Pozostałości po malware

[Thidrand]

Witam, dzisiaj mój kuzyn pobrał program ze strony (jak myślał) oryginalnego twórcy, lecz niestety tak nie było i pobrał mi wraz z tym programem ponad 4 wirusy. Przeszukałem komputer Kingsoft Antyvirusem, CCleanerem, pózniej Advanced SystemCare 8.1 i na koniec doczyściłem AdwCleanerem. Kingsoft i AdwCleaner znalazło sporo syfów. Jednak sądzę, że to nie wystarczyło i wciąż niektóre syfy mogły się gdzieś ukryć.

Logi:

OTL.txt - http://wklej.to/RMSRY
Extras.txt - http://wklej.to/WoNeT

Silent Runners - http://wklej.to/yUDU5

GMER - http://wklej.to/qYyty

MBRChecker - http://wklej.to/tfTf8

FRST shortcut - http://wklej.to/GKL4x
FRST addition - http://wklej.to/1nwa0
FRST - http://wklej.to/822eq

[mateo8898]

Przede wszystkim zrób porządek z antywirusami bo jest ich za dużo: Trend Micro Titanium Internet Security i Kingsoft. Zostaw tylko jeden.

Wklej do notatnika:

Task: {4323A343-42AA-4BD4-9578-0E6081AF8856} - System32\Tasks\BF1lmpKFvzBiTVzFCYa => C:\Users\Thidrand\AppData\Roaming\BF1lmpKFvzBiTVzFCYa.exe [2015-04-20] () <==== ATTENTION
C:\Users\Thidrand\AppData\Roaming\BF1lmpKFvzBiTVzFCYa.exe
Task: {F69420DE-4567-4ED5-854C-E03523446CDB} - System32\Tasks\kO7But0T1vdBsLQBrQs => C:\Users\Thidrand\AppData\Roaming\kO7But0T1vdBsLQBrQs.exe [2015-04-20] () <==== ATTENTION
Task: C:\Windows\Tasks\BF1lmpKFvzBiTVzFCYa.job => C:\Users\Thidrand\AppData\Roaming\BF1lmpKFvzBiTVzFCYa.exe <==== ATTENTION
C:\Users\Thidrand\AppData\Roaming\kO7But0T1vdBsLQBrQs.exe
Task: C:\Windows\Tasks\kO7But0T1vdBsLQBrQs.job => C:\Users\Thidrand\AppData\Roaming\kO7But0T1vdBsLQBrQs.exe <==== ATTENTION
2015-04-25 18:51 - 2015-04-25 18:51 - 00123392 _____ () C:\Users\Thidrand\AppData\Roaming\688C5F00-1429980532-81E0-23C3-F46D044D38A8\jnsmFDD1.tmp
HKLM-x32\...\Run: [gmsd_pl_104] => [X]
HKU\S-1-5-21-3137468067-2113348958-4248695673-1000\...\Run: [ALLUpdate] => D:\Inne\ALLPlayer\ALLUpdate.exe [2765256 2015-01-24] (ALLPlayer Group Ltd.)
SearchScopes: HKU\S-1-5-21-3137468067-2113348958-4248695673-1000 DefaultScope {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST9750423AS_5WS170QCXXXX5WS170QC&ts=1429981529&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3137468067-2113348958-4248695673-1000 {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST9750423AS_5WS170QCXXXX5WS170QC&ts=1429981529&type=default&q={searchTerms}
R2 cepihyko; C:\Users\Thidrand\AppData\Roaming\688C5F00-1429980532-81E0-23C3-F46D044D38A8\jnsmFDD1.tmp [123392 2015-04-25] () [File not signed]
C:\Users\Thidrand\AppData\Roaming\688C5F00-1429980532-81E0-23C3-F46D044D38A8
S3 Amsp; "C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe" coreFrameworkHost.exe -m=rb -dt=60000 [X]
R2 tofifihi; C:\Users\Thidrand\AppData\Roaming\688C5F00-1429980532-81E0-23C3-F46D044D38A8\nsg1937.tmpfs [X]
U3 pgddqpoc; \??\C:\Users\Thidrand\AppData\Local\Temp\pgddqpoc.sys [X]
2015-04-25 18:52 - 2015-04-25 18:52 - 00000000 ____D () C:\Program Files (x86)\26599222-2753-44fc-9236-45f6dc210d1d
2015-04-25 18:51 - 2015-04-25 18:51 - 00000000 ____D () C:\Users\Thidrand\AppData\Local\688C5F00-1429987871-81E0-23C3-F46D044D38A8
2015-04-25 18:48 - 2015-04-25 21:45 - 00000000 ____D () C:\Users\Thidrand\AppData\Roaming\688C5F00-1429980532-81E0-23C3-F46D044D38A8
2015-04-25 18:46 - 2015-04-25 18:46 - 00000000 ____D () C:\Program Files (x86)\Windows Loader
2015-04-25 19:26 - 2015-04-25 19:26 - 00000000 ____D () C:\Program Files (x86)\0631589a-2545-4e10-a908-44f94c1a02bd
2015-04-25 19:14 - 2015-04-25 19:14 - 00000004 _____ () C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
C:\Users\Thidrand\7zxa.dll
C:\Users\Thidrand\Ace32Loader.exe
C:\Users\Thidrand\Rar.exe
C:\Users\Thidrand\RarExt.dll
C:\Users\Thidrand\RarExt32.dll
C:\Users\Thidrand\rarnew.dat
C:\Users\Thidrand\UNACEV2.DLL
C:\Users\Thidrand\UnRAR.exe
C:\Users\Thidrand\WinRAR.exe
C:\Users\Thidrand\zipnew.dat
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.

[Thidrand]

Przez tyle czasu nawet nie wiedziałem, że mam Trend Micro Titanium Internet Security.
Logi:

Fixlog - http://wklej.to/cusdl
FRST - http://wklej.to/Ws8oi
FRST Addition - http://wklej.to/OC5TS
FRST Shortcut - http://wklej.to/O9nHs

[Thidrand]

Od kilku godzin pojawia mi się to: http://pl.tinypic.com/view.php?pic=14vp ... T6PxSHtmko na prawie każdej stronie na jaką wchodzę.

[mateo8898]

Zresetuj Chrome https://support.google.com/chrome/answer/3296214?hl=pl

Następnie wklej do notatnika:

SearchScopes: HKU\S-1-5-21-3137468067-2113348958-4248695673-1000 DefaultScope {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST9750423AS_5WS170QCXXXX5WS170QC&ts=1429981529&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3137468067-2113348958-4248695673-1000 {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST9750423AS_5WS170QCXXXX5WS170QC&ts=1429981529&type=default&q={searchTerms}
2015-04-25 19:42 - 2014-09-18 20:57 - 00000000 ____D () C:\AdwCleaner
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Thidrand\AppData\Roaming\BF1lmpKFvzBiTVzFCYa
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Thidrand\AppData\Roaming\kO7But0T1vdBsLQBrQs
2015-04-25 19:27 - 2015-04-25 19:27 - 0613255 _____ (CMI Limited) C:\Users\Thidrand\AppData\Local\nsq2CD8.tmp

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.