Atak złośliwego wirusa / Sprawdzenie logów FRST

[Lonioo]

Dzisiaj pobierając programik z torrentów okazało się, że jest zawirusowany. Atak nastąpił od razu po pobraniu. Kilka podmienioych ikonek / dziwne procesy i programy uruchamiające się / samo-włączające się strony / dodatkowe reklamy i nakładki na Facebook etc. McAfee od razu zaczął walczyć z wirusem. Pobrałem też szybko antimalware od Malwarebytes przeskanowałem, usunąłem zainfekowane pliki i odwiezylem firefoxa. CHYBA wszystko działa teraz dobrze, ale wolę się upewnić i wrzucam logi z FRST (GMER wysypuje się w trakcie skanowania - wrzucam wyniki preskanu).

 

 

@EDIT

Jednak ciągle jest coś nie halo. Nie mogę uruchomić Microsoft Edge, usuwa mi iknokę mozilli z paska i przy uruchomieniu systemu włącza się strona z reklamą (w microsoft edge)

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[Miszel03]

System jest zainfekowany, ale to jest właśnie skutek pobierania nielegalnych danych z internetu. Skan MBAM musimy powtórzyć ponieważ nie dostarczyłeś z niego żadnego raportu. 
 
Częściowo zniknął Ci skróty przeglądarek, więc będziesz je sobie musiał utworzyć na nowo. To jedyny sposób na ich wyleczenie. 
Do poczytania: KLIK. 
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [WindowsDefender] => -
HKU\S-1-5-21-4259783707-2282555008-1561178269-1001\...\Run: [Windows Defender] => -
HKU\S-1-5-21-4259783707-2282555008-1561178269-1001\...\Run: [24720187] => C:\Users\jjcie\AppData\Roaming\9681920\348687.exe [7680 2017-04-17] ()
C:\Users\jjcie\AppData\Roaming\9681920
SearchScopes: HKU\S-1-5-21-4259783707-2282555008-1561178269-1001 -> DefaultScope {1210BEB2-3F7D-4599-BF56-C02995A24DF1} URL = 
SearchScopes: HKU\S-1-5-21-4259783707-2282555008-1561178269-1001 -> {1210BEB2-3F7D-4599-BF56-C02995A24DF1} URL = 
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
U3 pwndruow; C:\Users\jjcie\AppData\Local\Temp\pwndruow.sys [56584 2017-04-17] (GMER) [brak podpisu cyfrowego] 2017-04-17 19:22 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\CXXR1W6YIS
2017-04-17 19:21 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\8W2F84HQWS
2017-04-17 19:21 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\5D1JG165FV
2017-04-17 19:21 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\04HTVGVO2N
2017-04-17 19:19 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\PAVYOOGSJ2
2017-04-17 19:19 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\D168NDOL55
2017-04-17 19:19 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\47JXY2S01L
2017-04-17 19:19 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\1VZ46GB9KX
C:\Users\jjcie\Desktop\Wоrld оf Tanks.lnk
C:\Users\jjcie\Desktop\ЕVE Lаuncher.lnk
C:\Users\jjcie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld of Tаnks.lnk
C:\Users\jjcie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\EVE Launcher\ЕVE Launсhеr.lnk
C:\Users\jjcie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CodeBlocks\СоdeBlоcks (Lаunchеr).lnk
C:\Users\jjcie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnet Ехplоrer.lnk
C:\Users\jjcie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozilla Firefoх.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мozilla Firefох.lnk
C:\Users\Public\Desktop\Арlikacjа Вlizzard.lnk
C:\Users\Public\Desktop\Мinecrаft.lnk
C:\Users\Public\Desktop\Нeаrthstonе.lnk
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\jjcie\AppData\Local
CMD: dir /a C:\Users\jjcie\AppData\LocalLow
CMD: dir /a C:\Users\jjcie\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 
 
3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt.