Problem z Trojan BitCoin

[Haifisch]

Witam,
Mam problem z usunięciem Trojana BitCoin.miner. Za każdym razem, gdy usuwam go używając Malwarebytes, przy ponownym uruchamianiu komputera, trojan ten znów się pojawia i ponownie zaczyna swoją działalność. Proszę o pomoc.
Logi OTL:
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

1) Użyj >Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[S1].txt

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O2 - BHO: (no name) - {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} - No CLSID value found.
O4 - HKU\S-1-5-21-3065889509-1936013125-1743950190-1000..\Run: [EPSON SX110 Series] C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIFBE.EXE /FU "C:\Windows\TEMP\E_S119C.tmp" /EF "HKCU" File not found
O4 - HKU\S-1-5-21-3065889509-1936013125-1743950190-1000..\Run: [EPSON SX110 Series (Kopia 1)] C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIFBE.EXE /FU "C:\Windows\TEMP\E_SE4D2.tmp" /EF "HKCU" File not found
O4 - HKU\S-1-5-21-3065889509-1936013125-1743950190-1000..\Run: [ISUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup File not found
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: Rich Media Downloader - {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} - Reg Error: Key error. File not found
[2013-11-11 17:39:33 | 000,000,000 | ---D | C] -- C:\ProgramData\eSafe
[2013-10-29 22:55:16 | 000,000,000 | ---D | C] -- C:\Users\Dunaj\AppData\Roaming\speedtest4350
[2013-10-29 22:54:55 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SimilarSites
[2013-10-29 22:54:52 | 000,000,000 | ---D | C] -- C:\Users\Dunaj\AppData\Roaming\SimilarSites
[2013-10-29 22:39:44 | 000,000,000 | ---D | C] -- C:\Users\Dunaj\AppData\Roaming\FoxTab
[2013-10-29 22:39:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Foxtab

:Files
C:\Windows\Temp\svchost.exe
C:\Windows\Temp\svchost.exe
C:\Windows\Temp\svchost.exe
C:\Windows\Temp\svchost.exe

:Reg
[-HKEY_USERS\S-1-5-21-3065889509-1936013125-1743950190-1000\Software\Microsoft\Internet Explorer\SearchScopes\{decabc4f-3db2-4891-8ea8-481dd7f8a09c}]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-3065889509-1936013125-1743950190-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

3) Masz FRST - zrób z niego logi.

F.

[Haifisch]

AdwCleaner przed usunięciem:
Dostępne tylko dla zarejestrowanych użytkowników
AdwCleaner po usunięciu:
Dostępne tylko dla zarejestrowanych użytkowników
Raport po usuwaniu skryptu:
Dostępne tylko dla zarejestrowanych użytkowników
OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Extras:
Dostępne tylko dla zarejestrowanych użytkowników
FRST:
Dostępne tylko dla zarejestrowanych użytkowników
Addition:
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Dopiero w logu FRST Addition widać, dlaczego infekcja nie daje się usunąć:

Task: {3994BD3D-6FC1-4A37-8E03-957FD06C3E1C} - System32\Tasks\Origin => C:\Users\Dunaj\AppData\Roaming\Origin\update.vbe [2013-10-22] ()

Fałszywy program "Origin"!

Otwórz Notatnik i wklej w nim:

C:\Windows\Temp\svchost.exe
Task: {3994BD3D-6FC1-4A37-8E03-957FD06C3E1C} - System32\Tasks\Origin => C:\Users\Dunaj\AppData\Roaming\Origin\update.vbe [2013-10-22] ()
C:\Users\Dunaj\AppData\Roaming\Origin\update.vbe
C:\Users\Dunaj\AppData\Roaming\Origin
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
S3 MSICDSetup; \??\E:\CDriver64.sys [x]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [x]
Task: {5ED53C9A-0CC9-445B-9499-8DA5DBBF0A0B} - \FoxTab No Task File
2013-11-17 10:48 - 2013-11-17 10:48 - 00538126 _____ () C:\Windows\Temp\libcurl-4.dll
2013-11-17 10:48 - 2013-11-17 10:48 - 00084992 _____ () C:\Windows\Temp\zlib1.dll

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
Daj go.

Zrób nowe logi z FRST.

F.

[Haifisch]

Fixlog:
Dostępne tylko dla zarejestrowanych użytkowników
FRST:
Dostępne tylko dla zarejestrowanych użytkowników
Addition:
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Otwórz Notatnik i wklej w nim:

C:\ProgramData\Origin
DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
Nie dawaj już tego logu, powinno już być OK.

Kończymy:
przez SHIFT+DEL usuń pozostały folder C:\FRST

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.

[Haifisch]

Wszystko działa bez zarzutów. Dzięki wielkie za pomoc.