivos de programas\Paltalk Messenger\paltalk.exe

O4 - Global Startup: Service Manager.lnk = C:\Arquivos de programas\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O12 - Plugin for .tif: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1205076960307

O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{522D9ABB-C2A0-46FB-94EC-B5E2F9BA13E3}: NameServer = 200.169.119.22 200.169.117.22

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINNT\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINNT\system32\PnkBstrB.exe

O23 - Service: Online Armor (SvcOnlineArmor) - Unknown owner - C:\Arquivos de programas\Tall Emu\Online Armor\oasrv.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe

--

End of file - 5287 bytes

jgarcia · Dezembro 2, 2008

Opa RUY,

Baixe o ComboFix em:

ComboFix

1) Desabilite o seu anti-vírus temporariamente;

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Leia atentamente o texto contido nesta janela e clique sobre “SIM” para continuar.

PS.: Caso não concorde com os termos clique sobre “NÃO” para sair do software, cabendo lembrar que o processo de desinfecção não será possível sem a continuidade do ComboFix.

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console ante de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADA COM SUCESSO”.

Clique sobre “SIM” para continuar a varredura.

5) O ComboFix iniciará o AUTOSCAN (aguarde).

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

Ao término do processo a máquina será reiniciada para a emissão do relatório.

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log ficará alocado em C:\ComboFix.txt.

7) Reabilite o seu anti-vírus;

8) Preciso que você cole o conteúdo do ComboFix.txt em sua próxima resposta.

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Em último caso, tente utilizar o ComboFix em MODO SEGURO.

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

Abraços.

RUY · Dezembro 2, 2008

Log do combofix

ComboFix 08-12-01.01 - Administrador 02/12/2008 11:21:45.1 - NTFSx86

Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1046.18.658 [GMT -3:00]

Executando de: c:\documents and settings\ivansc\Desktop\ComboFix.exe

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\winnt\system32\i

c:\winnt\system32\Microsoft\backup.ftp

c:\winnt\Web\default.htt

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_NPF

(((((((((((((((( Arquivos/Ficheiros criados de 2008-11-02 to 2008-12-02 ))))))))))))))))))))))))))))

.

2008-12-02 11:31 . 08-12-02 11:31 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_408.dat

2008-12-02 11:29 . 08-12-02 11:29 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_318.dat

2008-12-02 11:29 . 08-12-02 11:29 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_13c.dat

2008-12-01 21:06 . 08-12-01 21:05 410,984 --a------ c:\winnt\system32\deploytk.dll

2008-12-01 21:06 . 08-12-01 21:05 73,728 --a------ c:\winnt\system32\javacpl.cpl

2008-12-01 21:04 . 08-12-01 21:04 <DIR> d-------- c:\arquivos de programas\Java

2008-12-01 16:34 . 00-01-22 23:15 10,000 --a------ c:\winnt\system32\rundll32.exe

2008-12-01 12:27 . 08-12-01 15:48 <DIR> d-------- C:\LinhaDefensiva

2008-12-01 10:24 . 08-12-01 10:24 96,560 --a------ c:\winnt\system32\sfc.dll

2008-12-01 10:23 . 08-12-01 10:23 171,520 -r-hs---- c:\winnt\system32\drivers\explore.exe

2008-11-10 22:08 . 07-08-24 19:43 101,120 -ra------ c:\winnt\system32\drivers\ewusbmdm.sys

2008-11-10 21:59 . 07-08-24 19:43 24,448 -ra------ c:\winnt\system32\drivers\ewdcsc.sys

2008-11-08 12:59 . 08-12-02 01:17 920,750 ---h----- c:\winnt\ShellIconCache

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-02 14:35 --------- d-----w c:\documents and settings\Administrador\Dados de aplicativos\OnlineArmor

2008-12-02 00:38 --------- d-----w c:\documents and settings\ivansc\Dados de aplicativos\OnlineArmor

2008-12-01 16:48 42,256 -c--a-w c:\winnt\system32\FTP.EXE

2008-11-11 01:00 --------- d-----w c:\arquivos de programas\Mobile Partner

2008-11-02 03:12 --------- d-----w c:\documents and settings\Ana\Dados de aplicativos\OnlineArmor

2008-07-24 22:30 13,097,576 ----a-w c:\arquivos de programas\MPSetup.exe

2008-03-01 23:44 9,195,208 ----a-w c:\arquivos de programas\INSTALL_MSN_MESSENGER_NT.EXE

2004-01-12 20:43 560 -c--a-w c:\arquivos de programas\Global.sw

2003-12-06 23:22 271 ---h--w c:\arquivos de programas\desktop.ini

2003-12-06 23:22 22,040 -c-h--w c:\arquivos de programas\folder.htt

2001-05-07 21:00 32,528 -c--a-w c:\winnt\inf\wbfirdma.sys

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [08-07-07 09:42 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [08-11-18 14:39 81000]

"OnlineArmor GUI"="c:\arquivos de programas\Tall Emu\Online Armor\oaui.exe" [08-02-25 09:46 5497920]

"NeroCheck"="c:\winnt\system32\\NeroCheck.exe" [01-07-09 07:50 155648]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [08-12-01 21:05 136600]

