Virus blokuje antywirusy

[PawloX]

Witam. Z własnej głupoty zainstalowałem wirusa na kompie. Zaczął on wyświetlać sam z siebie różne strony w przeglądarce, więc postanowiłem się nim zająć. Avast nie znalazła zagrożenia, więc chciałem ściągnąć inny, ale za każdym razem jak chce zainstalować innego antywirusa, czy nawet program do usuwania wirusów to wirus mi go blokuje i wyłącza. Rowniez jak w prześladowcę wpisuje np. Malware (aby pobrać program) to automatycznie zamyka przeglądarkę. Nawet frst jest blokowane. Ktoś coś poradzi ? :/ Jest jakieś wyjście czy tylko format systemu ? W kompach nie jestem jakiś dobry, więc prosiłbym to tłumaczenie dokładne, tak jak debilowi :D

[jessica]

Spróbuj ściągnąć FRST w Trybie Awaryjnym.

WIN XP, WIN7: klawisz F8 przed startem Systemu.

WIN 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekran z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny

 

Jeśli to nie pomoże, to możesz spróbować przy ściąganiu  zmienić nazwę FRST na jakąś inną.

 

Jeśli i to nie pomoże to możesz ściągnąć starszą wersję już ze zmienioną nazwą stąd:

System 32 BIT: http://www.mediafire.com/file/w17hklgthxfbb6d/COSTAM.exe/file

System 64 BIT: http://www.mediafire.com/file/at10do4gxog6abg/co%C5%9Btam64.exe/file

 

jessi

 

[PawloX]

W trybie awaryjnym zadzialal frst. Pliki ze skanu umieszczam w zalacznikach. Wie ktos o co chodzi i jak to naprawic ? :/

Addition.txt

FRST.txt

 

 

P.S. W trybie awaryjnym moglem zainstalowac antywirua Malwarebytes, przeskanowalem nim kompa i zagrozenia dalem do kwarantanny. ale jak wlaczylem komputer ponownie w normalnym trybie znowu nie moglem odpalic antywirusa. nawet frst ze zmieniona nazwa sie wylacza jak go odpalam. Wiec nadal to gowno musi gdzies tu byc :(

[jessica]

1) odinstaluj:

Reimage Repair (HKLM\...\Reimage Repair) (Version: 1.8.8.0 - Reimage) <==== UWAGA

 

2)

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

 

Task: {00E6D886-74B8-4032-A6AE-EF6ACC56FD09} - System32\Tasks\{CDD49D17-2EE9-96E7-7A4A-2418F88DE4F2} => C:\Users\user\EVYrIeXaAwwBL.exe [2009-07-14] (Microsoft Corporation)
Task: {443A72A5-6BCF-4CB4-99AA-0CCE98FD2D2E} - System32\Tasks\{4EC2F549-E350-E52E-034F-5F9A6448F42E} => C:\Users\user\AppData\Roaming\oYsEojEeeyd.exe [2009-07-14] (Microsoft Corporation) <==== UWAGA
Task: {F7B22B47-CE13-40D4-97BC-D7B14502A199} - System32\Tasks\{948FA00A-B65D-4E30-AC95-64C9A2526E43} => C:\Windows\system32\pcalua.exe -a D:\Software\setupstb.exe -d D:\Software
C:\Users\user\EVYrIeXaAwwBL.exe
C:\Users\user\AppData\Roaming\oYsEojEeeyd.exe
FirewallRules: [{9CE29F95-B49E-427B-A6C8-98EAB734A1C7}] => (Allow) C:\Windows\SysWOW64\msiexec.exe
FirewallRules: [{5A67E1FB-FE25-4CD5-B530-C21DF2B52BBF}] => (Allow) C:\Users\user\AppData\Roaming\oYsEojEeeyd.exe
FirewallRules: [{0CC34436-8E92-4992-B6B4-513EFB374270}] => (Allow) C:\Users\user\EVYrIeXaAwwBL.exe
FirewallRules: [{4D9831F2-39BB-4E23-A7C9-BF22ED3C347A}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{BF78FFC2-55B3-4F6B-9D3F-BC2F94BDA1CE}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{4D1067F6-841B-4A6B-90F3-63E04FF138C9}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{F82839A6-1CA1-4FF5-A5CD-7AE70F1D48A6}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{ED75CE46-493B-4811-AD97-C499EAA83A7D}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{6E6AE20D-734B-4703-8987-5EA5865F9BEA}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{AD1161BF-23E5-44D8-AB2A-4F97123DF507}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{AC166F0F-C210-4A7A-AF24-F3E13C85516C}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{C11838A0-BC7D-4E8D-9CE2-1D78F58BF914}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{0CF14243-4C05-4553-B3BD-63EC117ECDCF}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{ABBC2A2D-466F-47DC-B64D-913D682F1876}] => (Allow) C:\Windows\SysWOW64\svchost.exe
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
2018-09-01 22:37 - 2018-09-01 22:37 - 000001841 _____ C:\Users\Public\Desktop\PC Scan & Repair by Reimage.lnk
2018-09-01 22:37 - 2018-09-01 22:37 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
2018-09-01 22:36 - 2018-09-01 22:38 - 000000000 ____D C:\rei
2018-09-01 22:36 - 2018-09-01 22:38 - 000000000 ____D C:\Program Files\Reimage
2018-09-01 22:35 - 2018-09-01 22:38 - 000000140 _____ C:\Windows\Reimage.ini
2018-09-01 22:35 - 2018-09-01 22:35 - 000605424 _____ (Reimage) C:\Users\user\Downloads\ReimageRepair.exe
C:\Program Files (x86)\Common Files\syZeqNhAem.exe
C:\Users\user\AppData\Local\imw.ini
RemoveDirectory: C:\ProgramData\Reimage Protector
EmptyTemp:

