Jak usunąć chińskie wirusy po pobraniu filmu z torrentów?

Witam. Ostatnio postanowiłem pobrać sobie film z torrentów, jednakże nie sprawdziłem dobrze jego uploadera i niestety ściągnąłem coś z wirusem. Po otworzeniu filmu zaczęły mi się instalować jakieś chińskie aplikacje. Wszystko ręcznie usunąłem, ale po zresetowaniu komputera internet i komputer strasznie się tnie, niektóre strony się nie otwierają i cały czas wyskakują mi jakieś strony, na które nie wchodziłem. Przeskanowałem komputer ADWCleanerem oraz Dr. Web CureIt! usunąłem wykryte wirusy ale po restarcie komputer cały czas działał tak samo wolno i usunięte wcześniej wirusy na nowo pokazywały się w ADWCleanerze. W załączniku wrzucam logi, bardzo proszę o pomoc.
FRST.txt (37.94 kB)Musisz być zalogowany, aby pobrać ten załącznik.
Additi..txt (29.78 kB)Musisz być zalogowany, aby pobrać ten załącznik.

Odinstaluj:
trotux - Uninstall (HKLM\...\{003A531C-8D59-4C71-B839-28DF714E5DC1}) (Version: - ) <==== UWAGA

Otwórz notatnik systemowy i wklej:
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
Hosts:
HKU\S-1-5-18\...\Run: [] => 0
ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Michał\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Michał\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Michał\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
ShortcutTarget: SPDriverInstall.lnk -> C:\Program Files\MediaTek\SP Driver\SPDriverInstall (Brak pliku)
HKU\S-1-5-21-1526417255-2731343013-1680851602-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ4MciOalApVlxTBYNBTdcNuaiUm_9-_CJzA_HpYFpIxU0gKLhINYWJDsSKdxnnfySkiWgpcc7UtE3P-sf4egNjpkebC4r6JufoaYY9TtyWqWtpIW1cogSmyXhhrT-PNvLeIr7QjOqDguYt056kUCHNDy5dBg,,&q={searchTerms}
SearchScopes: HKLM -> DefaultScope - brak wartości
CHR Profile: C:\Users\Michał\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-14] <==== UWAGA
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2017-01-14 18:56 - 2017-01-14 20:59 - 00000000 ____D C:\AdwCleaner
2017-01-14 13:40 - 2017-01-14 13:48 - 00000000 ____D C:\Program Files\Grekesy_
2017-01-14 13:40 - 2017-01-14 13:48 - 00000000 ____D C:\Program Files\Grekesy
2017-01-14 13:40 - 2017-01-14 13:42 - 00000000 ____D C:\Users\Michaﾳ\AppData\Local\Pracudomnifely
2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 ____D C:\Users\Michaﾳ
2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 ____D C:\Users\Michał\AppData\Roaming\Jaesywacuk
2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 ____D C:\Users\Michał\AppData\Local\Pracudomnifely
2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 ____D C:\ProgramData\Avira
2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 ____D C:\ProgramData\Avg
2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 ____D C:\Program Files\Anuzuied Server
2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 _____ C:\TOSTACK
2017-01-14 13:34 - 2017-01-14 13:34 - 07316480 _____ C:\Users\Michał\AppData\Roaming\agent.dat
2017-01-14 13:34 - 2017-01-14 13:34 - 01938534 _____ C:\Users\Michał\AppData\Roaming\Kontop.bin
2017-01-14 13:34 - 2017-01-14 13:34 - 01907761 _____ C:\Users\Michał\AppData\Roaming\Toplex.tst
2017-01-14 13:34 - 2017-01-14 13:34 - 00982016 _____ C:\Users\Michał\AppData\Roaming\Toplex.exe
2017-01-14 13:34 - 2017-01-14 13:34 - 00982016 _____ C:\Users\Michał\AppData\Roaming\FaxZamjob.exe
2017-01-14 13:34 - 2017-01-14 13:34 - 00140288 _____ C:\Users\Michał\AppData\Roaming\Installer.dat
2017-01-14 13:34 - 2017-01-14 13:34 - 00126464 _____ C:\Users\Michał\AppData\Roaming\noah.dat
2017-01-14 13:34 - 2017-01-14 13:34 - 00126464 _____ C:\Users\Michał\AppData\Roaming\lobby.dat
2017-01-14 13:34 - 2017-01-14 13:34 - 00072787 _____ C:\Users\Michał\AppData\Roaming\FaxZamjob.tst
2017-01-14 13:34 - 2017-01-14 13:34 - 00070704 _____ C:\Users\Michał\AppData\Roaming\Config.xml
2017-01-14 13:34 - 2017-01-14 13:34 - 00054272 _____ C:\Users\Michał\AppData\Roaming\ApplicationHosting.dat
2017-01-14 13:34 - 2017-01-14 13:34 - 00018432 _____ C:\Users\Michał\AppData\Roaming\Main.dat
2017-01-14 13:34 - 2017-01-14 13:34 - 00016560 _____ C:\Users\Michał\AppData\Roaming\InstallationConfiguration.xml
2017-01-14 13:34 - 2017-01-14 13:34 - 00005568 _____ C:\Users\Michał\AppData\Roaming\md.xml
2017-01-14 13:34 - 2017-01-14 13:34 - 00000000 ____D C:\Users\Michał\AppData\Roaming\Mozilla
2017-01-14 13:34 - 2017-01-14 13:34 - 00000000 ____D C:\Program Files\Common Files\Goldenron
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom FRST i kliknij w Fix/Napraw.

Niestety, to trotux-uninstall nie chce się odinstalować przez panel sterowania, a w funkcji szukaj nie znajduje mi go na komputerze.
jak wklejam to co napisałeś do cmd, to zamiast tekstu pojawia mi się "^U", jak to zmienić?
I mam wkleić to całe aż do EmptyTemp: włącznie, czy do którego momentu twojego posta?

