Walka z wirusem

[Gosia141]

Witam bardzo serdecznie, wczoraj wieczorem podczas ściągania keygena, cracka czy tam patcha natknęłam się na wirus niestety
wyczytałam iż złośliwego bardzo o nazwie ' Win32/Hadsruda!bit'. Wykrywa mi go antywirus,ale niestety nie daje rady usunąć bo daję
akcję usunięcia to za chwilę zaś się on pojawia. W między czasie co jakiś czas wyskoczy jakieś okienko ruskie, na początku
nie działała przeglądarka ale pousuwałam różne te rzeczy związane z Nim, w panelu sterowania i teraz działa,ale on ciągle siedzi.

Załączam logi z FRST.

FRS.txt: http://pastebin.pl/view/8a21f5de
Addition.txt: http://pastebin.pl/view/03a789e7
Shortcut.txt: http://pastebin.pl/view/2ea386a9

Z góry dziękuję za pomoc.

[ordynat]

1) Otwórz Notatnik i wklej w nim:

FirewallRules: [{E409D07B-387C-4D38-959A-E9AEF386270C}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{DD2135D8-52B6-4804-A472-6A85F167AD81}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
RemoveDirectory: C:\Program Files (x86)\UCBrowser
RemoveDirectory: C:\Users\Gosik\AppData\Roaming\Hemkajdoa
RemoveDirectory: c:\program files (x86)\drarush
RemoveDirectory: c:\program files\żěńą
RemoveDirectory: c:\program files (x86)\kuaizip
RemoveDirectory: C:\Program Files (x86)\mpck
RemoveDirectory: C:\Program Files (x86)\ContentPush
RemoveDirectory: C:\ProgramData\NetworkPacketManitor
RemoveDirectory: C:\ProgramData\Logic Handler
RemoveDirectory: C:\Users\Gosik\AppData\Roaming\HPStocker
RemoveDirectory: C:\Users\Gosik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Ореrа Intеrnеt Вrоwsеr.lnk
RemoveDirectory: C:\Program Files\SpaceSoundPro
RemoveDirectory: C:\Program Files (x86)\IQIYI Video
RemoveDirectory: C:\Users\Gosik\AppData\Local\UCBrowser
RemoveDirectory: C:\Program Files (x86)\WebShield
RemoveDirectory: C:\Program Files (x86)\YouKu
RemoveDirectory: C:\Users\Gosik\AppData\Roaming\Softlink
RemoveDirectory: C:\Users\Gosik\AppData\Roaming\KuaiZip
RemoveDirectory: C:\Users\Gosik\AppData\Roaming\youku
RemoveDirectory: C:\Users\Gosik\AppData\Roaming\ytmediacenter
RemoveDirectory: C:\Users\Gosik\AppData\Local\Lahpyphehiied
RemoveDirectory: C:\Users\Gosik\AppData\Local\Propiwardqerhory
RemoveDirectory: C:\Users\Gosik\AppData\Roaming\Tubphcheberly
RemoveDirectory: C:\Users\Public\QiYi
RemoveDirectory: C:\ProgramData\boost_interprocess
RemoveDirectory: C:\ProgramData\Thunder Network
RemoveDirectory: C:\Users\Public\Thunder Network
RemoveDirectory: C:\Users\Gosik\AppData\Local\Tempfolder
RemoveDirectory: C:\Program Files (x86)\GreatMaker
RemoveDirectory: C:\Windows\system32\ghj
ShortcutWithArgument: C:\Users\Gosik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\firefox.exe — skrót.lnk -> D:\Mozille\firefox.exe (Mozilla Corporation) -> hxxp://9o0gle.com/
C:\Users\Gosik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
C:\Users\Gosik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk
C:\Users\Gosik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Ореrа Intеrnеt Вrоwsеr.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: {F4B4CA9E-1CE6-413C-B2E7-1B1F11ADD18A} - \Tergas Log -> Brak pliku <==== UWAGA
Task: {CF47E87E-DB94-4BF4-8811-0E77469C6109} - System32\Tasks\{FBDCF4FA-24FE-4FAB-8BCF-DE38C24B3F6D} => pcalua.exe -a "C:\Program Files (x86)\Common Files\TonIn\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\TonIn\uninstall.dat" -a uninstallme 7147DA3C-3E25-49ED-A333-CB18B96A90EF DeviceId=e8e07ed6-6970-ca2f-875b-857474d83ebf BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet
Task: {D212025A-E027-407F-A577-4E0B455F35E7} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-29] (UCWeb Inc) <==== UWAGA
Task: {60A69ECD-6907-4952-BBA0-C881A67667F2} - \KuaiZip_Update -> Brak pliku <==== UWAGA
Task: {68D4A606-3292-4DBA-816D-EB2305D58C6A} - System32\Tasks\{ABC4B631-0358-4933-A3D9-BD92C1FE88FC} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe"
