Logi - Niechciana aplikcja "windows defender apps control.exe"

Witam.
Ostatnio złapałem "windows defender apps control.exe". Wydaje mi się, że już się go pozbyłem, ale sprawdźcie proszę moje logi.

Extras:
http://www.wklejto.pl/75447

OTL:
http://www.wklejto.pl/75448

GMER:
http://www.wklejto.pl/75451

Silent Runners:
http://www.wklejto.pl/75450

-
Edit:
Udało mi się dokonać pełnego skanu programem GMER.

Użytkownik Shinneko edytował ten post 27 08 2010 - 03:49

Jeszcze nie wszystko usunięte - pozostał jeszcze z tej infekcji Rootkit.
Reszta w usuwaniu to tylko kosmetyka.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\vista.sys -- (vista)
O4 - HKLM..\Run: [cfFncEnabler.exe] File not found
O4 - HKLM..\Run: [NDSTray.exe] File not found
O4 - HKCU..\Run: [TOSCDSPD] File not found
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - File not found
O33 - MountPoints2\{b118505d-3389-11df-bc22-001e334a677f}\Shell\AutoRun\command - "" = G:\wubi.exe -- File not found
O33 - MountPoints2\{c66ea76b-e25f-11de-aeee-f545473fef67}\Shell\AutoRun\command - "" = CONFIG\S-1-6-21-2434476501-1644491937-600003330-1213\DriveIcon.exe
O33 - MountPoints2\{c66ea76b-e25f-11de-aeee-f545473fef67}\Shell\open\command - "" = CONFIG\S-1-6-21-2434476501-1644491937-600003330-1213\DriveIcon.exe
O33 - MountPoints2\{fd3afd3f-2440-11df-9acd-001e334a677f}\Shell\AutoRun\command - "" = G:\NAUMI\\radil.exe -- File not found
O33 - MountPoints2\{fd3afd3f-2440-11df-9acd-001e334a677f}\Shell\open\command - "" = G:\NAUMI\\radil.exe -- File not found
[2010-08-27 00:55:58 | 000,017,920 | ---- | C] () -- C:\Windows\System32\vista.sys.bak

:Files
NAUMI /alldrives
RECYCLER /alldrives
wubi.exe /alldrives
C:\Users\Velox\AppData\Local\Temp*.html

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[clearallrestorepoints]
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.

Wykonam dziś wieczorem jak wrócę z roboty.
Tymczasem powiedz mi proszę co robią poszczególne polecenia w skrypcie. Nigdy nie jest za późno na naukę.
Jak to możliwe że nie znajduje pliku "cfFncEnabler.exe" skoro wraz ze startem systemu odpala się program Config Free. To samo tyczy się "NDSTray.exe".
A "TOSCDSPD" To chyba sterownik od CD więc jeśli by nie znalazł to powinien pojawić się z nim problem.

Użytkownik Shinneko edytował ten post 27 08 2010 - 11:46

OTL nie znalazł tych plików, więc ich nie ma, programy od tych plików mogą działać bez nich.
Ale skoro chcesz, to zmienimy Script na taki, który tylko wyłączy te pliki z Autostartu. - to na wypadek, gdyby w międzyczasie te pliki zostały doinstalowane przez Ciebie.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\vista.sys -- (vista)
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - File not found
O33 - MountPoints2\{b118505d-3389-11df-bc22-001e334a677f}\Shell\AutoRun\command - "" = G:\wubi.exe -- File not found
O33 - MountPoints2\{c66ea76b-e25f-11de-aeee-f545473fef67}\Shell\AutoRun\command - "" = CONFIG\S-1-6-21-2434476501-1644491937-600003330-1213\DriveIcon.exe
O33 - MountPoints2\{c66ea76b-e25f-11de-aeee-f545473fef67}\Shell\open\command - "" = CONFIG\S-1-6-21-2434476501-1644491937-600003330-1213\DriveIcon.exe
O33 - MountPoints2\{fd3afd3f-2440-11df-9acd-001e334a677f}\Shell\AutoRun\command - "" = G:\NAUMI\\radil.exe -- File not found
O33 - MountPoints2\{fd3afd3f-2440-11df-9acd-001e334a677f}\Shell\open\command - "" = G:\NAUMI\\radil.exe -- File not found
[2010-08-27 00:55:58 | 000,017,920 | ---- | C] () -- C:\Windows\System32\vista.sys.bak

:Files
NAUMI /alldrives
RECYCLER /alldrives
wubi.exe /alldrives
C:\Users\Velox\AppData\Local\Temp*.html

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cfFncEnabler.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NDSTray.exe"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"=-

:Commands
[emptytemp]
[clearallrestorepoints]
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.