Masz wkleić to razem z EmptyTemp: do notatnika systemowego.

Piszesz uzytkownikowi zeby wkleil do notatnika, a ten wkleja cos do okna cmd...

@neverdie11111 jak juz uda Ci sie przeczytac ze zrozumieniem to co podal @krzychupar i wykonac POPRAWNIE to zamiesc nowe logi z FRST, ze skanowania.

Zrobiłem tak jak pisałeś, komputer działa już chyba normalnie(na pewno z normalną szybkością) ale po skanie ADWCleanerem cały czas wyskakuje mi, że wykryto 11 zagrożeń.

Napisalem zebys zamiescil nowe logi z FRST, ze skanowania.

Additi..txt (30.88 kB)Musisz być zalogowany, aby pobrać ten załącznik. FRST.txt (32.97 kB)Musisz być zalogowany, aby pobrać ten załącznik.

Wpis trotux - Uninstall mozesz usunac recznie przy pomocy regedit z klucza uninstall:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall, szukaj:
003A531C-8D59-4C71-B839-28DF714E5DC1

Zgraj zakladki z Chrome, skrypt usunie zainfekowany katalog profilu przegladarki, utworzony przez infekcje.
Masz jeszcze drugi profil, mozesz go zmienic w ustawieniach Chrome (Default).

Nie pobieraj programow z dobrych programow przy pomocy ich menadzera pobierania, ktory instaluje szkodliwe dodatki!
Pobieraj TYLKO z bezposrednich linkow.

Nowy Fixlist.txt dla FRST:
Task: {15BBFB5E-F2C9-4D95-9D04-BA5230430DA9} - System32\Tasks\Anuzuied Server => C:\Program Files\Grekesy\awaly.exe
HKU\S-1-5-21-1526417255-2731343013-1680851602-1000\...\Run: [ALLUpdate] => C:\Program Files\ALLPlayer\ALLUpdate.exe [3670472 2015-07-28] (ALLPlayer Group Ltd.)
HKU\S-1-5-21-1526417255-2731343013-1680851602-1000\...\Run: [Napisy24Update] => C:\Program Files\Napisy24\Napisy24Update.exe [3709896 2015-11-04] (Napisy24.pl)
HKU\S-1-5-21-1526417255-2731343013-1680851602-1000\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\MICHA~1\AppData\Local\Temp\ALLRemote.exe [2200144 2017-01-17] (ALLPlayer ) <===== UWAGA
HKLM\...\Providers\uq33ed42: C:\Program Files\Anuzuied Server\local32spl.dll
ShellExecuteHooks: Brak nazwy - {C5E9BD50-D3FB-11E6-9B39-64006A5CFC35} - C:\Users\Michał\AppData\Roaming\Jaesywacuk\Ghitstokerther.dll -> Brak pliku
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SPDriverInstall.lnk [2016-06-05]
ShortcutTarget: SPDriverInstall.lnk -> C:\Program Files\MediaTek\SP Driver\SPDriverInstall (Brak pliku)
CHR DefaultProfile: ChromeDefaultData
CHR Profile: C:\Users\Michał\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-17] <==== UWAGA
C:\Users\Michał\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
CHR Extension: (Dingit Infinite HD App) - C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default\Extensions\llnhnfikffkjbdnfallfpgikamegbbag [2016-06-04]
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
R2 MSBuildALLPlayer; C:\Program Files\MSBuild\MSBuildALLPlayer.dll [225792 2017-01-14] () [Brak podpisu cyfrowego]
S2 Coofele; C:\Program Files\Grekesy_\rvsadapter.dll [X]
2017-01-17 19:43 - 2017-01-17 19:47 - 00000000 ____D C:\AdwCleaner
2017-01-17 19:18 - 2017-01-17 19:18 - 01285352 _____ (Rocere ) C:\Users\Michał\Downloads\Notepad2-13075-dp.exe
2017-01-14 14:10 - 2017-01-14 14:10 - 03988944 _____ C:\Users\Michał\Downloads\adwcleaner_6.042.exe
2017-01-14 14:02 - 2017-01-14 14:02 - 01301744 _____ ( ) C:\Users\Michał\Downloads\AdwCleaner 6.042 (1).exe
2017-01-14 13:59 - 2017-01-14 13:59 - 01305584 _____ ( ) C:\Users\Michał\Downloads\AdwCleaner 6.042.exe
2017-01-14 13:40 - 2017-01-14 13:42 - 00000000 ____D C:\Users\Michaﾳ\AppData\Local\Pracudomnifely
2017-01-14 13:38 - 2017-01-14 13:38 - 00000000 ____D C:\Users\Michał\AppData\Local\UCBrowser
2017-01-14 13:35 - 2017-01-14 13:35 - 00000000 ____D C:\Users\Default\AppData\Local\AdvinstAnalytics
2017-01-14 13:35 - 2017-01-14 13:35 - 00000000 ____D C:\Users\Default User\AppData\Local\AdvinstAnalytics
2017-01-14 13:33 - 2017-01-14 13:33 - 00000000 __RSH C:\MSDOS.SYS
2017-01-14 13:33 - 2017-01-14 13:33 - 00000000 __RSH C:\IO.SYS
2017-01-14 13:34 - 2017-01-14 13:34 - 0032038 _____ () C:\Users\Michał\AppData\Roaming\uninstall_temp.ico

Po wykonaniu usun katalog C:\FRST.

Usun to co wykrywa adwc, o ile nadal bedzie cos wykrywac.

Zrobiłem tak jak mówiliście i ADWCleaner nie wykrywa już nic. Wielkie dzięki!