Prawdopodobnie wirusy reklamowe, logi FRST

[borozu]

Witam wszystkich, jestem nowym użytkownikiem choć osoby stąd pomagały mi już na innych forach stąd się tu znalazłem

Otóż o ile zazwyczaj pomoc była dla moich znajomych to i ja padłem ofiarą wirusów.

Zachciało mi się zrootować telefon z Androidem. Chciałem ściągnąć aplikację iRoot, podczas instalacji zrezygnowałem z wszelkich propozycji o dodatkowe instalacje ale jak widać mało to dało. I tak:

Strona startowa ustawiła się na mystartsearch.com - wywaliłem ją w ustawieniach Chroma.
Nie mogę uruchomić panelu Aviry choć niby w tle działa - nie mogę wykonać skanowania kompa.

Logi:
Dostępne tylko dla zarejestrowanych użytkowników - FRST
Dostępne tylko dla zarejestrowanych użytkowników - Addition
Dostępne tylko dla zarejestrowanych użytkowników - Shortcut

Da się coś z tymi śmieciami zrobić?

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
FF Plugin: @microsoft.com/GENUINE -> disabled No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKU\S-1-5-21-4133905493-4152940010-3028317866-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-4133905493-4152940010-3028317866-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-4133905493-4152940010-3028317866-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-4133905493-4152940010-3028317866-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM-x32\...\Run: [] => [X]
2015-08-01 15:30 - 2015-08-01 15:30 - 00000000 ____H C:\Windows\system32\Drivers\Msft_Kernel_ggsemc_01009.Wdf
2015-08-01 15:30 - 2015-08-01 15:30 - 00000000 ____H C:\Windows\system32\Drivers\Msft_Kernel_ggflt_01009.Wdf
2015-08-01 15:20 - 2015-08-01 15:20 - 00000000 ____D C:\ProgramData\817d483c00003011
2015-08-01 15:20 - 2015-08-01 15:20 - 00000000 _____ C:\Users\Husky\AppData\Local\Temp.dat
2015-08-01 15:17 - 2015-08-01 15:17 - 00000000 ____D C:\Program Files (x86)\Search by Image by
2015-08-01 15:16 - 2015-08-01 15:17 - 00000000 ____D C:\ProgramData\8176606962445740441
2015-08-01 15:16 - 2015-08-01 15:16 - 00000000 ____D C:\Program Files (x86)\CuttTuhEPriice
2015-08-01 15:15 - 2015-08-01 20:19 - 00000000 ____D C:\Users\Husky\AppData\Roaming\Outraged Trust
2015-08-01 15:15 - 2015-08-01 15:33 - 00000336 _____ C:\Windows\Tasks\QuickRecipe.job
2015-08-01 15:15 - 2015-08-01 15:15 - 00003248 _____ C:\Windows\System32\Tasks\QuickRecipe
2015-08-01 15:15 - 2015-08-01 15:15 - 00000000 ____D C:\ProgramData\eakgfdelkknpembkclkcimndggodonma
2015-08-01 15:15 - 2015-08-01 15:15 - 00000000 ____D C:\ProgramData\{91ec5d76-54db-f939-91ec-c5d7654d75d9}
2015-08-01 15:10 - 2015-08-01 15:11 - 00000000 ____D C:\Users\Husky\.flashTool
2015-08-01 15:10 - 2015-08-01 15:10 - 00000000 ____D C:\Users\Husky\.swt
2015-08-01 15:09 - 2015-08-01 15:30 - 00000000 ____D C:\Flashtool
2015-08-01 15:09 - 2015-08-01 15:09 - 00000000 ____D C:\Users\Husky\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flashtool
2015-08-01 14:58 - 2015-08-01 14:58 - 01174979 _____ C:\Windows\unins000.exe
2015-08-01 14:58 - 2015-08-01 14:58 - 00017811 _____ C:\Windows\unins000.dat
2015-08-01 14:58 - 2015-08-01 14:58 - 00000000 ____H C:\Windows\system32\Drivers\Msft_Kernel_WinUSB_01009.Wdf
2015-08-01 14:56 - 2015-08-01 14:57 - 00000000 ____D C:\Users\Husky\.android
2015-08-01 14:56 - 2015-08-01 14:57 - 00000000 ____D C:\Program Files (x86)\Kingo ROOT
2015-08-01 14:56 - 2015-08-01 14:56 - 00001035 _____ C:\Users\Public\Desktop\Kingo ROOT.lnk
2015-08-01 14:56 - 2015-08-01 14:56 - 00000000 ____D C:\Users\Husky\AppData\Local\Kingosoft
2015-08-01 07:25 - 2015-08-01 07:25 - 00000000 ____H C:\Windows\system32\Drivers\Msft_User_WpdMtpDr_01_09_00.Wdf
C:\Users\Husky\AppData\Roaming\vlc
Task: C:\Windows\Tasks\QuickRecipe.job => c:\programdata\{91ec5d76-54db-f939-91ec-c5d7654d75d9}\iroot_1.7.9.exe <==== ATTENTION
Task: {CCBBABCD-3D9F-4D79-B0AF-16D671ED58E2} - System32\Tasks\QuickRecipe => c:\programdata\{91ec5d76-54db-f939-91ec-c5d7654d75d9}\iroot_1.7.9.exe [2014-08-01] () <==== ATTENTION
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Odinstaluj starą dziurawą Google Chrome i zainstaluj najczystszą kopie => Dostępne tylko dla zarejestrowanych użytkowników

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

5. Wykonaj i wklej nowe logi z FRST.

[borozu]

Logi:

1. ADW: Dostępne tylko dla zarejestrowanych użytkowników
2. JRT: Dostępne tylko dla zarejestrowanych użytkowników
3. FRST:
-FRST.txt: Dostępne tylko dla zarejestrowanych użytkowników
-Addition: Dostępne tylko dla zarejestrowanych użytkowników
-Shortcut: Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Wyczyszczone.

1. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz pełny skan MalwareBytes.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

[borozu]

DelFix: Dostępne tylko dla zarejestrowanych użytkowników
MWB: Dostępne tylko dla zarejestrowanych użytkowników - kliknąłem aby usunął owe zagrożenia
Hitman: Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Do kasacji w HitMan Pro klucze wszystkie Potential Unwanted Programs.