Kilkadziesiat sztucznych procesow, niemozliwych do usuniecia

barandek · 15 Grudzień 2017 22:13

Cześć,

Chciałbym prosić o pomoc w wyczyszczeniu systemu.
Próbowałem dostępnymi antywirusami; malwarebytes, kasperski tdss killer, niestety po restarcie wykrywa mi je ponownie i nadal są gdzieś kopiowane na dysku. Bardzo proszę o pomoc.
Generuje się kilkanaście sztucznych procesów, które po zakończeniu wracają po kilku sekundach
przykładowe nazwy : WUDFhost.exe, wpmnetwk.exe logomedia translatedotnet server.exe, wmiprvse.exe itd…

Dziękuję za pomoc.

LOGI :
http://www.wklej.org/id/3323481/ - FRST
http://www.wklej.org/id/3323483/ - ADDITION
wklej. org/id/3323484/ - Shortcut

Atis · 16 Grudzień 2017 00:28

Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Oczyść (Clean).

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

CloseProcesses:
WMI_ActiveScriptEventConsumer_ASEC: <==== UWAGA
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers1: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> Brak pliku
ContextMenuHandlers1: [WinRAR] -> __{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers1: [WinRAR32] -> __{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers5: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> Brak pliku
ContextMenuHandlers6: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> Brak pliku
ContextMenuHandlers6: [WinRAR] -> __{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers6: [WinRAR32] -> __{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
Task: {C9133BE7-97C2-42EC-977C-73C95D5F1414} - System32\Tasks\{5F9A667D-A366-470D-9326-83D09B8939D8} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Power Translator 15\Support\Speech\InstallSpeechSupport.exe" -d "C:\Program Files (x86)\Power Translator 15\Support\Speech\"
MSCONFIG\startupreg: 2 => C:\Users\Bartek\AppData\Local\Temp\2.exe /start
MSCONFIG\startupreg:  QQPCTray => "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCTray.exe" /regrun
MSCONFIG\startupreg: apphide => C:\Program Files (x86)\badu\uc.exe
MSCONFIG\startupreg: Installer => C:\Windows\Temp\899E.tmp /autorun
MSCONFIG\startupreg: msiql => C:\ProgramData\msiql.exe /RUNNING
MSCONFIG\startupreg: osmsg => C:\ProgramData\WindowsMsg\osmsg.exe  /AUTORUN
MSCONFIG\startupreg: Pritc => C:\Users\Bartek\AppData\Local\Temp\00004842\casrss.exe
MSCONFIG\startupreg: tasklist => c:\users\bartek\appdata\roaming\tasklist
MSCONFIG\startupreg: tasklist.exe => c:\users\bartek\appdata\roaming\tasklist.exe
MSCONFIG\startupreg: taskmmr => C:\Windows\System32\taskmmr.exe
MSCONFIG\startupreg: taskmsg => C:\Windows\System32\taskmsg.exe
MSCONFIG\startupreg: taskstm => C:\Windows\System32\taskstm.exe
MSCONFIG\startupreg: WINCOMMWF => "C:\Program Files (x86)\mobilepcstarterkit\wincom_MWF.exe"
Toolbar: HKLM-x32 - LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Program Files (x86)\Power Translator 15\Applications\LEC IE Translation Extension.dll [2011-07-05] (Language Engineering Corporation, LLC)
FF ProfilePath: C:\Users\Bartek\AppData\Roaming\Profiles\41A66E7E5EE1 [2017-11-27] <==== UWAGA
FF Homepage: Profiles\41A66E7E5EE1 -> hxxp://www.nuesearch.com/?type=hp&ts=1466764689&z=dd47620829d5bad5778b1fcg2z8q4qem8q6z6q9t0c&from=ihpm0624&uid=MicronXC400XRealSSDX2X5XX7mmX128GB_12270352B4B80352B4B8
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <nie znaleziono>
S2 asComSvc; C:\Program Files (x86)\ASUS\AXSP\1.02.00\atkexComSvc.exe [X]
S2 lkClassAds; C:\Windows\SysWOW64\lkads.exe [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys [X]
S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\softaal64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys [X]
S3 TSSKX64; System32\drivers\tsskx64.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
2010-08-28 21:43 - 2010-08-28 21:43 - 000577335 ____N () C:\ProgramData\adb.exe
2010-08-28 21:43 - 2010-08-28 21:43 - 000096256 ____N (Google, inc) C:\ProgramData\AdbWinApi.dll
2010-08-28 21:43 - 2010-08-28 21:43 - 000060928 ____N (Google, inc) C:\ProgramData\AdbWinUsbApi.dll
2010-08-28 21:43 - 2010-08-28 21:43 - 000356009 ____N () C:\ProgramData\fastboot.exe
2016-01-12 16:33 - 2010-01-15 10:36 - 000075040 _____ () C:\Program Files (x86)\Common Files\SpeechUninstall.exe
2015-07-22 18:45 - 2016-11-16 07:41 - 003808768 _____ () C:\Users\Bartek\AppData\Roaming\AnyOTPSetup.msi
2017-10-27 20:28 - 2017-12-01 23:52 - 000003053 _____ () C:\Users\Bartek\AppData\Roaming\gnuplot_history
2014-12-19 00:01 - 2014-12-19 00:45 - 000003929 _____ () C:\Users\Bartek\AppData\Roaming\SpeedRunnersLog.txt
testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika <==== UWAGA
C:\Program Files (x86)\badu
C:\Program Files (x86)\Tencent
C:\ProgramData\WindowsMsg
C:\Windows\System32\taskmmr.exe
C:\Windows\System32\taskmsg.exe
C:\Windows\System32\taskstm.exe
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