 

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

3) Zrób nowe logi FRST.

 

jessi

[PawloX]

Odinstalowalem Reimage i zrobilem z tymi logami co wyslalas, jednak problem sie nie rozwiazal bo (tak jakby) wirus nie byl aktywny w trybie awaryjnym i nie pokazalo go w logach. Ale w trybie awaryjnym zainstalowalem Malwarebytes i pozniej w normalnym trybie uruchomilem skanowanie. Znalazlo jakiegos wirusa "Trojan Bitcoin ......." (nie pamietam calej nazwy) usunolem go za pomoca tego programu. Ale nadal przegladarka sama z siebie sie wlacza i pokazuje mi dziwne strony. Zrobilem jeszcze raz skan na frst (moge juz odpalic w normalnym trybie) i podsylam nowe logi. Moglabys zerknac raz jeszcze czy cos tam siedzi ? 

Pozdrawiam i dziekuje za pomoc.

Addition.txt

FRST.txt

[jessica]

W logach nie widzę niczego podejrzanego.

 

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

FirewallRules: [{25DEA6DA-9159-418E-B303-2FBDD3B3CBCC}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{7329CA90-B0CA-4735-AC19-0AD0514F74DC}] => (Allow) C:\Windows\SysWOW64\svchost.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
2018-09-02 22:16 - 2018-09-02 22:16 - 000002901 _____ C:\Users\user\Downloads\gkowrhiabie.txt
2018-09-02 22:16 - 2018-09-02 22:16 - 000002901 _____ C:\Users\user\Downloads\dyimkhfsztrtgdq.txt
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Cytat

Task: {D7CD3C41-4BF5-4269-A60A-3AD7C251FD15} - System32\Tasks\Opera scheduled Autoupdate 1516918678 => C:\Users\user\AppData\Local\Programs\Opera\launcher.exe [2018-07-25] (Opera Software)
Task: {F109A34D-EA35-4A88-8C9F-9EEF6227D4AC} - System32\Tasks\{5246EBBC-2ED0-3F7D-FB85-E0A4EBBEDDFD} => C:\Users\user\AppData\Local\Programs\Opera\Launcher.exe [2018-07-25] (Opera Software)

Nie mam Opery, więc trudno mi ocenić, czy któres z tych Zaplanowanych Zadań nie jest "złe".

 

EDIT:

Dam jedno z tych Zadań do usuniecia (porównalam z tematem

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:
 

Spoiler

Task: {F109A34D-EA35-4A88-8C9F-9EEF6227D4AC} - System32\Tasks\{5246EBBC-2ED0-3F7D-FB85-E0A4EBBEDDFD} => C:\Users\user\AppData\Local\Programs\Opera\Launcher.exe [2018-07-25] (Opera Softwar e)
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)

 

jessi

[PawloX]

Problem wyskakujących okien w przeglądarce rozwiązany :D dziekuje bardzo za pomoc :*