Chińskie programy/trojany/wirusy

[konrat]

Dobry wieczór, wczoraj ściągnąłem film z torrentów, który po ściągnięciu nie uruchamiał się, a w folderze z filmem były załączone kodeki do niego (rzekomo).
Jak się okazało zamiast kodeków zainstalowało mi się mnóstwo niepotrzebnych chińskich programów, przeglądarka, system i procesor zaczęły szaleć ! 
Na własną rękę odinstalowałem co się dało i wyczyściłem co się da korzystając z Trojan Remover a następnie ADWCLEANER.

Nieco się poprawiło, ale nadal nie jestem zadowolony i nie wiem czy pozbyłem się wszystkiego co zbędne.
Chciałem prosić specjalistów, aby rzucili okiem na pliki tekstowe wygenerowane z programów GMER oraz  FRST (załączam 4 wymagane pliki, mam nadzieję że wszystko zrobiłem ok).
Z góry dziękuję za informację/pomoc.
Pozdrawiam !

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

Na przyszłość: Trojan Remover to nie jest zbyt polecany program i on nie jest specjalizowany w kontekście widzianych tu problemów. Oceniając zaś stan widziany w raportach, nadal infekcja DNS (zainfekowany plik systemowy dnsapi.dll), liczne aktywne obiekty adware oraz wstawiony przez adware fałszywy profil w Chrome.

 

Działania do przeprowadzenia:

 

1. Odinstaluj: Adobe Flash Player 10 ActiveX (bardzo stara wersja z grożnymi lukami), Akamai NetSession Interface (zbędny downloader produktów Autodesk), Trojan Remover 6.9.4.

 

2. Uruchom RepairDNS i zresetuj system. Na Pulpicie powstanie log RepairDNS.txt.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Providers\0iz2p5v8: D:\Filmy_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\1anoq0tb: C:\Users\Jacek Teresa\AppData\Local\Google\Chrome\User Data_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\22jhgxgb: C:\Users\Konrad\AppData\LocalLow\Youtube AdBlock\local64spl.dll
HKLM\...\Providers\2n2ozl0r: D:\EaseUS Partition Master 11.0_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\2qqpq9n9: D:\EaseUS Partition Master 11.0\\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\37ezym5j: C:\Users\Konrad\AppData\Local\Temp\local64spl.dll
HKLM\...\Providers\40x4ogk9: C:\Program Files (x86)\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\48pv4nq3: D:\Projekty_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\917txvc8: C:\Users\Konrad\AppData\Local\Temp_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\cyhzh7un: C:\Users\Jacek Teresa\AppData\LocalLow\Youtube AdBlock\local64spl.dll
HKLM\...\Providers\hjw795gm: D:\MANTA AKTUALIZACJA_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\hk2y91pw: C:\Users\Jacek Teresa\AppData\Local\Temp\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\hmdd1os2: C:\_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\hwqu3uqn: C:\Users\Jacek Teresa\AppData\Local\Temp_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\ll45t581: D:\Filmy\\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\mnjngigv: C:\Users\Konrad\AppData\LocalLow\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\nmxq67v7: C:\Program Files (x86)\Mozilla Firefox\browser\features\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\nzul2b6g: C:\Program Files (x86)\Youtube AdBlock\local64spl.dll
HKLM\...\Providers\oxgm80q6: C:\Users\Konrad\AppData\Local\Google\Chrome\User Data_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\s1zm9f5f: C:\Windows\Temp\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\snt0eqfd: C:\Program Files (x86)\Mozilla Firefox\browser\features_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\t4c7o2d4: C:\Users\Konrad\AppData\Local\Google\Chrome\User Data\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\umuiapam: C:\Users\Jacek Teresa\AppData\LocalLow\Youtube AdBlock_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\vb9p0hnn: C:\\local64spl.dll
HKLM\...\Providers\vlx94z31: C:\Users\Jacek Teresa\AppData\Local\Google\Chrome\User Data\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\xyzgujd5: D:\MANTA AKTUALIZACJA\\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\yv2ydj41: C:\Windows\Temp_\local64spl.dll [142848 2016-10-23] ()
HKLM\...\Providers\zcf5entn: D:\Projekty\\local64spl.dll [142848 2016-10-23] ()
R2 Cercither; C:\Program Files (x86)\Cudpyjnuly\PptPrv.dll [273920 2016-10-22] () [brak podpisu cyfrowego]
NETSVCx32: HpSvc -> Brak ścieżki do pliku.
Task: {1E043638-3A6D-46D9-8156-654576485632} - System32\Tasks\4b61d06ef0356dc7e0a79eadfc7c48a5 => Rundll32.exe "C:\Program Files (x86)\Microsoft.NET\iqa5dx.dll",e62dc6c6547f46bda862da2d05af6862
Task: {59B33E5B-C2E4-4754-9354-453F4126A346} - System32\Tasks\Driver Booster SkipUAC (Konrad) => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe
Task: {AC3AA9B9-27F1-4A84-B083-532E5ADEDE2E} - System32\Tasks\Wakoshqiqa Helper => C:\Program Files (x86)\Cudpyjnuly\rmuy.exe [2016-10-22] (VideoLAN)
Task: {C54BC717-E2A1-4D9F-BF94-058978EA4735} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\NoteIcon.exe
HKU\S-1-5-18\...\Run: [] => 0
MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Konrad\AppData\Local\Akamai\netsession_win.exe"
MSCONFIG\startupreg: app => C:\Program Files (x86)\hhh\uc.exe
MSCONFIG\startupreg: svchost0 => C:\Program Files (x86)\hhh\uc.exe
GroupPolicy: Ograniczenia - Chrome 
HKU\S-1-5-21-498792050-126766143-2195073676-1001\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\local64spl.dll.ini
C:\_
C:\Program Files (x86)\Cudpyjnuly
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\Youtube AdBlock_
C:\Program Files (x86)\Microsoft.NET\iqa5dx.dll
C:\ProgramData\wxr_2dm.adt
C:\ProgramData\AVAST Software
C:\ProgramData\Avg
C:\ProgramData\Avira
C:\ProgramData\IObit
C:\ProgramData\ProductData
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses
C:\TOSTACK
C:\Users\Jacek Teresa\AppData\Local\Google\Chrome\User Data\local64spl.dll
C:\Users\Jacek Teresa\AppData\Local\Google\Chrome\User Data_
C:\Users\Jacek Teresa\AppData\Local\Temp_
C:\Users\Jacek Teresa\AppData\LocalLow\Youtube AdBlock_
C:\Users\Konrad\AppData\Local\Funusygaqacult
C:\Users\Konrad\AppData\Local\Temp_
C:\Users\Konrad\AppData\Local\Tempfolder
C:\Users\Konrad\AppData\Local\Google\Chrome\User Data\local64spl.dll
C:\Users\Konrad\AppData\Local\Google\Chrome\User Data_
C:\Users\Konrad\AppData\LocalLow\Company
C:\Users\Konrad\AppData\LocalLow\IObit
C:\Users\Konrad\AppData\LocalLow\Youtube AdBlock_
C:\Users\Konrad\AppData\LocalLow0000000000415B98
C:\Users\Konrad\AppData\LocalLow0000000000500CC8
C:\Users\Konrad\AppData\LocalLow005C25D0
C:\Users\Konrad\AppData\LocalLow007E78C0
C:\Users\Konrad\AppData\Roaming\*.*
C:\Users\Konrad\AppData\Roaming\Getaenthajos
C:\Users\Konrad\AppData\Roaming\IObit
C:\Users\Konrad\AppData\Roaming\Microleaves
C:\Users\Konrad\AppData\Roaming\Mozilla
C:\Users\Konrad\Desktop\Bocad-3D64_21_en.lnk
C:\Users\Konrad\Desktop\Bocad-3D64_21_pl.lnk
C:\Users\Konrad\Desktop\Play WarThunder.lnk
C:\Windows\windowdowngrade.exe
C:\Windows\IObit
C:\Windows\Temp_
C:\Windows\system32\cea
D:\EaseUS Partition Master 11.0\local64spl.dll
D:\EaseUS Partition Master 11.0_
D:\Filmy\local64spl.dll
D:\Filmy_
D:\MANTA AKTUALIZACJA\local64spl.dll
D:\MANTA AKTUALIZACJA_
D:\Projekty\local64spl.dll
D:\Projekty_
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wymagana wymiana całego profilu Google Chrome. Ustawienia > karta Ustawienia > Osoby. Na liście powinien być widoczny profil adware pod nazwą user0. Należy go usunąć i opcją Dodaj osobę założyć nowy, zamknąć wszystkie bieżące okna Google Chrome i otworzyć Chrome ponownie już na nowym profilu. Ewentualny odzysk utraconych zakładek potem.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

[konrat]

Przepraszam za Trojan Remover, nie wiedziałem że to zło ! 

Wykonałem wszystkie zalecane operacje (mama nadzieję ok) i przesyłam jeszcze raz pliki o których mowa do sprawdzenia.
Dziękuję za pomoc !

Fixlog.txt

FRST.txt

Addition.txt

RepairDNS.txt