barandek · 16 Grudzień 2017 06:21

http://wklej.org/id/3323530/ - fixlog
http://wklej.org/id/3323531/ - nowy raport FRST

Może to pomoże, ale nadal widze procesy :
HeciServer.exe
TranslateDotNet Server.exe
PsiService_2.exe
sqlwriter.exe
nimdnsResponder.exe
jhi_service.exe
WmiPrvSE.exe
SystemWebServer.exe

Atis · 16 Grudzień 2017 10:38

Pewnie dlatego, że wymienione procesy nie są szkodliwe.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

Toolbar: HKU\S-1-5-21-24279036-3362427178-829443128-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
FF Plugin-x32: @alibaba.com/nptrademanager;version=1.0 -> C:\Program Files (x86)\TradeManager\nptrademanager.dll [Brak pliku]
FF Plugin-x32: @alibaba.com/npwangwang;version=1.0 -> C:\Program Files (x86)\TradeManager\npwangwang.dll [Brak pliku]
FF Plugin-x32: @baidu.com/npxbdcntb -> C:\Program Files (x86)\Baidu\BaiduPinyin\3.3.2.1028\npxbdcntb.dll [Brak pliku]
FF Plugin HKU\S-1-5-21-24279036-3362427178-829443128-1000: @alibaba.com/npAliSSOLogin;version=1.0 -> C:\Program Files (x86)\TradeManager\npAliSSOLogin.dll [Brak pliku]
FF Plugin HKU\S-1-5-21-24279036-3362427178-829443128-1000: @alibaba.com/nptrademanager;version=1.0 -> "C:\Program Files (x86)\TradeManager\nptrademanager.dll" [Brak pliku]
FF Plugin HKU\S-1-5-21-24279036-3362427178-829443128-1000: @alibaba.com/npwangwang;version=1.0 -> "C:\Program Files (x86)\TradeManager\npwangwang.dll" [Brak pliku]
pimoukbd.sys2017-12-16 07:05 - 2017-12-16 07:05 - 000000000 ____D C:\DrWeb Quarantine
2017-12-01 23:06 - 2017-12-01 23:06 - 000000000 __HDC C:\ProgramData\{759C99EE-34E3-42A8-91EF-7106A0ED0FBE}
2017-12-16 06:13 - 2016-04-13 13:16 - 000000000 ____D C:\Users\Bartek\AppData\LocalLow\Temp
2017-12-16 06:10 - 2016-01-12 20:20 - 000000000 ____D C:\AdwCleaner
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST