Zmulony internet

[Lich555]

Witam.
Ściągnąłem jakiś syf. Tak, wiem. Nie robi się tak. Ale cóż, jest już za późno. Tak mi zamula internet, że większość stron się ładuje w zabójczym tempie, albo w ogóle.
Załączam pliki ze skanowania FRST. Aktualnie robię skan Malwarebytes Ant-Malware.
Z góry dziękuję za pomoc i wszelkie jej próby.

@Edit Po skanowaniu zobaczyłem ponad 900 (tak, nie pomyliłem się) zagrożeń. Usunąłem wszystko w piz**. Zapisałem wyniki skanowania jeśli byłyby potrzebne.
W Menadżerze Zadań pokazuje mi straszne zawalenie dysku. Również podrzucam w załączniku.
PS. Zamieściłem wyniki z FRST również po skanowaniu (nie wiem czy to coś zmienia).

[ordynat]

Na łączach internetowych nie znam się, więc tym się nie zajmę.

Co do logów:

1)

Shortcut: C:\Users\Kacper Zięba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WоrldоfТаnks.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) <===== Cyrillic
Shortcut: C:\Users\Kacper Zięba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\Users\Kacper Zięba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic
Shortcut: C:\Users\Kacper Zięba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) <===== Cyrillic
Shortcut: C:\Users\Kacper Zięba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) <===== Cyrillic

Te skróty kierują na "Cyrillic", więc dam je do usunięcia.
Potem zrobisz sobie nowe skróty w tych samych lokalizacjach.

2) Otwórz Notatnik i wklej w nim:

