desktop.ini w C:\WINDOWS\assembly\GAC - trojan

[main]

witam

od 2-3 dni walcze z tym trojanem, wykrywa mi go Kaspersky i Malwarebytes, ten drugi usuwa ale po chwili tworzy sie on na nowo;
prosze o pomoc, boje sie cokolwiek robic na komputerze;
zalaczam scany z otl;

OTL Dostępne tylko dla zarejestrowanych użytkowników
Extras Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"{D2F5287E-5F0E-447B-9157-B08AA4E2AC76}" = Opera 9.60
"{D9226EB1-C528-48AC-B423-BD9240E1F60B}" = Opera 9.62
"{E1A88DE8-BD36-4DEA-8DD8-E35EF475ADC7}" = Opera 9.52
"{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64
"HijackThis" = HijackThis 2.0.2
"PITy 2010_is1" = PITy 2010 dla Windows kompilacja:1.2.6.16
"PITy 2011_is1" = PITy 2011 dla Windows kompilacja:1.3.3.2
"Veetle TV" = Veetle TV
"vShare" = vShare Plugin

Odinstaluj to oprogramowanie.

O33 - MountPoints2\{46dd2792-ace0-11e1-8276-0019d24d9b15}\Shell\Auto\command - "" = serivces.exe
O33 - MountPoints2\{46dd2792-ace0-11e1-8276-0019d24d9b15}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL serivces.exe

Z podłączonymi pamięciami przenośnymi użyj USBFix -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm z opcji Deletion, a następnie zaprezentuj utworzony log.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe -- (WPFFontCache_v0400)
SRV - File not found [On_Demand | Stopped] -- winhttp.dll -- (WinHttpAutoProxySvc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Adapter | On_Demand | Unknown] -- -- (LicenseInfo)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\kwlyqpog.sys -- (kwlyqpog)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ewfiltertdidriver.sys -- (filtertdidriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-3162662143-1847251711-2802006096-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
IE - HKU\S-1-5-21-3162662143-1847251711-2802006096-500\..\SearchScopes,DefaultScope = ${searchCLSID}
IE - HKU\S-1-5-21-3162662143-1847251711-2802006096-500\..\SearchScopes\{4A171060-0C2E-4C4F-918F-1824B905C162}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}
FF - prefs.js..extensions.enabledItems: {81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}:7.3.0.0
FF - prefs.js..extensions.enabledItems: {d94d712d-3eb3-8a6b-3e11-c354b0b69f1b}:4.6.8.5
FF - prefs.js..network.proxy.ftp: "127.0.0.1"
FF - prefs.js..network.proxy.ftp_port: 8080
FF - prefs.js..network.proxy.gopher: "5.6.7.8"
FF - prefs.js..network.proxy.gopher_port: 8080
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.no_proxies_on: "127.0.0.1"
FF - prefs.js..network.proxy.socks: "127.0.0.1"
FF - prefs.js..network.proxy.socks_port: 1080
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl_port: 8080
FF - prefs.js..browser.search.update: false
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: C:\Program Files\Veetle\plugins\npVeetle.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Program Files\Veetle\Player\npvlc.dll (Veetle Inc)
[2011-09-03 12:19:20 | 000,000,000 | ---D | M] (iMacros for Firefox) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2tcpwj8g.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}
[2012-04-07 14:05:59 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{d94d712d-3eb3-8a6b-3e11-c354b0b69f1b}
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O15 - HKU\S-1-5-21-3162662143-1847251711-2802006096-500\..Trusted Domains: polbank24.pl ([www] https in Zaufane witryny)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} Dostępne tylko dla zarejestrowanych użytkowników (Microsoft Office Template and Media Control)
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
@Alternate Data Stream - 104 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:9A870F8B

:Files
g:\docs\6rf01eds.exe
C:\WINDOWS\tasks\*.*
g:\docs\SystemLook.exe
C:\Documents and Settings\Administrator\Dane aplikacji\vShare
C:\Documents and Settings\All Users\Dane aplikacji\TEMP

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z Combofix -> http://www.hotfix.pl/articles.php?article_id=41 + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + logi z OTL.

[main]

nie wykonalem kroku z USBFix, bo nie posiadam aktualnie zadnych pamieci przenosnych;

1. log z usuwania otl Dostępne tylko dla zarejestrowanych użytkowników
2. log z awd Dostępne tylko dla zarejestrowanych użytkowników
3. Combofix nie dziala na serwerach (mam Windows 2003)
4. log z tdsskiller Dostępne tylko dla zarejestrowanych użytkowników
5. logi ze skanowania otl
otl: Dostępne tylko dla zarejestrowanych użytkowników
extras: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

nie wykonalem kroku z USBFix, bo nie posiadam aktualnie zadnych pamieci przenosnych;

W takim razie użyj USBFix`a bez pamięci zewnętrznych.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\batch.lnk = G:\programy\safe\batch.bat ()

:Files
C:\WINDOWS\tasks\*.*

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[main]

otl Dostępne tylko dla zarejestrowanych użytkowników
extras Dostępne tylko dla zarejestrowanych użytkowników
autoruns Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

USBFix.

Nie widzę loga.

Autoruns.

W Autoruns odznacz, a następnie usuń (co się bedzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

rdpclip

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

NotebookHardwareControl

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

WIAWizardMenu

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

FreeCommander.lnk

HKLM\Software\Microsoft\Internet Explorer\Toolbar

FlashGet Bar

HKLM\Software\Microsoft\Internet Explorer\Extensions

&FlashGet

HKLM\System\CurrentControlSet\Services

AeLookupSvc
aspnet_state
gusvc
helpsvc
odserv
ose

HKLM\System\CurrentControlSet\Services

Changer
i2omgmt
PDCOMP
PDFRAME
PDRELI
PDRFRAME
WDICA

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32

msacm.divxa32
msacm.vorbis

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3162662143-1847251711-2802006096-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3162662143-1847251711-2802006096-500\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[main]

usb fix Dostępne tylko dla zarejestrowanych użytkowników
log z usuwania Dostępne tylko dla zarejestrowanych użytkowników
otl Dostępne tylko dla zarejestrowanych użytkowników
extras Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

USBFix.

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3162662143-1847251711-2802006096-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3162662143-1847251711-2802006096-500\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}

:Files
C:\UsbFix
RECYCLER /alldrives
C:\UsbFix.txt

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Internet Explorer (Version = 7.0.5730.11)

Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz) -> Dostępne tylko dla zarejestrowanych użytkowników.

"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java(TM) 6 Update 21

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"LameACM" = Lame ACM MP3 Codec
"Combined Community Codec Pack_is1" = Combined Community Codec Pack 2008-09-21 16:18

Odinstaluj i zainstaluj to -> Dostępne tylko dla zarejestrowanych użytkowników.

"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.6

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17)

Zaktualizuj Firefox`a do najnowszej wersji (Firefox -> Pomoc -> Sprawdź dostępność aktualizacji...).

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

[main]

logow juz nie bede wklejal, nieopatrznie dalem sprzatanie w OTL zanim je zdazylem zalaczyc;
system juz chodzi dobrze, serdecznie dziekuje za pomoc!

[kominekl]

logow juz nie bede wklejal, nieopatrznie dalem sprzatanie w OTL zanim je zdazylem zalaczyc;
system juz chodzi dobrze, serdecznie dziekuje za pomoc!

OK. Pamiętaj o reszcie instrukcji, gdyż są ważne.