Task: {100BBC42-3EE1-4D58-9D3E-A6EE4C94DD29} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-29] (UCWeb Inc) <==== UWAGA
C:\Users\Gosik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\爱奇艺PPS.lnk
C:\Users\Gosik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\爱奇艺PPS.lnk
C:\Users\Gosik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
C:\Users\Gosik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
2016-10-09 22:57 - 2016-10-09 22:57 - 7176704 _____ () C:\Users\Gosik\AppData\Roaming\agent.dat
2016-10-09 22:57 - 2016-10-09 22:56 - 0693760 _____ () C:\Users\Gosik\AppData\Roaming\BamLab.exe
2016-10-09 22:56 - 2016-10-09 22:56 - 0140288 _____ () C:\Users\Gosik\AppData\Roaming\Installer.dat
2016-10-09 22:57 - 2016-10-09 22:57 - 0018432 _____ () C:\Users\Gosik\AppData\Roaming\Main.dat
2016-10-09 22:56 - 2016-10-09 22:57 - 00000000 ____D C:\Users\Gosik\AppData\Roaming\Microleaves
C:\Windows\system32\Drivers\ucguard.sys
C:\TOSTACK
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA
R2 WebServe; C:\Program Files (x86)\YouKu\YoukuClient\WebServe.exe [370224 2015-12-08] (TODO: <公司名>) <==== UWAGA
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
R2 Shqalestesak; C:\Program Files (x86)\Drarush\ckofuyCollector.dll [276480 2016-10-09] () [Brak podpisu cyfrowego]
FF Plugin HKU\S-1-5-21-3482983258-164799655-2106577801-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0: youku.com/YoukuAgent -> C:\Users\Gosik\AppData\Roaming\ytmediacenter\npYoukuAgent.dll [2016-08-24] (Youku)
FF Plugin HKU\S-1-5-21-3482983258-164799655-2106577801-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0: youku.com/YoukuAgent_x86_64 -> C:\Users\Gosik\AppData\Roaming\ytmediacenter\X64\npYoukuAgent_x64.dll [2016-08-24] (Youku)
FF Plugin HKU\S-1-5-21-3482983258-164799655-2106577801-1000: youku.com/YoukuAgent -> C:\Users\Gosik\AppData\Roaming\ytmediacenter\npYoukuAgent.dll [2016-08-24] (Youku)
FF Plugin HKU\S-1-5-21-3482983258-164799655-2106577801-1000: youku.com/YoukuAgent_x86_64 -> C:\Users\Gosik\AppData\Roaming\ytmediacenter\X64\npYoukuAgent_x64.dll [2016-08-24] (Youku)
Toolbar: HKU\S-1-5-21-3482983258-164799655-2106577801-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
BHO-x32: YoukuEyeOnIE Class -> {7DC4B5B6-C122-44C4-825C-B310513A47CB} -> C:\Users\Gosik\AppData\Roaming\ytmediacenter\ykcool.dll [2015-12-25] (Youku.com)
BHO: YoukuEyeOnIE64 Class -> {509DC5B8-F673-4102-B86E-5BF20BF4EE54} -> C:\Users\Gosik\AppData\Roaming\ytmediacenter\X64\ykcool64.dll [2015-12-25] (Youku.com)
Tcpip\..\Interfaces\{A8658A0B-A0C3-4E57-8A3F-F326BFABA32C}: [NameServer] 188.120.241.135,8.8.8.8
GroupPolicy: Ograniczenia - Windows Defender <======= UWAGA
ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => Brak pliku
ShellIconOverlayIdentifiers-x32: [ Report] -> {32C50D96-7A9E-4F3E-8763-F74D86AFEDC2} => C:\Users\Gosik\AppData\Roaming\ytmediacenter\report.dll [2015-10-10] (Youku.com)
ShellIconOverlayIdentifiers-x32: [ YoukuModShlExt] -> {9071723E-9F41-4A8C-9CC2-EB6F94BA9B9E} => C:\Users\Gosik\AppData\Roaming\ytmediacenter\coreplay.dll [2015-12-08] (Youku.com)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\TB-Tray.lnk [2016-10-10]
ShellIconOverlayIdentifiers: [ Report64] -> {C7D0BD5D-B11A-47DB-BB14-7F930B3F7705} => C:\Users\Gosik\AppData\Roaming\ytmediacenter\X64\report64.dll [2015-10-10] (Youku.com)
ShellIconOverlayIdentifiers: [ YoukuModShlExt64] -> {314711D6-6B45-4AF7-83D8-DCD8537FD241} => C:\Users\Gosik\AppData\Roaming\ytmediacenter\X64\coreplay64.dll [2015-12-08] (Youku.com)
HKU\S-1-5-18\...\Run: [] => 0
HOSTS:
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: Unicode
>>Zapisz
Plik umieść w folderze C:\Users\Gosik\Desktop\Pobrane
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