Wykonam dziś wieczorem jak wrócę z roboty.
Tymczasem powiedz mi proszę co robią poszczególne polecenia w skrypcie. Nigdy nie jest za późno na naukę.

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\vista.sys -- (vista)

To usuwa plik Rootkita wraz z jego usługą.
--------------------------------------

O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - File not found

To usuwa z Rejestru puste klucze niestandardowo wtórnie dodanych przycisków w głównym pasku narzędziowym i dodatkowe opcje w menu "Narzędzia" w Internet Explorer - są bezplikowe, więc i tak już nie działają.
---------------------------------

O33 - MountPoints2\{b118505d-3389-11df-bc22-001e334a677f}\Shell\AutoRun\command - "" = G:\wubi.exe -- File not found
O33 - MountPoints2\{c66ea76b-e25f-11de-aeee-f545473fef67}\Shell\AutoRun\command - "" = CONFIG\S-1-6-21-2434476501-1644491937-600003330-1213\DriveIcon.exe
O33 - MountPoints2\{c66ea76b-e25f-11de-aeee-f545473fef67}\Shell\open\command - "" = CONFIG\S-1-6-21-2434476501-1644491937-600003330-1213\DriveIcon.exe
O33 - MountPoints2\{fd3afd3f-2440-11df-9acd-001e334a677f}\Shell\AutoRun\command - "" = G:\NAUMI\\radil.exe -- File not found
O33 - MountPoints2\{fd3afd3f-2440-11df-9acd-001e334a677f}\Shell\open\command - "" = G:\NAUMI\\radil.exe -- File not found

To usuwa z Rejestru klucze infekcji pendrivowej.
----------------------------------------------

[2010-08-27 00:55:58 | 000,017,920 | ---- | C] () -- C:\Windows\System32\vista.sys.bak

To usuwa zapasowy plik Rootkita.
------------------------------------------

NAUMI /alldrives
RECYCLER /alldrives
wubi.exe /alldrives

To usuwa te obiekty ze wszystkich dysków.
Bezpośrednio na dyskach mogą być tylko obiekty Systemu, oraz obiekty narzędzi skanująco-usuwające.
Wszelkie inne obiekty, jeśli znajdują się bezpośrednio na dysku, nawet jeśli są "dobre", traktowane są jako "złe" i muszą być usunięte, (np. "wubi.exe" jest może dobry, ale ponieważ jest bezpośrednio na dysku, więc jest do usunięcia).
Recycler to KOSZ, odrodzi się samoczynnie, ale będzie opróżniony.
------------------------------------

C:\Users\Velox\AppData\Local\Temp*.html

Usuwa pliki podobne do C:\Users\Velox\AppData\Local\TempuY3324.html - są zbędne, a powstają lawinowo, po jakimś czasie mogą zapełnić cały dysk.
-----------------------------

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

To klucz wykorzystywane przez infekcje pendrivowe, po usunięciu odrodzi się samoczynnie, ale już będzie czysty.
-------------------------------------------------
:Commands ->komendy
[emptytemp] --> opróżnia foldery TEMP
[clearallrestorepoints] _--->likwiduje wszystkie dotychczasowe punkty "Przywracania Systemu"
[Reboot] >>restart komputera

.

Ze skryptu wywaliłem:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cfFncEnabler.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NDSTray.exe"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"=-

Bo wymyśliłem sobie że przeinstaluję config free i problem powinien minąć.

Raport pierwszy: http://www.wklejto.pl/75501

Raport drugi: http://www.wklejto.pl/75502

Co się dało usunąć, to usunięte.
Nic tu więcej nie ma dla mnie do roboty.
.

Dzięki wielkie za pomoc i wyjaśnienia.