Task: {10BBBAD7-A7AC-4C08-AF41-EA33B7FF3E8F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {1CDB4982-0BC6-4988-9CA2-D6216192FDE6} - System32\Tasks\ACC => C:\Program Files\DriverSetupUtility\FUB\FUB_Send.bat [2015-06-22] () <==== UWAGA
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\WINDOWS\System32\AutoWorkplace.exe
Task: {39116479-CE98-42FC-8509-64D0AD2FACFA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {3DAF7FB2-54E1-4A42-8934-849FB05EB37C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {4863F13D-DAD6-46A1-8506-D25CA3436295} - System32\Tasks\ff0a5b1ee41076ae83f9da43b3f94d99 => Rundll32.exe "C:\Program Files (x86)\Qualcomm Atheros\0rbt6o.dll",e62dc6c6547f46bda862da2d05af6862
Task: {66440393-F17C-4D13-AD99-6FA0318565FA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {8A803CB7-7615-4B1B-BC52-EBEAAC293B47} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {9F4F8EDD-857F-4014-A6D4-92A283FBBA16} - \Satelybutoge Configuration -> Brak pliku <==== UWAGA
Task: {A136BCB6-32F1-43A7-892B-8F00A5A2C425} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {A876AC85-BDEC-4621-9A8D-9317A7049A94} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {BDECCE4F-5D0A-4044-B2F6-E3C5A4D0D581} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {F8DDEBB8-7392-4F49-875D-D8E34D02FE78} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {F9E3701A-9260-4F37-843A-9DA9D5C96088} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {FA9AEEA0-860E-43FA-BA62-183E4315E566} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
RemoveDirectory: c:\program files (x86)\joterghmervole
RemoveDirectory: C:\Users\Kacper Zięba\AppData\Roaming\Geunfy
RemoveDirectory: C:\Program Files (x86)\badu
RemoveDirectory: C:\Users\Kacper Zięba\AppData\LocalLow\Company
RemoveDirectory: C:\uninst
RemoveDirectory: C:\ProgramData\Avira
RemoveDirectory: C:\ProgramData\Avg
RemoveDirectory: C:\Users\Kacper Zięba\AppData\Local\Tempfolder
RemoveDirectory: C:\Program Files (x86)\Joterghmervole
RemoveDirectory: C:\Users\Kacper Zi￪ba\AppData\Local\Jewsyviri
RemoveDirectory: C:\Users\Kacper Zięba\AppData\Local\Jewsyviri
C:\TOSTACK
C:\Users\Kacper Zięba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WоrldоfТаnks.lnk
C:\Users\Kacper Zięba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk
C:\Users\Kacper Zięba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk
C:\Users\Kacper Zięba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk
C:\Users\Kacper Zięba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Gооglе Сhrоmе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk
HKLM-x32\...\Run: [pcmgr] => C:\Program Files (x86)\badu\Uninst.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-455169502-929223781-30650748-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL =
SearchScopes: HKU\S-1-5-21-455169502-929223781-30650748-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-455169502-929223781-30650748-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL =
SearchScopes: HKU\S-1-5-21-455169502-929223781-30650748-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL =
SearchScopes: HKU\S-1-5-21-455169502-929223781-30650748-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-455169502-929223781-30650748-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL =
SearchScopes: HKU\S-1-5-21-455169502-929223781-30650748-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-455169502-929223781-30650748-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
IE Session Restore: HKU\S-1-5-21-455169502-929223781-30650748-1002 -> [funkcja włączona]
IE Session Restore: HKU\S-1-5-21-455169502-929223781-30650748-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> [funkcja włączona]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\8aj2sx8f.default -> yoursites123
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\8aj2sx8f.default -> yoursites123
CHR DefaultProfile: ChromeDefaultData
CHR HomePage: ChromeDefaultData -> hxxp://www.margonem.pl/
CHR StartupUrls: ChromeDefaultData -> "hxxp://www.trotux.com/?z=ff49f782573ce184c962558g7z9m7m0z2g8z7g4o5z&from=clc&uid=ST1000LM024XHN-M101MBB_S2Y4J9GDA01015&type=hp"
CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.trotux.com/search/?q={searchTerms}&z=ff49f782573ce184c962558g7z9m7m0z2g8z7g4o5z&from=clc&uid=ST1000LM024XHN-M101MBB_S2Y4J9GDA01015&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData -> trotux
CHR Profile: C:\Users\Kacper Zięba\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-10-25] <==== UWAGA
CHR Extension: (Dokumenty Google) - C:\Users\Kacper Zięba\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2015-11-02]
CHR Extension: (Dysk Google) - C:\Users\Kacper Zięba\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-11-02]
CHR Extension: (YouTube) - C:\Users\Kacper Zięba\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-11-02]
CHR Extension: (Google Search) - C:\Users\Kacper Zięba\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-02]
CHR Extension: (Dokumenty Google offline) - C:\Users\Kacper Zięba\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-05-25]
CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Kacper Zięba\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-05-25]
CHR Extension: (Gmail) - C:\Users\Kacper Zięba\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-11-02]
CHR Extension: (Chrome Media Router) - C:\Users\Kacper Zięba\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-10-17]
C:\WINDOWS\system32\Drivers\cherimoya.sys
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

3) Uruchom Google Chrome
> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >
> Sekcja: OSOBY
>zaznacz (wybierz): user0
kliknij znaczek X znajdujący się po prawej stronie

4) Zrób nowe logi FRST - już bez Shortcut.
.

[Lich555]

Dzisiaj sytuacja uległa ogromnej zmianie na + za co ogromnie dziękuję. Wrzucam logi.

[ordynat]

Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-455169502-929223781-30650748-1002\...\RunOnce: [Uninstall C:\Users\Kacper Zi**ba\AppData\Local\Microsoft\OneDrive\17.3.6301.0127\amd64<*>] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Kacper Zięba\AppData\Local\Microsoft\OneDrive\17.3.6301.0127\amd64" <===== UWAGA (Nazwa wartości zawiera nieprawidłowe znaki)
CHR Profile: C:\Users\Kacper Zięba\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-10-26] <==== UWAGA
C:\Users\Kacper Zięba\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
RemoveDirectory: C:\ProgramData\boost_interprocess

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Potem kończymy:
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.
.