"Synchronization Manager"="mobsync.exe" [03-06-19 12:05 111888 c:\winnt\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"^SetupICWDesktop"="c:\arquivos de programas\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 12:05 189712]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

BOOKcase 4.0.lnk - c:\arquivos de programas\TEXTware\BOOKcase40\BC40CASE.exe [2005-03-31 393260]

Microsoft Office.lnk - c:\arquivos de programas\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]

PalTalk.lnk - c:\arquivos de programas\Paltalk Messenger\paltalk.exe [2008-05-08 10452992]

Service Manager.lnk - c:\arquivos de programas\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2005-05-31 69632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"= mmdrv.dll

"vidc.ir32"= c:\winnt\System32\ir32_32.dll

"vidc.ir31"= c:\winnt\System32\ir32_32.dll

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"vidc.DIVF"= DivX412.dll

"VIDC.HFYU"= huffyuv.dll

"msacm.divxa32"= DivXa32.acm

"VIDC.ZMBV"= zmbv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

R1 aswSP;avast! Self Protection;c:\winnt\system32\drivers\aswSP.sys [2008-04-04 110160]

R1 OADevice;OADriver;\??\c:\winnt\system32\drivers\OADriver.sys [2008-03-26 69120]

R1 OAmon;OAmon;\??\c:\winnt\system32\drivers\OAmon.sys [2008-03-26 25088]

R1 OAnet;OAnet;\??\c:\winnt\system32\drivers\OAnet.sys [2008-03-26 22016]

R2 aswFsBlk;aswFsBlk;c:\winnt\system32\DRIVERS\aswFsBlk.sys [2008-04-04 20560]

R2 aswMon;avast! Standard Shield Support;c:\winnt\system32\drivers\aswMon.sys [2006-12-26 93296]

R2 LMIRfsDriver;LogMeIn Remote File System Driver;\??\c:\winnt\system32\drivers\LMIRfsDriver.sys [2008-04-05 45848]

R3 usbhub20;USB 2.0 Root Hub Support;c:\winnt\system32\DRIVERS\usbhub20.sys [2005-03-22 49776]

S2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\arquivos de programas\LogMeIn\x86\RaInfo.sys []

S2 SvcOnlineArmor;Online Armor;"c:\arquivos de programas\Tall Emu\Online Armor\oasrv.exe" [2008-03-26 5384768]

S2 wampapache;wampapache;"c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe" -k runservice [2008-11-04 24635]

S3 DbgProxy;Visual Studio Debugger Proxy Service;c:\arquivos de programas\Microsoft Visual Studio .NET 2003\Common7\Packages\Debugger\dbgproxy.exe [2003-03-19 53248]

S3 viafilter;VIA USB Filter;c:\winnt\system32\Drivers\viausb.sys [2003-12-06 9038]

S3 wampmysqld;wampmysqld;c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe wampmysqld []

S4 LMIRfsClientNP;LMIRfsClientNP; []

*Newly Created Service* - IPNAT

*Newly Created Service* - RASAUTO

*Newly Created Service* - SHAREDACCESS

.

Conteúdo da pasta 'Tarefas Agendadas'

2008-11-04 c:\winnt\Tasks\Spybot - Search & Destroy - Scheduled Task.job

- c:\arquivos de programas\Spybot - Search & Destroy\SpybotSD.exe [08-07-07 09:42 ]

2008-10-23 c:\winnt\Tasks\Spybot - Search & Destroy Updater - Scheduled Task.job

- c:\arquivos de programas\Spybot - Search & Destroy\SDUpdate.exe [08-07-07 09:42 ]

.

------- Scan Suplementar -------

.

FireFox -: Profile - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\xx9ego3h.default\

FF -: plugin - c:\arquivos de programas\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll

FF -: plugin - c:\arquivos de programas\Java\jre6\bin\new_plugin\npdeploytk.dll

FF -: plugin - c:\arquivos de programas\Java\jre6\bin\new_plugin\npjp2.dll

FF -: plugin - c:\arquivos de programas\Mozilla Firefox\plugins\npdeploytk.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-02 11:35:20

Windows 5.0.2195 Service Pack 4 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]

"ImagePath"="\??\c:\winnt\TEMP\mc21.tmp"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(248)

c:\winnt\system32\wzcdlg.dll

c:\winnt\system32\WZCSAPI.DLL

.

Tempo para conclusão: 2008-12-02 11:39:06 - Máquina reiniciou

ComboFix-quarantined-files.txt 2008-12-02 14:39:00

Pré-execução: 6.138.212.352 bytes disponíveis

Pós execução: 6,109,339,648 bytes disponíveis

135 --- E O F --- 2008-09-14 23:47:46

=================================

Log Hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:31:02, on 2/12/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Arquivos de programas\Tall Emu\Online Armor\oasrv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINNT\system32\cisvc.exe

C:\WINNT\System32\svchost.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINNT\system32\PnkBstrA.exe

C:\WINNT\system32\PnkBstrB.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\WINNT\Explorer.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Tall Emu\Online Armor\oaui.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINNT\system32\taskmgr.exe

C:\WINNT\notepad.exe

C:\Arquivos de programas\Mobile Partner\Mobile Partner.exe

C:\WINNT\system32\cidaemon.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netvibes.com/ivansc

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896