Trojan - dezynfekcja. Prośba o pomoc.

[Hatebreeder]

Witam, pobrałem dziś mały plik instalacyjny i okazał się nie być programem a Trojanem. Przepuściłem go najpierw przez Kaspersky'go - czego nie powinienem był robić. 

Pojawiło się okienko ms dos, kiedy je zamknąłem i przerwałem instalacje nie dało się już tego pliku instalacyjnego usunąć. Wyłączyłem komputer i w trybie awaryjnym przeskanowałem Malwarebytes.

Znalazł mi trojana. Proszę o pomoc, niewiem czy udało mi się tym zabiegiem usunąć wszystko.

 

FRST.txt

Addition.txt

Shortcut.txt

Gmer.txt

[jessica]

1) Odinstaluj ten program:

Softonic Assistant (HKU\S-1-5-21-1292428093-616249376-839522115-1003\...\SoftonicAssistant) (Version: 0.1.6 - Softonic International S.A.) <==== UWAGA

 

2) Otwórz Notatnik i wklej w nim:

 

ShortcutWithArgument: C:\Documents and Settings\Artur\Menu Start\Programy\Internet Explorer.lnk -> C:\_OTL\MovedFiles\10032012_074130\C_found.000\dir0006.chk\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1451198511&a=1024132&src=sh&uuid=c24ce1f8-3573-431d-ac53-2b2344066cd4"
ShortcutWithArgument: C:\Documents and Settings\Artur\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1451198511&a=1024132&src=sh&uuid=c24ce1f8-3573-431d-ac53-2b2344066cd4"
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\OpenSSL\Official OpenSSL Documentation.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1451198511&a=1024132&src=sh&uuid=c24ce1f8-3573-431d-ac53-2b2344066cd4"
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\OpenSSL\Official OpenSSL Website.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1451198511&a=1024132&src=sh&uuid=c24ce1f8-3573-431d-ac53-2b2344066cd4"
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\OpenSSL\Win32 OpenSSL Website.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1451198511&a=1024132&src=sh&uuid=c24ce1f8-3573-431d-ac53-2b2344066cd4"
HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u
BootExecute: PDBoot.exeautocheck autochk * sh4native Sh4Removal
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "www.google.com" <======= UWAGA
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
FF Extension: OneTab - C:\Documents and Settings\Artur\Dane aplikacji\Mozilla\Firefox\Profiles\9y8kl4fn.default\Extensions\extension@one-tab.com.xpi [2015-12-31]
FF Extension: FindBar Tweak - C:\Documents and Settings\Artur\Dane aplikacji\Mozilla\Firefox\Profiles\9y8kl4fn.default\Extensions\fbt@quicksaver.xpi [2015-12-30]
CHR StartupUrls: Profile 4 -> "hxxp://search.babylon.com/?babsrc=HP_ss_sps&mntrId=68FF00508D9F4899&affID=119357&tsp=4932","hxxp://www.delta-search.com/?babsrc=HP_ss&mntrId=68FF00508D9F4899&affID=119357&tsp=4932","hxxp://www.yoursearching.com/?type=hp&ts=1451643699&z=092872e274ddeaa89480698g7z0wfg7q3zdc9q7tdt&from=cor&uid=wdcxwd10eads-00p8b0_wd-wmavu028991289912"
CHR HKLM\...\Chrome\Extension: [pjldcfjmnllhmgjclecdnfampinooman] - <Brak Path\update_url>
CHR HKLM\...\Chrome\Extension: [dchlnpcodkpfdpacogkljefecpegganj] - <Brak Path\update_url>
CHR HKLM\...\Chrome\Extension: [jagncdcchgajhfhijbbhecadmaiegcmh] - <Brak Path\update_url>
CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - <Brak Path\update_url>
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.istartsurf.com/?type=sc&ts=1446593363&z=4c2d7168250376ca9fecba3gezdz0qcw7t0cae3t4o&from=cor&uid=WDCXWD10EADS-00P8B0_WD-WMAVU028991289912
StartMenuInternet: (HKLM) Opera.exe - C:\Program Files\Opera\Opera.exe hxxp://www.istartsurf.com/?type=sc&ts=1446593363&z=4c2d7168250376ca9fecba3gezdz0qcw7t0cae3t4o&from=cor&uid=WDCXWD10EADS-00P8B0_WD-WMAVU028991289912
S2 WdsManPro; C:\Documents and Settings\All Users\Dane aplikacji\2WMiniPro2\WMiniPro.exe -service [X]
S3 cpuz130; \??\C:\DOCUME~1\Artur\USTAWI~1\Temp\cpuz130\cpuz_x32.sys [X]
S3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x32.sys [X]
S4 hpt3xx; Brak ImagePath
CustomCLSID: HKU\S-1-5-21-1292428093-616249376-839522115-1003_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-1292428093-616249376-839522115-1003_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-1292428093-616249376-839522115-1003_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-1292428093-616249376-839522115-1003_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-1292428093-616249376-839522115-1003_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-1292428093-616249376-839522115-1003_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-1292428093-616249376-839522115-1003_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-1292428093-616249376-839522115-1003_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-1292428093-616249376-839522115-1003_Classes\CLSID\{DB25D157-76D4-41C1-97B5-359E4A4CECEB}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-1292428093-616249376-839522115-1003_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> Brak ścieżki do pliku
FF Extension: Session Manager - C:\Documents and Settings\Artur\Dane aplikacji\Mozilla\Firefox\Profiles\9y8kl4fn.default\Extensions\{1280606b-2510-4fe0-97ef-9b5a22eafe30}.xpi [2015-12-30]
C:\Program Files\TDataDld
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Daj raport z tego.

 

3) Zrób nowe logi FRST.

 

jessi
 

[Hatebreeder]

Podczas naprawy zwiesił się w Firefox\Profiles i jeszcze raz uruchomiłem. Mam nadzieję że będzie ok.

Jak mogę usunąć Softonic Assistant ? Revo Uninstaller tego nie widzi, dodaj/usuń też tego nie ma. 

 

 

 

Fixlog.txt

FRST.txt

Addition.txt

Shortcut.txt

[jessica]

Jak mogę usunąć Softonic Assistant ? Revo Uninstaller tego nie widzi, dodaj/usuń też tego nie ma. 

ale w logu jest dalej:

Softonic Assistant (HKU\S-1-5-21-1292428093-616249376-839522115-1003\...\SoftonicAssistant) (Version: 0.1.6 - Softonic International S.A.) <==== UWAGA

jak widać, jest zainstalowany tylko na jednym Użytkowniku.

 

Otwórz Notatnik i wklej w nim:

 

 

DeleteKey: HKu\S-1-5-21-1292428093-616249376-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SoftonicAssistant

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Niezbyt mi się podoba to Zaplanowane Zadanie:

Task: C:\WINDOWS\Tasks\{04057F47-7D7F-0408-0411-7D090808117F}.job => powershell exe

 

ale być może sam je stworzyłeś, więc zostawiam to w spokoju.

 

Potem chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

 

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).

przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

jessi

[Hatebreeder]

Zadanie powershell.exe sam utworzyłem. 

 

Bardzo dziękuję za pomoc.