2) Zrób nowe logi FRST.
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".
.

Autor postu otrzymał pochwałę

[Gosia141]

Okey wszystko wykonane jak napisałeś i z tego co widzę to problem raczej zniknął,ale proszę zerknij na logi:

Shortcut.txt: http://pastebin.pl/view/d5e6ae00
Addition.txt: http://pastebin.pl/view/384fcd1d
FRS.txt: http://pastebin.pl/view/faa0d3b3

Jeśli wszystko jest okey to dziękuję bardzo za pomoc.

[ordynat]

Otwórz Notatnik i wklej w nim:

CustomCLSID: HKU\S-1-5-21-3482983258-164799655-2106577801-1000_Classes\CLSID\{5ed339e2-e6a7-576a-be70-fb9cdbdce50e}\InprocServer32 -> C:\Users\Gosik\AppData\Roaming\ytmediacenter\X64\npYoukuAgent_x64.dll => Brak pliku
ShellIconOverlayIdentifiers-x32: [ Report] -> {32C50D96-7A9E-4F3E-8763-F74D86AFEDC2} => Brak pliku
ShellIconOverlayIdentifiers-x32: [ YoukuModShlExt] -> {9071723E-9F41-4A8C-9CC2-EB6F94BA9B9E} => Brak pliku
ShellIconOverlayIdentifiers: [ Report64] -> {C7D0BD5D-B11A-47DB-BB14-7F930B3F7705} => Brak pliku
ShellIconOverlayIdentifiers: [ YoukuModShlExt64] -> {314711D6-6B45-4AF7-83D8-DCD8537FD241} => Brak pliku

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Potem kończymy:
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na PLIK, potem na ODINSTALUJ.
.

Autor postu otrzymał pochwałę

[Gosia141]

Okey wykonałam wszystko - myślę że będzie dobrze. Dziękuję bardzo za pomoc.