Infekcja komputera - FRST,Addition,Shortcut

[KashMIR99]

Addition
Dostępne tylko dla zarejestrowanych użytkowników
FRST
Dostępne tylko dla zarejestrowanych użytkowników
Shortcut
Dostępne tylko dla zarejestrowanych użytkowników

"Zdaję się że masz infekcje:
=> 2WdsManPro2"
Otrzymałem informację przy sprawdzaniu logów, że mam infekcje. Zgodnie z zaleceniem zakładam temat i wklejam potrzebne informacje. Z góry dziękuję za pomoc z usunięciem wirusa. Pozdrawiam.

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
S4 ABWFP; \??\C:\Program Files\ArcaBit\ArcaVir\ABWFP.sys [X]
S4 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S4 EIO64; system32\DRIVERS\EIO64.sys [X]
S4 WinRing0_1_2_0; \??\D:\Game Booster 3\Driver\WinRing0x64.sys [X]
R4 WdsManPro; C:\ProgramData\OWdsManProO\WdsManPro.exe [442504 2015-10-05] (DTools LIMITED)
C:\ProgramData\OWdsManProO
CHR HKLM-x32\...\Chrome\Extension: [dhfcbmlocifngpbjdpgnkbjmgkadkjpp] - C:\Program Files (x86)\Industriya\privitize\1.8.21.6\privitize.crx <nie znaleziono>
C:\Program Files (x86)\Industriya
FF HKLM-x32\...\Firefox\Extensions: [{3DF4B26D-DB19-45DF-962A-6719D071245B}] - C:\Users\Krzysiek\AppData\Local\Rich Media Player\BrowserExtensions\Firefox\{3DF4B26D-DB19-45DF-962A-6719D071245B} => nie znaleziono
HKU\S-1-5-21-133530177-3123993289-3571230749-1000\...\MountPoints2: G - G:\cdstart.exe
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
2015-10-05 15:31 - 2015-10-05 15:31 - 00003172 _____ C:\Windows\System32\Tasks\{D859A48C-DC63-4933-B292-8C64597B1553}
2015-10-05 15:26 - 2015-10-05 15:27 - 00000000 ____D C:\ProgramData\OWdsManProO
2015-10-05 15:25 - 2015-10-05 15:32 - 00000000 ____D C:\Users\Krzysiek\AppData\Roaming\istartsurf
2015-10-04 11:26 - 2015-10-05 15:26 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-10-04 11:26 - 2015-10-04 12:51 - 00000000 ____D C:\Users\Krzysiek\AppData\Roaming\mystartsearch
2015-10-04 11:26 - 2015-10-04 11:28 - 00000000 ____D C:\ProgramData\2WdsManPro2
2015-10-06 17:35 - 2014-10-26 19:58 - 00004056 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA1cff1466e69e710
2015-10-06 17:35 - 2014-10-26 19:58 - 00003804 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore1cff1466dc269dd
2015-10-06 17:35 - 2014-10-26 19:58 - 00001048 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA1cff1466e69e710.job
2015-10-06 17:35 - 2014-10-26 19:58 - 00001044 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore1cff1466dc269dd.job
2015-10-04 12:54 - 2014-11-12 21:04 - 00002966 _____ C:\Windows\System32\Tasks\{72AC047B-8841-4383-BF4A-E1F032CFDE80}
2015-10-04 12:54 - 2014-11-12 21:03 - 00002966 _____ C:\Windows\System32\Tasks\{96301EAC-4577-4E50-9A8A-EA6A3F761161}
2013-10-11 06:40 - 2013-10-11 06:40 - 50053120 _____ () C:\Program Files (x86)\GUTD0C5.tmp
2014-12-01 19:05 - 2014-12-01 19:04 - 0613057 _____ (CMI Limited) C:\Users\Krzysiek\AppData\Local\nsv10D7.tmp
2015-10-04 11:26 - 2015-10-05 15:26 - 0000102 _____ () C:\ProgramData\{262E
20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
Task: {18482CA4-2AE0-4F7B-8C3A-EACD1309D6F2} - System32\Tasks\GoogleUpdateTaskMachineCore1cff1466dc269dd => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-31] (Google Inc.)
Task: {1B6B63B6-897B-499A-A12B-98F7A212E902} - System32\Tasks\{D1149810-4FEB-4428-8A55-D121A4F2C396} => pcalua.exe -a "C:\Program Files (x86)\mbot_pl_124\unins000.exe"
Task: {2A652197-3D23-4EA8-8779-E82AC603EFA2} - System32\Tasks\{161D34F6-5144-4608-9051-1581B089FDB4} => pcalua.exe -a E:\Install.exe -d E:\
Task: {2B3362BA-9239-4E0A-8AAF-E621D2A167CF} - System32\Tasks\Game_Booster_AutoUpdate => D:\Game Booster 3\AutoUpdate.exe
Task: {5C208EEA-8B53-4E19-A230-AB4C4C43E735} - System32\Tasks\{568B3981-D9C6-4CF0-AE65-B3D7E1B8AFFC} => pcalua.exe -a C:\ProgramData\savensharre\7EZxZt2giv.exe -c /s /n /i:"ExecuteCommands;UninstallCommands" ""
Task: {644E3C4B-70AE-4751-930A-AD474F0BCD8B} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-09-22] (Adobe Systems Incorporated)
Task: {6683C74F-AEF9-4AF2-81FC-CC1820670A15} - System32\Tasks\{96301EAC-4577-4E50-9A8A-EA6A3F761161} => D:\Prompt Downloader\PromptDownloader.exe
Task: {6E379D06-9C21-469F-B45A-8229B0353BCB} - System32\Tasks\GoogleUpdateTaskMachineUA1cff1466e69e710 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-31] (Google Inc.)
Task: {70A4CF78-7213-4690-A038-817271F732A0} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-31] (Google Inc.)
Task: {8B5B6FBF-C963-493E-A6E8-A3D4A2626BAE} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe
Task: {95023832-EF78-443D-80F7-24BDCD66FF79} - System32\Tasks\{72AC047B-8841-4383-BF4A-E1F032CFDE80} => D:\Prompt Downloader\PromptDownloader.exe
Task: {A32EBDDA-ED26-4406-B4BF-286F8219E790} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2013-12-17] (Piriform Ltd)
Task: {BD2DF1C3-8C14-421B-8978-F6499BA77119} - System32\Tasks\{E264751E-AFD5-4829-A263-2E07F4DFC397} => pcalua.exe -a E:\USB-106-081014-12.8.2111(Full-LO-01)_1016\Setup.exe -d E:\USB-106-081014-12.8.2111(Full-LO-01)_1016
Task: {E1079B49-6004-40B0-9577-86C1E9A07B82} - System32\Tasks\{D859A48C-DC63-4933-B292-8C64597B1553} => pcalua.exe -a C:\Users\Krzysiek\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cornl
Task: {FADBBCA4-A590-4DEA-8ABC-E0F16D6641DD} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-31] (Google Inc.)
Task: {FCAB164C-B2AF-45ED-83EB-DDB875F7087E} - System32\Tasks\{D56155BF-0DF1-4EAB-886F-72545079A29C} => pcalua.exe -a E:\XP\setup.exe -d E:\XP
C:\Program Files (x86)\mbot_pl_124
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw. Czekaj cierpliwie, nie przerywaj działania. Gdy narzędzie ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wykonaj i wklej nowe logi z FRST.

[KashMIR99]

Po kolei:
fixlog - Dostępne tylko dla zarejestrowanych użytkowników
adwcleaner - Dostępne tylko dla zarejestrowanych użytkowników
JRT - Dostępne tylko dla zarejestrowanych użytkowników

Po adwcleaner był restart, po JRT już nie. (nie resetowałem drugi raz)

Nowe logi FRST:
Addition - Dostępne tylko dla zarejestrowanych użytkowników
FRST -Dostępne tylko dla zarejestrowanych użytkowników
Shortcut - Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Infekcja skasowana.
Kończymy.

1. Odinstaluj starą wersję Google Chrome i zainstaluj w to miejsce najnowszą wersje: Dostępne tylko dla zarejestrowanych użytkowników

2. Wykonaj wszystko z tego tematu: Kroki kończące temat. Wykonujesz punkty pierwszy, drugi, trzeci. Skan MBAM omijasz.

3. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

[KashMIR99]

Raport z HitmanPro:
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Wszystko wykryte w Potential Unwanted Programs do usunięcia.

[KashMIR99]

Zrobione. Dzięki wielkie za pomoc.